登錄

根域名服務(wù)器

百科 > 互聯(lián)網(wǎng) > 根域名服務(wù)器

1.什么是根域名服務(wù)器

  根域名服務(wù)器互聯(lián)網(wǎng)域名解析系統(tǒng)DNS)中最高級(jí)別的域名服務(wù)器,全球僅有13臺(tái)根服務(wù)器。目前的分布是:主根服務(wù)器(A)美國1個(gè),設(shè)置在弗吉尼亞州的杜勒斯;輔根服務(wù)器(B至M)美國9個(gè),瑞典、荷蘭、日本各1個(gè)。另外借由任播(Anycast)技術(shù),部分根域名服務(wù)器在全球設(shè)有多個(gè)鏡像服務(wù)器(mirror),因此可以抵抗針對(duì)其所進(jìn)行的分布式拒絕服務(wù)攻擊(DDoS)。

2.根域名服務(wù)器的簡介

  根服務(wù)器主要用來管理互聯(lián)網(wǎng)的主目錄,全世界只有13臺(tái)。1個(gè)為主根服務(wù)器,放置在美國。其余12個(gè)均為輔根服務(wù)器,其中9個(gè)放置在美國,歐洲2個(gè),位于荷蘭和瑞典,亞洲1個(gè),位于日本。所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)域名與號(hào)碼分配機(jī)構(gòu)ICANN統(tǒng)一管理,負(fù)責(zé)全球互聯(lián)網(wǎng)域名根服務(wù)器、域名體系和IP地址等的管理。

  這13臺(tái)根服務(wù)器可以指揮Firefox或InternetExplorer這樣的Web瀏覽器和電子郵件程序控制互聯(lián)網(wǎng)通信。由于根服務(wù)器中有經(jīng)美國政府批準(zhǔn)的260個(gè)左右的互聯(lián)網(wǎng)后綴(如.com、.net等)和一些國家的指定符(如法國的.fr、挪威的.no等),自成立以來,美國政府每年花費(fèi)近50多億美元用于根服務(wù)器的維護(hù)和運(yùn)行,承擔(dān)了世界上最繁重的網(wǎng)絡(luò)任務(wù)和最巨大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此可以實(shí)事求是地說:沒有美國,互聯(lián)網(wǎng)將是死灰一片。世界對(duì)美國互聯(lián)網(wǎng)的依賴性非常大,當(dāng)然這也主要是由其技術(shù)的先進(jìn)性和管理的科學(xué)性所決定的。所謂依賴性,從國際互聯(lián)網(wǎng)的工作機(jī)理來體現(xiàn)的,就在于“根服務(wù)器”的問題。從理論上說,任何形式的標(biāo)準(zhǔn)域名要想被實(shí)現(xiàn)解析,按照技術(shù)流程,都必須經(jīng)過全球“層級(jí)式”域名解析體系的工作,才能完成。 “層級(jí)式”域名解析體系第一層就是根服務(wù)器,負(fù)責(zé)管理世界各國的域名信息,在根服務(wù)器下面是頂級(jí)域名服務(wù)器,即相關(guān)國家域名管理機(jī)構(gòu)的數(shù)據(jù)庫,如中國的CNNIC,然后是在下一級(jí)的域名數(shù)據(jù)庫和ISP的緩存服務(wù)器。一個(gè)域名必須首先經(jīng)過根數(shù)據(jù)庫的解析后,才能轉(zhuǎn)到頂級(jí)域名服務(wù)器進(jìn)行解析。

3.根域名服務(wù)器的主要作用

  在根域名服務(wù)器中雖然沒有每個(gè)域名的具體信息,但儲(chǔ)存了負(fù)責(zé)每個(gè)域(如COM、NET、ORG等)的解析的域名服務(wù)器的地址信息,如同通過北京電信你問不到廣州市某單位的電話號(hào)碼,但是北京電信可以告訴你去查020114。世界上所有互聯(lián)網(wǎng)訪問者的瀏覽器的將域名轉(zhuǎn)化為IP地址的請(qǐng)求(瀏覽器必須知道數(shù)字化的IP地址才能訪問網(wǎng)站)理論上都要經(jīng)過根服務(wù)器的指引后去該域名的權(quán)威域名服務(wù)器(authoritative name server, 如haier.com的權(quán)威域名服務(wù)器是dns1.hichina com)上得到對(duì)應(yīng)的IP地址,當(dāng)然現(xiàn)實(shí)中提供接入服務(wù)的ISP的緩存域名服務(wù)器上可能已經(jīng)有了這個(gè)對(duì)應(yīng)關(guān)系(域名到IP地址)的緩存。

  根域名服務(wù)器是架構(gòu)因特網(wǎng)所必須的基礎(chǔ)設(shè)施。在國外,許多計(jì)算機(jī)科學(xué)家將根域名服務(wù)器稱作“真理”(TRUTH),足見其重要性。但是攻擊整個(gè)因特網(wǎng)最有力、最直接,也是最致命的方法恐怕就是攻擊根域名服務(wù)器了。早在1997年7月,這些域名服務(wù)器之間自動(dòng)傳遞了一份新的關(guān)于因特網(wǎng)地址分配的總清單,然而這份清單實(shí)際上是空白的。這一人為失誤導(dǎo)致了因特網(wǎng)出現(xiàn)最嚴(yán)重的局部服務(wù)中斷,造成數(shù)天之內(nèi)網(wǎng)面無法訪問,電子郵件也無法發(fā)送。

4.根域名服務(wù)器的管理機(jī)構(gòu)及設(shè)置地點(diǎn)

  全球13個(gè)根域名服務(wù)器以英文字母A到M依序命名,網(wǎng)域名稱格式為“字母.root-servers.net”。其中有9個(gè)是以任播(anycast)技術(shù)在全球多個(gè)地點(diǎn)設(shè)立鏡像站。

字母 IPv4地址 IPv6地址 自治系統(tǒng)編號(hào)(AS-number) 舊名稱 運(yùn)作單位 設(shè)置地點(diǎn)#數(shù)量(全球性/地區(qū)性) 軟件
A 198.41.0.4 2001:503:ba3e::2:30 AS19836 ns.internic.net VeriSign 以任播技術(shù)分散設(shè)置于多處6/0 BIND
B 192.228.79.201(2004年1月起生效,舊IP地址為128.9.0.107) 2001:478:65::53 (not in root zone yet) none ns1.isi.edu 南加州大學(xué)信息科學(xué)研究所(Information Sciences Institute, University of Southern California) 美國加州馬里納戴爾雷伊(Marina del Rey)0/1 BIND
C 192.33.4.12 AS2149 c.psi.net Cogent Communications 以任播技術(shù)分散設(shè)置于多處6/0 BIND
D 199.7.91.13 (2013年起生效,舊IP地址為128.8.10.90) AS27 terp.umd.edu 馬里蘭大學(xué)學(xué)院市分校(University of Maryland, College Park) 美國馬里蘭州大學(xué)公園市(College Park)1/0 BIND
E 192.203.230.10 AS297 ns.nasa.gov NASA 美國加州山景城(Mountain View)1/0 BIND
F 192.5.5.241 2001:500:2f::f AS3557 ns.isc.org 互聯(lián)網(wǎng)系統(tǒng)協(xié)會(huì)(Internet Systems Consortium) 以任播技術(shù)分散設(shè)置于多處2/47 BIND 9
G 192.112.36.4 AS5927 ns.nic.ddn.mil 美國國防部國防信息系統(tǒng)局(Defense Information Systems Agency) 以任播技術(shù)分散設(shè)置于多處6/0 BIND
H 128.63.2.53 2001:500:1::803f:235 AS13 aos.arl.army.mil 美國國防部陸軍研究所(U.S. Army Research Lab) 美國馬里蘭州阿伯丁(Aberdeen)1/0 NSD
I 192.36.148.17 2001:7fe::53 AS29216 nic.nordu.net 瑞典Netnod(曾經(jīng)是Autonomica) 以任播技術(shù)分散設(shè)置于多處36 BIND
J 192.58.128.30 (2002年11月起生效,舊IP地址為198.41.0.10) 2001:503:c27::2:30 AS26415 VeriSign 以任播技術(shù)分散設(shè)置于多處63/7 BIND
K 193.0.14.129 2001:7fd::1 AS25152 荷蘭RIPE NCC 以任播技術(shù)分散設(shè)置于多處5/13 NSD
L 199.7.83.42 (2007年11月起生效,舊IP地址為198.32.64.12) 2001:500:3::42 AS20144 ICANN 以任播技術(shù)分散設(shè)置于多處37/1 NSD[8]
M 202.12.27.33 2001:dc3::35 AS7500 日本W(wǎng)IDE Project 以任播技術(shù)分散設(shè)置于多處5/1 BIND

5.根域名服務(wù)器與國家網(wǎng)絡(luò)信息安全[1]

  按照域名解析流程,在層級(jí)式域名解析體系中,處于最頂層的是根域名服務(wù)器,它負(fù)責(zé)管理世界各國的域名信息;根域名服務(wù)器下面是頂級(jí)域名服務(wù)器,存儲(chǔ)著相關(guān)域名管理機(jī)構(gòu)的數(shù)據(jù)庫;再下一級(jí)是域名數(shù)據(jù)庫和互聯(lián)網(wǎng)服務(wù)提供商(ISP:Intemet Service Provider)的緩存服務(wù)器 』。盡管在根域名服務(wù)器中沒有存儲(chǔ)每個(gè)域名的具體信息,但其中儲(chǔ)存了負(fù)責(zé)每個(gè)域(如COM、NET、ORG、CN等)的解析域名服務(wù)器的地址信息。

  通過上面對(duì)域名解析過程的分析可知,如果提供接入服務(wù)的本地域名服務(wù)器上沒有保存某個(gè)域名到IP地址對(duì)應(yīng)關(guān)系的緩存數(shù)據(jù),則域名轉(zhuǎn)化為IP地址的請(qǐng)求,都必須經(jīng)過根域名服務(wù)器的指引才能到達(dá)相應(yīng)的域名服務(wù)器找到對(duì)應(yīng)的IP地址。所以,從理論上來說,無論是COM形式的域名,還是CN形式的域名,都必須經(jīng)過根域名服務(wù)器才能順利地實(shí)現(xiàn)域名的解析。所以,根域名服務(wù)器在互聯(lián)網(wǎng)中處于十分重要的地位。

  從某種意義上說,根域名服務(wù)器就是互聯(lián)網(wǎng)的命脈,如果這13臺(tái)根域名服務(wù)器中的某一臺(tái)或幾臺(tái)出現(xiàn)故障,或遭到黑客攻擊而停止服務(wù),則域名解析有可能無法進(jìn)行,那些依靠這些域名系統(tǒng)支持的互聯(lián)網(wǎng)應(yīng)用和服務(wù)將停止工作。

  2002年lO月21日,13臺(tái)根域名服務(wù)器遭受到了有史以來規(guī)模最大的一次網(wǎng)絡(luò)攻擊。在大約1個(gè)小時(shí)的時(shí)間內(nèi),黑客調(diào)用了上千臺(tái)“僵尸”計(jì)算機(jī)(“僵尸”計(jì)算機(jī)指被黑客利用參與網(wǎng)絡(luò)攻擊的計(jì)算機(jī))對(duì)根域名服務(wù)器進(jìn)行了攻擊,導(dǎo)致其中的9臺(tái)喪失了對(duì)網(wǎng)絡(luò)通信的處理能力,網(wǎng)絡(luò)出現(xiàn)局部癱瘓。

  2007年2月5日晚,13個(gè)根域名服務(wù)器中的3個(gè)遭受到黑客的攻擊,其中包括運(yùn)行“ORG”域名的根域名服務(wù)器和美國國防部運(yùn)行的一個(gè)根域名服務(wù)器。盡管這次攻擊事件沒有對(duì)互聯(lián)網(wǎng)應(yīng)用造成太大的影響,但根域名服務(wù)器的安全問題引起了全球網(wǎng)絡(luò)安全專家的關(guān)注。

  2010年1月12日7時(shí)左右,“百度”首頁出現(xiàn)大面積的訪問故障,全國絕大多數(shù)地區(qū)均無法訪問“百度”網(wǎng)站,直至中午12時(shí)訪問才陸續(xù)恢復(fù)。事后調(diào)查發(fā)現(xiàn),出現(xiàn)這次事故的原因是美國負(fù)責(zé)“百度”域名解析的根域名服務(wù)器遭到了黑客攻擊。

  由于美國在互聯(lián)網(wǎng)建設(shè)和發(fā)展中所處的先天優(yōu)勢(shì),使得它擁有全球l3個(gè)根域名服務(wù)器中的1個(gè)主根服務(wù)器和9個(gè)輔根服務(wù)器。1998年1O月,美國商務(wù)部組建了互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN),負(fù)責(zé)根域名服務(wù)器的管理,包括IP地址的空間分配、協(xié)議標(biāo)識(shí)符的指派、頂級(jí)域名的管理等。盡管ICANN為一家非營利機(jī)構(gòu),但美國商務(wù)部卻擁有最終否決權(quán)。美國商務(wù)部曾經(jīng)承諾,當(dāng)ICANN滿足一定條件時(shí)將放棄最終的否決權(quán),并將最后的期限定為2006年。然而,2005年7月1日,美國政府宣布,美國商務(wù)部將繼續(xù)與ICANN簽訂合約,將無限期保留對(duì)l3臺(tái)根域名服務(wù)器的管理權(quán)。

  憑借對(duì)根域名服務(wù)器的管理權(quán),美國可以屏蔽掉某些國家的頂級(jí)域名,使這些域名無法得到解析。通過這樣一場沒有硝煙的戰(zhàn)爭,美國可以讓一個(gè)國家在互聯(lián)網(wǎng)中瞬間消失。2003年伊拉克戰(zhàn)爭期間,美國政府就曾授意ICANN終止對(duì)伊拉克國家項(xiàng)級(jí)城名IQ的解析,致使所有以IQ為后綴的網(wǎng)站瞬間從互聯(lián)網(wǎng)上消失了。2o04年4月,由于在頂級(jí)域名管理權(quán)問題上與美國發(fā)生分歧,利比亞頂級(jí)域名LY突然癱瘓,讓利比亞在互聯(lián)網(wǎng)世界里消失了整整4天。美國還于2008年曾切斷過古巴、朝鮮、蘇丹等國的MSN即時(shí)網(wǎng)絡(luò)通訊,使這些國家的用戶無法使用MSN。

  正是由于美國對(duì)根域名服務(wù)器擁于絕對(duì)的控制權(quán),所以互聯(lián)網(wǎng)已成為美國在全球推行其強(qiáng)權(quán)政治的重要工具,根服務(wù)器也成為影響國家網(wǎng)絡(luò)信息安全的重大隱患。


6.多邊共治

2014年,美國政府宣布,2015年9月30日后,其商務(wù)部下屬的國家通信與信息管理局(NTIA)與國際互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)將不再續(xù)簽外包合作協(xié)議,這意味著美國將移交對(duì)ICANN的管理權(quán)。

基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)(IPv6)根服務(wù)器測試和運(yùn)營實(shí)驗(yàn)項(xiàng)目—— “雪人計(jì)劃”2015年6月23日正式發(fā)布,我國下一代互聯(lián)網(wǎng)工程中心主任、“雪人計(jì)劃”首任執(zhí)行主席劉東認(rèn)為,該計(jì)劃將打破根服務(wù)器困局,全球互聯(lián)網(wǎng)有望實(shí)現(xiàn)多邊共治。

“雪人計(jì)劃”由我國下一代互聯(lián)網(wǎng)工程中心領(lǐng)銜發(fā)起,聯(lián)合WIDE機(jī)構(gòu)(現(xiàn)國際互聯(lián)網(wǎng)M根運(yùn)營者)、互聯(lián)網(wǎng)域名工程中心(ZDNS)等共同創(chuàng)立。2015年6月底前,將面向全球招募25個(gè)根服務(wù)器運(yùn)營志愿單位,共同對(duì)IPv6根服務(wù)器運(yùn)營、域名系統(tǒng)安全擴(kuò)展密鑰簽名和密鑰輪轉(zhuǎn)等方面進(jìn)行測試驗(yàn)證。

“雪人計(jì)劃”首次提出并實(shí)踐“一個(gè)命名體系,多種尋址方式”的下一代互聯(lián)網(wǎng)根服務(wù)器技術(shù)方案,打破固守現(xiàn)有13個(gè)根服務(wù)器的運(yùn)營者“神圣不可侵犯”、“數(shù)量不可改變”的教條,可以引入更多根服務(wù)器運(yùn)營者,同時(shí)也能保證一個(gè)命名體系不被破壞,真正實(shí)現(xiàn)多方共治的 “一個(gè)世界,一個(gè)互聯(lián)網(wǎng)”的愿景。

評(píng)論  |   0條評(píng)論