自从美国宣布清洁网络行动,很多对网络有所了解的人第一反应是,美国人会启动根域名服务器吗?
这种担心不是一年两年了。
2014年6月24日,《人民日报》,引用一位专家的话说,目前,美国拥有全球互联网13个域名根服务器中的10个。理论上,只要国家的域名在根服务器上被屏蔽,这个国家的国家顶级域名网站可以瞬间消失在网络上。从这个意义上说,美国拥有世界美国控制互联网的独特权利,它有能力威慑其他国家网络前沿和网络主权。例如,在伊拉克战争期间,在美国政府的授意下,顶级域名。智商在伊拉克被终止,所有带有。智商从网上消失了。"一个
055-79000杂志2014年第10期的一篇文章写道:2004年,由于与利比亚在顶级域名管理上的争议,美国终止了利比亚的域名解析服务的顶级域名。LY,导致利比亚从网络上消失3天。"2
我们需要害怕这个吗?我们需要什么样的对策?
我我不是专家,但我真的会我不能回答这个问题。
因为需要了解DNS的工作原理和根域名的管理机制。
这里简单的回答是:不排除这种可能性,但它这不是不可能的。
一句话:虽然根子不在我们手里,但是我们有镜像。
DNS傻瓜书
先了解一些基本概念,懂DNS的可以直接跳过这一节。
1、DNS什么是DNS?
DNS就是把域名转换成IP,因为我们人类的记忆力太差了,我们可以根本记不住IP,计算机通讯必须用IP,于是我们发明了域名,这样就能记住Baidu.com、taobao.com这样的域名。然后通过DNS把这些域名转换成电脑需要的IP。
2、DNS是如何工作的?
每台计算机都有一个本地DNS服务器(称为l DNS)。需要时,它会向LDNS发出请求。LDNS在互联网上询问权威域名服务器(简称权威DNS)。有时候光问一个是不够的。要绕一大圈才能得到答案。
3、权威DNS是做什么的?
问我一个域名,我我告诉你IP,如果我不我不知道。我会告诉你谁可能知道,你可以再问一次。
4、什么是根DNS?
当LDNS一无所知(即没有缓存)时,询问根DNS。根可以告诉LDNS下一个该问谁。
5、世界上有多少个DNS?
13个,其中美国10个,英国和瑞典各1个,日本1个。
6、根DNS的名称和IP是什么?
在此网站:
https://www.internic.net/domain/named.root
如你所见,里面有13个根名称和IP,它们的名字从A.root-servers.net到M.root-servers.net。
A的开头简称A根,是主根,其他12个(B,C,D,E,F,G,H,I,J,K,L,M)是辅根。
为什么只有13个根DNS?
这不如果你不在乎I don’我不理解这一部分(大多数人不理解I don’我不明白。你只需要知道,对于IPv4,由于历史和技术原因,根DNS只能有13个IP。
正宗的回答是:DNS主要是用UDP数据报来传输消息,没有前面的报头。DNS报文要求控制在512字节以内(RFC1035)。主要考虑的是这个大小在互联网上几乎可以畅通无阻,不会因为路径中某个MTU太小而造成IP碎片(MTU总是=576,见RFC791),从而防止各种意想不到的后果3。
并且每个根DNS在DNS报文中占用一定数量的字节,比如根的名称、TTL、IP地址等。这样13个根域名服务器基本上就占了差不多的空间,剩下的字节还得用来封装DNS头等协议参数,所以根域名服务器不容易太多,13个是比较合适的数字。你可以看看为什么有13个DNS根服务器?"这篇文章。四
真的只有13台服务器吗?
它这和许多人想的完全不同。这13个根域名服务器不仅仅是13个物理服务器。
这13根只是一个逻辑概念。每个根DNS背后,都有很多真实的物理服务器在工作!
截至2020年8月12日,全球共有1097台根服务器。每个根都有几个镜像,分布在世界的不同地方。
这个数字还在不断上升。去年10月1日新中国成立70周年庆典的时候,我看了一下,是1015台服务器。
这13个根由12个独立机构管理。例如,根A和根J都由Verisign管理。截至2020年8月12日,Root A拥有53个站点,Root J在全球拥有185个站点。L Root由ICANN管理,全球共有167个站点,其中北京2个,上海1个。
所有这些根服务器的分布可以在根服务器网站5上找到。从网站显示的根镜像服务器地图(2020年8月12日)来看,北京有5台根镜像服务器,上海1台,杭州2台,武汉1台,郑州1台,西宁1台,贵阳1台,广州1台,香港9台,台北6台。
包括港澳台在内,中国有28个根镜。
事实上,所有在中国提出的根DNS请求都是通过镜像完成的。这个后面会解释。
现在,为了增加你的知识,它是时候咬紧牙关查看一些DNS细节了。
DNS到底是怎么工作的?
对于IT从业者来说,希望你能理解并牢记这一节的内容。
因为你迟早会遇到关于DNS的困惑。
我先介绍一下域名的级别:代表根域名,com是顶级域名,也叫一级域名,Baidu.com是二级域名,www.baidu.com是三级域名,以此类推。
注意:还有其他名字,只要知道意思就行。
让让我们介绍两种最常见的域名服务器:
权威:DNS负责对请求给出权威的回答。DNS中存储有三种记录:A记录(记录域名与其IP的对应关系)、NS记录(记录域名和负责解析该域的权威DNS)、CNAME记录(记录域名及其别名)。如果权威能直接回答,则返回记录A;如果需要其他权威DNS的回答,会返回NS记录,然后LDNS会询问其他权威DNS;如果记录是别名类型,它将被返回到CNAME,LDNS将再次解析别名。
递归DNS:通常是LDNS,它接受终端的域名查询请求,并负责在一轮在线查询后将答案返回给终端。
现在举一个具体的例子:例如,终端请求域名www.baidu.com的IP。
当没有缓存时,LDNS会从根DNS询问:
1、LDNS询问根DNS,www.baidu.com的IP是什么?"
2、根DNS表示,我如何能照顾到你的详细问题?可以问com顶级域的DNS。我只是去顶级域名。这里,这些是com顶级域的DNS的名称和IP。你可以问他们。"(回复NS记录)
3、LDNS又忙着问com的权威DNS了。com的权威DNS说,这是你问的三级域名。我不我不在乎那么多。请询问Baidu.com权威DNS。它的名字叫ns.baidu.com,IP是XXX(这里可能有好几个权威的DNS)
4、LDNS继续询问Baidu.com的权威DNS。这一次,它it’很高兴,因为www.baidu.com负责这件事。它可能会直接给出一个记录或CNAME记录。如果是前者,就直接拿到IP。如果是后者,则需要再次查询别名。
5、最后,LDNS获得www.baidu.com的IP,并将其返回给终端。
细心的人会问,LDNS在第一步询问根DNS的时候是怎么知道根DNS的IP的?
这13个IP通常在LDNS预先配置。当LDNS初始化DNS缓存或缓存失败时,LDNS发起根查询(即查询的NS记录)。)到其预先配置的IP之一,并获得最新的根DNS信息6。
对于DNS服务器软件,这13个IP配置在根提示文件中,可以命名为. cache或root.ca或root.hints等。
以上是各种课本都会讲的DNS查询流程,但其实没那么麻烦,因为各级都有缓存。
实际的DNS查询过程如下:
例如,用户在浏览器中输入这个域名:123.abc.qq.com.cn。
1、浏览器将首先检查其是否具有该域名的缓存。如果有,就直接返回。如果没有它会询问操作系统,操作系统也会检查自己的缓存。如果有,就直接返回。如果没有,它将转到主机文件并询问LDNS。
2、LDNS会先去看看有没有123.abc.qq.com.cn的记录,有就直接返回。如果没有,它会看自己有没有ABC . QQ . com . cn NS。如果没有,它会看自己有没有QQ . com . cn NS。如果没有,它将查看它是否有com.cn的DNS。如果没有,它将查看它是否有cn的DNS。
所以有了缓存,课本上从根上问的情况其实很少发生。
只有在到处都没有缓存的情况下,我们才会去求根。
镜子起什么作用?
镜像承担与根相同的功能。
DNS中最重要的文件是根区域文件。所有TLD记录都存在于根区域文件中。
辅助根从主根同步数据,根镜像从根同步数据。最终,所有的根和镜像都有相同的根文件。
最有趣的是,根镜像与根镜像具有相同的IP。
我们知道全世界有一千多个根图像,但大多数人不知道我不知道他们共享13个IP地址!那这是对的。因为只有13根。
这是怎么做到的?答案是选播技术。
如果你不如果你不关心技术细节,请直接阅读本节的最后一句。
Anycast最初由RFC1546提出,主要用于DNS根服务器。
任播是指在IP网络上通过一个IP地址识别一组提供特定服务的主机。服务访问者不我不在乎哪个主机提供服务。访问这个地址的消息可以被路由到最近的(最好只有一个,don t发送到多个)服务器。这里,最近的可以参考路由器跳数、服务器负载、服务器吞吐量、客户端和服务器之间的往返时间(RTT)、链路可用带宽等特征值。
这样,一方面用户可以就近访问;另一方面,即使一些根失败了,它很好。
有些同学可能会想到负载均衡,是的,那大致是这个意思。
对于中国的用户来说,对根的请求一般不会去美国,而是通过anycast技术路由到中国的根镜像。
根DNS是如何管理的?
根DNS目前由12个机构管理。Root A是主根,由美国公司Verisign管理。
DNS中最重要的文件,根区域文件,是由ICANN管理的。
ICANN(互联网名称与数字地址分配机构)是1998年在美国注册的非营利组织。
根DNS管理的历史变迁过程还是比较复杂的。让让我们在这里简单地谈一下。
DNS最初的技术开发者和管理员是南加州大学的Jon Postel博士,他在互联网早期负责根DNS的管理和分发。
1988年,美国政府要求Jon Postel采取更安全、更合理的措施,确保互联网核心资源的分配和管理。因此,著名的IANA(Internet Assigned Numbers Authority)是根据DARPA和南加州大学信息科学研究所(ISI)之间的合同建立和管理的。
IANA负责管理和协调互联网的全球编号和编码。之所以需要这样的组织,是因为互联网协议的数值或参数必须是全球唯一的,否则无法互联互通。例如,HTTP协议默认在端口80等待用户请求,而404编码一致代表找不到页面IANA 的主要职责包括分配IP地址段、协议代码和编号(如协议号和端口号)、自治系统号(ASN)和DNS根区域管理(包括通用顶级域名gTLD和国家和地区顶级域名ccTLD的管理)。八
1998年ICANN成立后,美国商务部通过合同委托ICANN负责IANA的日常运营,IANA从ISI转入ICANN。
对于顶级域名的管理,ICANN 的政策是,每一个顶级域名(如com、cn、org,目前有1000多个顶级域名)都要找一个托管人,域名的一切事宜都要由托管人来处理。
的监护人。cn域名是中国互联网络信息中心(CNNIC),它决定了互联网的各项政策。cn域名。
四个顶级域名。com,网,名字和。gov都是由Verisign托管的。
Verisign和ICANN仍然有一些糟糕的时候。九
2003年,威瑞信推出了一项新业务,网站搜索器。访问的用户未注册。com或者。net域名将被定向到Verisign 的网站。这意味着它实际上拥有所有未注册的。com和。net域名。几天之内,Verisign就跻身全球十大网站之列。
ICANN要求Verisign立即停止该业务,否则将终止域名托管合同。Verisign让步并停止了这项业务,但随后将ICANN告上法庭,要求法院判决ICANN是否有权干涉其业务。
2006年底,他们达成庭外和解。ICANN同意延长Verisign 的顶级域名托管合同,并同意将Verisign向消费者收取的单个域名注册费用的上限从6美元提高到7.85美元。这个收费标准一直沿用至今。当你注册一个. com或者。net域名,0.18美元是ICANN收取的管理费,7.85美元是Verisign收取的托管费,其余是域名零售商的费用。
虽然ICANN掌管着IANA,但毕竟是在美国政府的合同管理之下。世界各国和民间对此颇有微词,一致认为美国政府应该彻底退出。
2014年3月14日,美国商务部国家通信和信息管理局(NTIA)宣布愿意将IANA的管理权完全移交给ICANN,并要求ICANN制定移交方案。NTIA特别强调,移交计划应加强多利益攸关方模式,NTIA目前发挥的作用不应被政府间组织或政府主导的组织取代。
2016年3月17日,ICANN向NTIA提交了移交计划。2016年6月9日,NTIA公布了其审核意见,称ICANN提交的移交方案符合此前设定的条件。
2016年8月16日,NTIA宣布不会延长现有合同。
尽管遇到了一些阻碍10,但最终,在2016年10月1日,ICANN与美国商务部之间关于IANA职能的合同到期,没有续签。ICANN完全成为一个独立的非营利组织。IANA员工和其他相关资源转移到PTI(公共技术标识符),这是ICANN的一个新成立的子公司。
ICANN由全球多利益主体治理模式管理。PTI 美国董事会有五个席位,其中三个由ICANN任命,两个由全球互联网社区代表组成的提名委员会选举产生。2017年2月,ICANN公布了PTI理事选举公告。半年多后经过多轮面试和背景调查,提名委员会于2017年10月26日宣布,中国Beilongzhong.com的王伟与另一位欧洲代表入选。经过又一个半月的利益冲突审查,2017年12月13日,ICANN理事会正式确认王伟的选举。11
谁来管理中国的根象?
根据我目前查到的资料,从2003年开始,中国就在不断的推出根镜,尤其是去年,根镜的数量增长很快。
2003年,中国电信引入国内首个根镜像节点(F root)。
2005年,I-root服务器运营机构在CNNIC设立了中国第二个根镜像(I-root)。
2006年,中国联通(原中国网通)与美国VeriSign公司合作,在中国正式开通J根镜像服务器,同时引入全球两个最大的顶级域名。com 和。NET 镜像节点;引入这些镜像的主要目的是提高根域名和顶级域名的解析性能。
2014年,世纪互联与ICANN合作,在中国新增L根域名服务器镜像。
2019年6月24日,工信部批准CNNIC设置6台域名根镜像服务器(F、I、K、L)。6台域名根服务器编号为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L12,批准互联网域名系统北京工程研究中心(ZDNS)设置L根镜像服务器JX0007L13。
2019年11月6日,工信部批准中国信息通信研究院建立L台根镜像服务器,编号分别为JX0008L和JX0009L。
2019年12月5日,工业和信息化部批准中国信息通信研究院设立域名根服务器(K根镜像服务器),编号为JX0010K。
2019年12月9日,工信部批准CNNIC s分别建立编号为JX0011J和JX0012K的域名根服务器(J和K根镜像服务器)。
从工信部的批复可以了解到,相关单位负责根镜像的运行、维护和管理,维护国家利益和用户权益,接受工信部的管理、监督和检查。
工信部给CNNIC的批文上写着:你中心应严格遵守《信息安全与通信保密》 《互联网域名管理办法》及相关法律、法规、行政规章和行业管理规定,接受我部的管理、监督和检查,建立符合我部要求的信息管理系统并与我部指定的管理系统相连接,以确保域名根服务器安全可靠运行,为用户提供安全便捷的域名服务,保证服务质量,保护
美国能用根DNS做什么?
虽然ICANN是一个独立的非营利组织,但如果美国政府使用强制力,Root A(主根)的内容仍可能被篡改。
也就是说,根文件可能被篡改。
会如何被篡改?
让让我们先看看根文件是什么样子的。
您可以从ICANN官方网站下载根区域文件:
https://www.iana.org/domains/root/files
这个文件保存了所有顶级域名的信息,目前大小为2.2M,2万多行。
只要顶级域名发生变化,该文件就会更新。
我们可以看到cn域名解析相关的记录只有几十条。
如果删除那些与cn相关的行,很快就会同步到所有的根。
然后,在所有缓存过期后,世界上的每个人都可以不要用访问网站。cn后缀。
怎么处理?
因为我们维护根镜像,所以我们控制镜像中的内容。
但是,通过我们的运营商对中国根的访问将取决于对中国根镜像的访问。
我们不能同步cn的变化。
它就这么简单。
您可以简单地编写一个程序,并在每次同步后立即添加cn记录。
也可以建立自己的主根,和美国根完全不同步。(相当于再成立一个中央委员会)
当然,如果不采取措施,不在我们管理之下的根和根镜像仍然会同步这些删除。
然后,其他国家的人可以不要访问。cn网站除了中国自己。
然而,这些国家很快就会做出回应。所有想参观的国家。cn网站将加回cn记录,拒绝同步被美国删除的线路。
最终,只有美国人可以不要访问。cn网站。
总而言之,我不I don’我认为不是。美国这么做是有可能的,因为这一步棋太下了,会彻底羞辱美国政府,失去未来在互联网领域的任何话语权。ICANN也会失去公信力,整个互联网世界都会选择使用新的机构和新的根。
因为互联网世界的一贯规则是:有禁令就绕过。
附言
最后,让让我们来看看本文开头提到的两起断网事件:
关于伊拉克域名事件,可以看看清华大学段海鑫教授的文章:伊拉克域名被删除的背后。智商由美国和早期的根域名管理,这清楚地解释了整个事件。主要原因是前行政长官。智商域名2002年入狱,新管理员(NCMC) o
关于利比亚域名事件,你可以看看这篇文章:利比亚暂停服役的始末的国家顶级域名(。LY)事实是两个机构之间明争暗斗的结果。LY(其中一个关闭了的决议。LY域名服务器)。在这场混乱之后,ICANN批准了。2004年10月向利比亚邮政和电信公司撒谎。谎言事件得到解决。
本文提到的风险和对策主要是我个人的分析。让让我们看看业内专家的意见。
中国工程院院士、清华大学计算机系主任吴建平在2019年接受采访时表示,DNS根域名服务器不是核按钮互联网。全局根域名服务器操作员不能同时关闭所有根服务器,包括影子服务器。
互联网域名系统北京工程研究中心(ZDNS)主任毛伟15日表示:互联网专家一直在不断完善域名根系统的安全机制。即使root 确实是坏了,有应急方案。在中国,根区域数据备份和应急根服务器可以用来解决这个问题。在全球层面,可以通过根镜像、IPv6环境下根服务器数量的扩大、根服务器运行机制的替代机制等方式解决。
现在知道了这么多,你对根域名服务器放心了吗?
标签:根域名DNS