c-ares DNS解析库中非完全限定域名解析问题分析

问题背景

c-ares是一个流行的异步DNS解析库，广泛应用于各种网络应用程序中。近期在c-ares 1.31.0及以上版本中，用户报告了一个关于非完全限定域名(FQDN)解析的问题。具体表现为当应用程序尝试解析类似"portfolio-service"这样的非完全限定域名时，解析会失败，而在c-ares 1.28.1及以下版本中则能正常工作。

技术细节分析

DNS搜索域机制

在DNS解析中，非完全限定域名(如"portfolio-service")需要通过搜索域(search domain)机制来补全。系统通常会在/etc/resolv.conf中配置搜索域列表，例如：

search example.com

当应用程序尝试解析"portfolio-service"时，DNS解析器会依次尝试：

1. portfolio-service.example.com
2. portfolio-service

c-ares的行为变化

问题根源在于c-ares 1.31.0引入了一个关于ndots处理的变更。ndots参数决定了何时直接查询域名而不使用搜索域。在Linux系统中，默认ndots值为1，意味着包含至少一个点的域名(如"example.com")会先直接查询，而不使用搜索域。

c-ares 1.31.0错误地将ndots默认值设为了0，导致对非完全限定域名也直接查询，而不使用搜索域机制。这在与systemd-resolved交互时尤为明显，因为systemd-resolved对直接查询非完全限定域名会返回SERVFAIL错误，而不是预期的NXDOMAIN。

实际影响

这一问题影响了依赖搜索域机制的环境，特别是：

1. 使用专用网络配置私有域名的场景
2. 企业内部使用短名称访问服务的环境
3. 容器化环境中使用服务发现的场景

解决方案

c-ares项目维护者通过以下方式解决了该问题：

1. 修正了Linux系统下ndots的默认值处理，确保默认为1
2. 增加了相关测试用例，防止类似问题再次发生
3. 与systemd项目协调，报告了systemd-resolved在处理非完全限定域名时返回SERVFAIL而非NXDOMAIN的问题

最佳实践建议

对于开发者和管理员：

1. 升级到c-ares 1.33.1或更高版本
2. 在/etc/resolv.conf中明确设置ndots值(如options ndots:1)
3. 考虑在应用程序中使用完全限定域名，避免依赖搜索域机制
4. 测试环境中的DNS解析行为，特别是在升级c-ares版本后

总结

DNS解析是网络应用的基础功能，c-ares库的这一变更提醒我们，即使是成熟的库也可能在看似小的变更中引入兼容性问题。理解DNS搜索域机制和ndots参数的作用，对于诊断和解决类似问题至关重要。通过这次事件，c-ares项目不仅修复了问题，还完善了相关测试，提高了未来版本的稳定性。