Unbound DNS over TLS性能优化：解决TLS握手延迟问题

问题背景

在使用Unbound作为DNS over TLS(DoT)服务器时，用户报告了一个显著的性能问题：通过dig工具进行DNS查询时，TLS握手阶段出现了40-45毫秒的延迟。相比之下，当使用nginx作为TLS前端代理时，初始延迟仅为20-30毫秒，且后续请求由于TLS会话复用可以达到几乎零延迟。

技术分析

通过抓包分析发现，延迟主要出现在客户端(dig)向Unbound服务器发送数据包的过程中。深入调查揭示了几个关键技术点：

1. OpenSSL版本影响：测试环境涉及多个OpenSSL版本(1.1.1、3.0.15、3.3.2和3.4.0)，不同版本在TLS握手性能上表现出差异。

2. TCP_NODELAY选项：核心问题与TCP_NODELAY套接字选项有关。当该选项未启用时，TCP栈会使用Nagle算法缓冲小数据包，导致额外的延迟。

3. 客户端工具差异：使用不同客户端工具(kdig vs dig)测试时表现不同，说明客户端实现也会影响整体性能。

解决方案

该问题已通过代码提交修复，主要改进包括：

1. 在Unbound的TLS通信实现中显式启用TCP_NODELAY选项，禁用Nagle算法，减少小数据包的发送延迟。

2. 优化TLS会话管理，支持会话复用，减少重复握手带来的性能开销。

性能对比

修复前后的性能表现差异明显：

• 修复前：

  • 每次TLS握手约40-45ms延迟
  • 无会话复用机制

• 修复后：

  • 初始握手延迟降低至20-30ms
  • 后续请求可实现零延迟(通过会话复用)
  • 整体查询响应时间显著改善

实施建议

对于使用Unbound提供DNS over TLS服务的用户，建议：

1. 升级到包含此修复的Unbound版本

2. 在配置中考虑启用TLS会话缓存相关参数

3. 对于性能敏感场景，可评估不同OpenSSL版本的性能表现

4. 在客户端选择上，考虑使用对TLS优化更好的工具如kdig

总结

DNS over TLS作为提升DNS隐私的重要技术，其性能优化不容忽视。通过解决TCP_NODELAY相关问题和优化TLS会话管理，Unbound在DoT场景下的性能得到了显著提升，为部署安全且高效的DNS服务提供了更好的基础。