DNS 解析状态怎么看？A/MX/CNAME 记录检测，全球节点助力排查劫持问题

想知道 DNS 解析状态怎么看？其实没那么复杂，不管你是网站管理员还是普通用户，掌握几个小技巧就能轻松搞定。先从最基础的工具说起，毕竟工欲善其事，必先利其器。

? 怎么查看 DNS 解析状态？这几个工具用起来超方便
查 DNS 解析状态，工具选对了能省不少事。先说命令行工具，Windows 用户打开 CMD，输入 “nslookup 你的域名”，比如 “nslookup baidu.com”，回车就能看到解析到的 IP 地址和对应的 DNS 服务器。Mac 或 Linux 用户可以用 “dig 域名”，结果更详细，能看到解析记录的 TTL 值、服务器信息，甚至缓存情况。这些命令行工具的好处是快，不用等网页加载，适合快速验证。

在线工具就更直观了，推荐几个常用的。DNS 查询网（dns 查询网的网址可以自己搜，输入域名就能查所有记录类型），输入域名后选 “全部记录”，A、MX、CNAME 这些一目了然，还能看到解析的时间和来源服务器。Cloudflare 的 DNS 检测工具也不错，不仅能查解析结果，还会告诉你解析是否正常，有没有超时。对了，DNSPod 的 “DNS 诊断” 功能，能直接帮你分析解析是否存在异常，新手也能看懂。

不管用哪种工具，看结果时要注意这几点：解析记录是否和你设置的一致？TTL 值是否合理（一般建议 600-3600 秒，太短影响速度，太长改了记录生效慢）？有没有出现多个不同的解析结果（可能是缓存没更新，也可能是被劫持了）？这些细节都能帮你判断解析状态是否正常。

? A 记录检测：网站能打开的 “第一道门”
A 记录是最常用的 DNS 记录之一，简单说，A 记录就是把域名和服务器 IP 绑在一起，比如你把 “www.xxx.com” 指向 “1.2.3.4”，别人输入域名才能找到你的服务器。检测 A 记录，关键看这两点：解析的 IP 对不对，不同地区解析是否一致。

用 dig 命令查 A 记录很简单，输入 “dig 域名 A”，比如 “dig www.baidu.com A”，结果里的 “ANSWER SECTION” 就是解析到的 IP。如果你的服务器有多个 IP（比如负载均衡），这里会显示多个，这时候要确认这些 IP 都是你自己的，没有陌生 IP 混进来（可能被劫持了）。

在线检测推荐用DNSChecker.org，输入域名选 A 记录，它会显示全球几十个节点的解析结果。如果发现某个地区的解析 IP 和你设置的不一样，那可能是当地 DNS 服务器被污染，或者你的域名被劫持了。比如有用户发现美国节点解析到的 IP 不是自己的，后来查出来是当地某个 DNS 服务商被攻击，篡改了记录。

检测 A 记录还要注意 TTL 生效时间。如果你刚改了 A 记录，本地检测可能还是旧 IP（本地 DNS 缓存没更新），这时候可以用 “ipconfig /flushdns”（Windows）或 “sudo killall -HUP mDNSResponder”（Mac）刷新缓存，再检测就准了。

✉️ MX 记录检测：邮件能不能收到，就看它了
MX 记录是管邮件的，没有正确的 MX 记录，别人发邮件给你可能直接退回。比如你的域名是 “xxx.com”，MX 记录会指定接收 “@xxx.com” 邮件的服务器地址。检测 MX 记录，重点看优先级和服务器是否有效。

用 nslookup 查 MX 记录的话，输入 “nslookup -type=mx 域名”，比如 “nslookup -type=mx qq.com”，结果里会显示 “mail exchanger = 优先级服务器地址”。优先级数字越小，优先级越高，邮件会先发到这个服务器。如果你的 MX 记录里有多个服务器，要确认优先级设置是否符合你的需求（比如主服务器优先级 10，备用 20）。

在线工具可以用 MxToolbox，输入域名后，它不仅会显示 MX 记录，还会检测服务器是否能正常接收邮件，有没有黑名单问题。比如检测时发现某个 MX 服务器显示 “timeout”，说明这个服务器连不上，邮件发到这里会失败，这时候就要检查服务器是否宕机，或者防火墙是否拦截了邮件端口。

还要注意，MX 记录的服务器地址最好是域名（比如mail.xxx.com），而不是直接写 IP，因为 IP 可能会变。如果用了 IP，一旦服务器换 IP，邮件就全收不到了，这点新手很容易踩坑。

? CNAME 记录检测：别名解析的 “隐藏陷阱”
CNAME 记录就像给域名起了个别名，比如把 “blog.xxx.com” 指向 “xxx.github.io”，访问前者就会跳转到后者。CNAME 记录方便是方便，但检测时要特别注意有没有循环指向，或者指向的目标是否有效。

用 dig 查 CNAME 记录，输入 “dig 域名 CNAME”，比如 “dig blog.csdn.net CNAME”，结果里会显示 “别名 = 目标域名”。这时候要确认目标域名是否存在，能不能正常解析。比如你的 CNAME 指向 “abc.xxx.com”，但 “abc.xxx.com” 没有 A 记录，那用户访问你的域名就会显示 “无法找到服务器”。

循环指向是个大问题，比如 “a.xxx.com” 指向 “b.xxx.com”，“b.xxx.com” 又指向 “a.xxx.com”，这样解析的时候会陷入死循环，导致域名打不开。检测时可以顺着 CNAME 链一步步查，比如先查 “a.xxx.com” 的 CNAME 是 “b.xxx.com”，再查 “b.xxx.com” 的记录，如果又指回 “a”，那就是循环了，必须马上改。

另外，CNAME 记录不能和 A 记录同时存在。比如你给 “www.xxx.com” 同时设置了 A 记录（指向 1.2.3.4）和 CNAME（指向blog.xxx.com），DNS 服务器会优先用 CNAME，A 记录相当于白设了，还可能导致解析混乱，这点一定要记牢。

? 全球节点检测：揪出 DNS 劫持的 “照妖镜”
DNS 劫持有多讨厌？就是别人输入你的域名，本该解析到你的服务器，结果被改成了恶意 IP，跳转到钓鱼网站或者广告页面，用户被骗不说，你的网站信誉也受影响。而全球节点检测，就是帮你发现这种地域差异的关键。

为什么需要全球节点？因为 DNS 解析是 “就近原则”，用户会用当地的 DNS 服务器（比如北京用户用联通 DNS，美国用户用谷歌 DNS），如果某个地区的 DNS 服务器被劫持，只有那个地区的用户会受影响，你在本地检测根本发现不了。比如你的网站在国内解析正常，但在东南亚被劫持到了恶意 IP，这时候只有查东南亚节点的解析结果才能发现。

推荐几个全球节点检测工具：DNSPod 的 “全球 DNS 检测”，选几十个主流地区的节点，一键查询后能看到每个节点的解析 IP，颜色标红的就是异常（和你设置的 IP 不符）。DNSChecker.org也不错，地图上直接标出来哪些地区解析有问题，一目了然。

发现某个地区被劫持了怎么办？先确认是不是 DNS 服务器缓存问题（等 TTL 过期再查一次），如果还是异常，就联系你的域名服务商，提供异常节点的信息，让他们帮你向当地 DNS 服务商投诉。如果是重要业务，也可以考虑用 DNSSEC（DNS 安全扩展），给解析记录加个 “数字签名”，让劫持者改不了记录，不过这个配置稍微复杂点，新手可以找技术人员帮忙。

? 日常必做的 DNS 检测习惯：防患于未然
其实大部分 DNS 问题，提前检测都能避免。分享几个实用习惯：每周花 5 分钟，用全球节点工具查一次 A 记录和 CNAME 记录，看是否有异常 IP；改完 DNS 记录后，隔 10 分钟、1 小时、24 小时各查一次，确认全球节点都更新到了新记录（因为不同地区的 DNS 缓存过期时间不一样）；把常用的检测工具存成书签，出问题时能快速打开。

还有个小技巧，遇到网站突然打不开，先查本地 DNS 解析（nslookup），再查全球节点。如果本地解析错了，刷新本地缓存试试；如果只有某个地区解析错，大概率是劫持；如果全球都错了，那就是你自己的 DNS 记录设置错了，赶紧去域名控制台改。

另外，重要的域名最好多备份几个 DNS 服务商，比如主用阿里云 DNS，备用 Cloudflare，万一主服务商出问题，切换到备用就能快速恢复，这招在关键时刻能救急。

DNS 解析看着技术，其实掌握这些方法后，普通人也能轻松搞定。记住，检测要勤，工具要用对，全球节点是排查劫持的利器，别等出了问题才想起检测，那时候损失可能已经造成了。

【该文章由dudu123.com嘟嘟 ai 导航整理，嘟嘟 AI 导航汇集全网优质网址资源和最新优质 AI 工具】