缓存 DNS 超时多长时间？

根据 1998-03 ，rfc2308#section-7.1如果解析不成功，并导致SERVFAIL（例如，超时），那么它可能会被缓存，但如果是这样，它的缓存时间不得超过 5 分钟。

实际上，它似乎通常根本没有被缓存，或者，如果被缓存，则被缓存纯粹象征性的时间量，比如一秒钟。

• 在 BIND 9.9.6-S1（2014 年发布）之前，显然SERVFAIL根本没有缓存。

  它是通过commit a878301(2014-09-04)引入的。

  例如，在提出这个问题时以及在 2014 年之前发布的所有 BIND 版本中，BIND 递归解析器DID NOT cache ，如果可以相信SERVFAIL上述提交和关于 9.9.6-S1 中首次引入的文档。

• 在最新的 BIND 中，自 2015 年（截至 2016 年）起默认servfail-ttl设置1s为 ceiling of 30s（代替 RFC 规定的 ceiling of 300s）。

  请参阅提交90174e6(2015-10-17)。

  在 2014/2015 期间，默认值为 ，10s上限为300s，但根据下面的引述，较高的数字被认为是不合理的悲观。

值得注意的参考资料（附有各自的引文）包括：

• https://kb.isc.org/article/AA-01178/ (2014/2016-01-07)

  缓存 SERVFAIL 响应的结果包括一些情况，在这些情况下，它被认为对客户端体验有害，特别是当向客户端呈现 SERVFAIL 的原因是暂时的，并且从立即重试查询的场景来看更合适的行动。

• http://cr.yp.to/djbdns/third-party.html (2003-01-11)

  第二种策略是声称广泛的 DNS 客户端在无法访问所有 DNS 服务器时会做一些特别邪恶的事情。这个论点的问题是这个说法是错误的。任何此类客户端显然都存在问题，并且无法在市场中生存：考虑一下如果客户端的路由器短暂出现故障或客户端的网络暂时被淹没会发生什么情况。

综上所述，SERVFAIL不太可能被缓存，但即使被缓存，也最多是个位数甚至个位数的秒数。

在 BIND 9.11 中，SERVFAIL响应默认缓存 1 秒。

来自 BIND 管理员参考手册：

servfail-ttl

SERVFAIL设置由于 DNSSEC 验证失败或其他一般服务器故障而缓存响应的秒数。如果设置为 0，SERVFAIL则禁用缓存。如果查询设置了(Checking Disabled) 位，则SERVFAIL不会查询缓存；CD这允许重试由于 DNSSEC 验证而失败的查询，而无需等待SERVFAILTTL 过期。

最大值为 30 秒；任何更高的值都会被默默地减少。默认值为 1 秒。

这是根据RFC 2308实现的，尽管在实践中发现其中指定的最大超时是有问题的，因此是当前默认值的原因。

根据http://cr.yp.to/djbdns/third-party.html

RFC 2182 声称 DNS 故障不会被缓存；这种说法是错误的。

超时不会被缓存。它还没有TTL。