登錄

根域名服務(wù)器

百科 > 互聯(lián)網(wǎng) > 根域名服務(wù)器

1.什么是根域名服務(wù)器

  根域名服務(wù)器互聯(lián)網(wǎng)域名解析系統(tǒng)DNS)中最高級別的域名服務(wù)器,全球僅有13臺根服務(wù)器。目前的分布是:主根服務(wù)器(A)美國1個,設(shè)置在弗吉尼亞州的杜勒斯;輔根服務(wù)器(B至M)美國9個,瑞典、荷蘭、日本各1個。另外借由任播(Anycast)技術(shù),部分根域名服務(wù)器在全球設(shè)有多個鏡像服務(wù)器(mirror),因此可以抵抗針對其所進行的分布式拒絕服務(wù)攻擊(DDoS)。

2.根域名服務(wù)器的簡介

  根服務(wù)器主要用來管理互聯(lián)網(wǎng)的主目錄,全世界只有13臺。1個為主根服務(wù)器,放置在美國。其余12個均為輔根服務(wù)器,其中9個放置在美國,歐洲2個,位于荷蘭和瑞典,亞洲1個,位于日本。所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)域名與號碼分配機構(gòu)ICANN統(tǒng)一管理,負(fù)責(zé)全球互聯(lián)網(wǎng)域名根服務(wù)器、域名體系和IP地址等的管理。

  這13臺根服務(wù)器可以指揮Firefox或InternetExplorer這樣的Web瀏覽器和電子郵件程序控制互聯(lián)網(wǎng)通信。由于根服務(wù)器中有經(jīng)美國政府批準(zhǔn)的260個左右的互聯(lián)網(wǎng)后綴(如.com、.net等)和一些國家的指定符(如法國的.fr、挪威的.no等),自成立以來,美國政府每年花費近50多億美元用于根服務(wù)器的維護和運行,承擔(dān)了世界上最繁重的網(wǎng)絡(luò)任務(wù)和最巨大的網(wǎng)絡(luò)風(fēng)險。因此可以實事求是地說:沒有美國,互聯(lián)網(wǎng)將是死灰一片。世界對美國互聯(lián)網(wǎng)的依賴性非常大,當(dāng)然這也主要是由其技術(shù)的先進性和管理的科學(xué)性所決定的。所謂依賴性,從國際互聯(lián)網(wǎng)的工作機理來體現(xiàn)的,就在于“根服務(wù)器”的問題。從理論上說,任何形式的標(biāo)準(zhǔn)域名要想被實現(xiàn)解析,按照技術(shù)流程,都必須經(jīng)過全球“層級式”域名解析體系的工作,才能完成。 “層級式”域名解析體系第一層就是根服務(wù)器,負(fù)責(zé)管理世界各國的域名信息,在根服務(wù)器下面是頂級域名服務(wù)器,即相關(guān)國家域名管理機構(gòu)的數(shù)據(jù)庫,如中國的CNNIC,然后是在下一級的域名數(shù)據(jù)庫和ISP的緩存服務(wù)器。一個域名必須首先經(jīng)過根數(shù)據(jù)庫的解析后,才能轉(zhuǎn)到頂級域名服務(wù)器進行解析。

3.根域名服務(wù)器的主要作用

  在根域名服務(wù)器中雖然沒有每個域名的具體信息,但儲存了負(fù)責(zé)每個域(如COM、NET、ORG等)的解析的域名服務(wù)器的地址信息,如同通過北京電信你問不到廣州市某單位的電話號碼,但是北京電信可以告訴你去查020114。世界上所有互聯(lián)網(wǎng)訪問者的瀏覽器的將域名轉(zhuǎn)化為IP地址的請求(瀏覽器必須知道數(shù)字化的IP地址才能訪問網(wǎng)站)理論上都要經(jīng)過根服務(wù)器的指引后去該域名的權(quán)威域名服務(wù)器(authoritative name server, 如haier.com的權(quán)威域名服務(wù)器是dns1.hichina com)上得到對應(yīng)的IP地址,當(dāng)然現(xiàn)實中提供接入服務(wù)的ISP的緩存域名服務(wù)器上可能已經(jīng)有了這個對應(yīng)關(guān)系(域名到IP地址)的緩存。

  根域名服務(wù)器是架構(gòu)因特網(wǎng)所必須的基礎(chǔ)設(shè)施。在國外,許多計算機科學(xué)家將根域名服務(wù)器稱作“真理”(TRUTH),足見其重要性。但是攻擊整個因特網(wǎng)最有力、最直接,也是最致命的方法恐怕就是攻擊根域名服務(wù)器了。早在1997年7月,這些域名服務(wù)器之間自動傳遞了一份新的關(guān)于因特網(wǎng)地址分配的總清單,然而這份清單實際上是空白的。這一人為失誤導(dǎo)致了因特網(wǎng)出現(xiàn)最嚴(yán)重的局部服務(wù)中斷,造成數(shù)天之內(nèi)網(wǎng)面無法訪問,電子郵件也無法發(fā)送。

4.根域名服務(wù)器的管理機構(gòu)及設(shè)置地點

  全球13個根域名服務(wù)器以英文字母A到M依序命名,網(wǎng)域名稱格式為“字母.root-servers.net”。其中有9個是以任播(anycast)技術(shù)在全球多個地點設(shè)立鏡像站。

字母 IPv4地址 IPv6地址 自治系統(tǒng)編號(AS-number) 舊名稱 運作單位 設(shè)置地點#數(shù)量(全球性/地區(qū)性) 軟件
A 198.41.0.4 2001:503:ba3e::2:30 AS19836 ns.internic.net VeriSign 以任播技術(shù)分散設(shè)置于多處6/0 BIND
B 192.228.79.201(2004年1月起生效,舊IP地址為128.9.0.107) 2001:478:65::53 (not in root zone yet) none ns1.isi.edu 南加州大學(xué)信息科學(xué)研究所(Information Sciences Institute, University of Southern California) 美國加州馬里納戴爾雷伊(Marina del Rey)0/1 BIND
C 192.33.4.12 AS2149 c.psi.net Cogent Communications 以任播技術(shù)分散設(shè)置于多處6/0 BIND
D 199.7.91.13 (2013年起生效,舊IP地址為128.8.10.90) AS27 terp.umd.edu 馬里蘭大學(xué)學(xué)院市分校(University of Maryland, College Park) 美國馬里蘭州大學(xué)公園市(College Park)1/0 BIND
E 192.203.230.10 AS297 ns.nasa.gov NASA 美國加州山景城(Mountain View)1/0 BIND
F 192.5.5.241 2001:500:2f::f AS3557 ns.isc.org 互聯(lián)網(wǎng)系統(tǒng)協(xié)會(Internet Systems Consortium) 以任播技術(shù)分散設(shè)置于多處2/47 BIND 9
G 192.112.36.4 AS5927 ns.nic.ddn.mil 美國國防部國防信息系統(tǒng)局(Defense Information Systems Agency) 以任播技術(shù)分散設(shè)置于多處6/0 BIND
H 128.63.2.53 2001:500:1::803f:235 AS13 aos.arl.army.mil 美國國防部陸軍研究所(U.S. Army Research Lab) 美國馬里蘭州阿伯?。ˋberdeen)1/0 NSD
I 192.36.148.17 2001:7fe::53 AS29216 nic.nordu.net 瑞典Netnod(曾經(jīng)是Autonomica) 以任播技術(shù)分散設(shè)置于多處36 BIND
J 192.58.128.30 (2002年11月起生效,舊IP地址為198.41.0.10) 2001:503:c27::2:30 AS26415 VeriSign 以任播技術(shù)分散設(shè)置于多處63/7 BIND
K 193.0.14.129 2001:7fd::1 AS25152 荷蘭RIPE NCC 以任播技術(shù)分散設(shè)置于多處5/13 NSD
L 199.7.83.42 (2007年11月起生效,舊IP地址為198.32.64.12) 2001:500:3::42 AS20144 ICANN 以任播技術(shù)分散設(shè)置于多處37/1 NSD[8]
M 202.12.27.33 2001:dc3::35 AS7500 日本W(wǎng)IDE Project 以任播技術(shù)分散設(shè)置于多處5/1 BIND

5.根域名服務(wù)器與國家網(wǎng)絡(luò)信息安全[1]

  按照域名解析流程,在層級式域名解析體系中,處于最頂層的是根域名服務(wù)器,它負(fù)責(zé)管理世界各國的域名信息;根域名服務(wù)器下面是頂級域名服務(wù)器,存儲著相關(guān)域名管理機構(gòu)的數(shù)據(jù)庫;再下一級是域名數(shù)據(jù)庫和互聯(lián)網(wǎng)服務(wù)提供商(ISP:Intemet Service Provider)的緩存服務(wù)器 』。盡管在根域名服務(wù)器中沒有存儲每個域名的具體信息,但其中儲存了負(fù)責(zé)每個域(如COM、NET、ORG、CN等)的解析域名服務(wù)器的地址信息。

  通過上面對域名解析過程的分析可知,如果提供接入服務(wù)的本地域名服務(wù)器上沒有保存某個域名到IP地址對應(yīng)關(guān)系的緩存數(shù)據(jù),則域名轉(zhuǎn)化為IP地址的請求,都必須經(jīng)過根域名服務(wù)器的指引才能到達相應(yīng)的域名服務(wù)器找到對應(yīng)的IP地址。所以,從理論上來說,無論是COM形式的域名,還是CN形式的域名,都必須經(jīng)過根域名服務(wù)器才能順利地實現(xiàn)域名的解析。所以,根域名服務(wù)器在互聯(lián)網(wǎng)中處于十分重要的地位。

  從某種意義上說,根域名服務(wù)器就是互聯(lián)網(wǎng)的命脈,如果這13臺根域名服務(wù)器中的某一臺或幾臺出現(xiàn)故障,或遭到黑客攻擊而停止服務(wù),則域名解析有可能無法進行,那些依靠這些域名系統(tǒng)支持的互聯(lián)網(wǎng)應(yīng)用和服務(wù)將停止工作。

  2002年lO月21日,13臺根域名服務(wù)器遭受到了有史以來規(guī)模最大的一次網(wǎng)絡(luò)攻擊。在大約1個小時的時間內(nèi),黑客調(diào)用了上千臺“僵尸”計算機(“僵尸”計算機指被黑客利用參與網(wǎng)絡(luò)攻擊的計算機)對根域名服務(wù)器進行了攻擊,導(dǎo)致其中的9臺喪失了對網(wǎng)絡(luò)通信的處理能力,網(wǎng)絡(luò)出現(xiàn)局部癱瘓。

  2007年2月5日晚,13個根域名服務(wù)器中的3個遭受到黑客的攻擊,其中包括運行“ORG”域名的根域名服務(wù)器和美國國防部運行的一個根域名服務(wù)器。盡管這次攻擊事件沒有對互聯(lián)網(wǎng)應(yīng)用造成太大的影響,但根域名服務(wù)器的安全問題引起了全球網(wǎng)絡(luò)安全專家的關(guān)注。

  2010年1月12日7時左右,“百度”首頁出現(xiàn)大面積的訪問故障,全國絕大多數(shù)地區(qū)均無法訪問“百度”網(wǎng)站,直至中午12時訪問才陸續(xù)恢復(fù)。事后調(diào)查發(fā)現(xiàn),出現(xiàn)這次事故的原因是美國負(fù)責(zé)“百度”域名解析的根域名服務(wù)器遭到了黑客攻擊。

  由于美國在互聯(lián)網(wǎng)建設(shè)和發(fā)展中所處的先天優(yōu)勢,使得它擁有全球l3個根域名服務(wù)器中的1個主根服務(wù)器和9個輔根服務(wù)器。1998年1O月,美國商務(wù)部組建了互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN),負(fù)責(zé)根域名服務(wù)器的管理,包括IP地址的空間分配、協(xié)議標(biāo)識符的指派、頂級域名的管理等。盡管ICANN為一家非營利機構(gòu),但美國商務(wù)部卻擁有最終否決權(quán)。美國商務(wù)部曾經(jīng)承諾,當(dāng)ICANN滿足一定條件時將放棄最終的否決權(quán),并將最后的期限定為2006年。然而,2005年7月1日,美國政府宣布,美國商務(wù)部將繼續(xù)與ICANN簽訂合約,將無限期保留對l3臺根域名服務(wù)器的管理權(quán)。

  憑借對根域名服務(wù)器的管理權(quán),美國可以屏蔽掉某些國家的頂級域名,使這些域名無法得到解析。通過這樣一場沒有硝煙的戰(zhàn)爭,美國可以讓一個國家在互聯(lián)網(wǎng)中瞬間消失。2003年伊拉克戰(zhàn)爭期間,美國政府就曾授意ICANN終止對伊拉克國家項級城名IQ的解析,致使所有以IQ為后綴的網(wǎng)站瞬間從互聯(lián)網(wǎng)上消失了。2o04年4月,由于在頂級域名管理權(quán)問題上與美國發(fā)生分歧,利比亞頂級域名LY突然癱瘓,讓利比亞在互聯(lián)網(wǎng)世界里消失了整整4天。美國還于2008年曾切斷過古巴、朝鮮、蘇丹等國的MSN即時網(wǎng)絡(luò)通訊,使這些國家的用戶無法使用MSN。

  正是由于美國對根域名服務(wù)器擁于絕對的控制權(quán),所以互聯(lián)網(wǎng)已成為美國在全球推行其強權(quán)政治的重要工具,根服務(wù)器也成為影響國家網(wǎng)絡(luò)信息安全的重大隱患。


6.多邊共治

2014年,美國政府宣布,2015年9月30日后,其商務(wù)部下屬的國家通信與信息管理局(NTIA)與國際互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)將不再續(xù)簽外包合作協(xié)議,這意味著美國將移交對ICANN的管理權(quán)。

基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)(IPv6)根服務(wù)器測試和運營實驗項目—— “雪人計劃”2015年6月23日正式發(fā)布,我國下一代互聯(lián)網(wǎng)工程中心主任、“雪人計劃”首任執(zhí)行主席劉東認(rèn)為,該計劃將打破根服務(wù)器困局,全球互聯(lián)網(wǎng)有望實現(xiàn)多邊共治。

“雪人計劃”由我國下一代互聯(lián)網(wǎng)工程中心領(lǐng)銜發(fā)起,聯(lián)合WIDE機構(gòu)(現(xiàn)國際互聯(lián)網(wǎng)M根運營者)、互聯(lián)網(wǎng)域名工程中心(ZDNS)等共同創(chuàng)立。2015年6月底前,將面向全球招募25個根服務(wù)器運營志愿單位,共同對IPv6根服務(wù)器運營、域名系統(tǒng)安全擴展密鑰簽名和密鑰輪轉(zhuǎn)等方面進行測試驗證。

“雪人計劃”首次提出并實踐“一個命名體系,多種尋址方式”的下一代互聯(lián)網(wǎng)根服務(wù)器技術(shù)方案,打破固守現(xiàn)有13個根服務(wù)器的運營者“神圣不可侵犯”、“數(shù)量不可改變”的教條,可以引入更多根服務(wù)器運營者,同時也能保證一個命名體系不被破壞,真正實現(xiàn)多方共治的 “一個世界,一個互聯(lián)網(wǎng)”的愿景。

評論  |   0條評論