update

dns/.trae/documents/plan_20251216_023941.md

@@ -0,0 +1,21 @@
+# DNSSEC记录缺失问题修复计划
+
+## 问题分析
+从日志中可以看到，所有DNS查询都显示"DNS响应不包含DNSSEC记录"，这表明虽然DNSSEC被启用，但服务器没有从上游DNS服务器获取到DNSSEC记录。
+
+## 根本原因
+当启用DNSSEC时，DNS服务器需要在发送给上游服务器的请求中设置**DNSSEC OK (DO)标志**，这样上游服务器才会返回DNSSEC记录（如RRSIG、DNSKEY等）。但当前代码直接使用原始请求发送给上游服务器，没有添加DO标志。
+
+## 修复方案
+修改`forwardDNSRequestWithCache`函数，在向上游服务器发送请求之前：
+1. 检查是否启用了DNSSEC
+2. 如果启用，为请求添加EDNS0选项并设置DO标志
+3. 确保修改后的请求被正确发送
+
+## 具体实现步骤
+1. 在`/root/dns/dns/server.go`文件中，找到`forwardDNSRequestWithCache`函数
+2. 在发送请求前（第625行附近），添加DO标志设置逻辑
+3. 确保请求被正确发送到上游服务器
+
+## 预期效果
+修复后，启用DNSSEC时，服务器会向上游发送带有DO标志的请求，上游服务器将返回DNSSEC记录，从而实现完整的DNSSEC验证和记录返回。