作者:魏建凡自从美国宣布“清洁网络”倡议以来,很多了解互联网的人的第一反应就是,美国人会攻击根域名服务器吗?这种担心已经不是一两年了。2014年6月24日《人民日报》,引述一位专家的话说:“目前,全球互联网13个域名根服务器中,美国占有10个。国家顶级域名网站瞬间“消失”在互联网上。从这个意义上说,美国对互联网拥有独特的控制权,有能力威慑他国的互联网前沿和互联网主权。例如,在伊拉克战争期间,在美国政府的授意下,伊拉克顶级域名“.iq”的申请和解析被终止,所有以“.iq”为后缀的网站从互联网上消失。”2014年1《信息安全与通信保密》杂志第10期的一篇文章写道:“2004年、2009年,因与利比亚在顶级域名管理上发生争执,美国终止了利比亚顶级域名解析服务——级域名.LY,导致利比亚从互联网上消失3天。”2我们需要害怕这个吗?我们需要什么样的对策?我不是专家,所以我真的无法回答这个问题。因为这需要了解DNS的工作原理和根域名的管理机制。这里先简单回答一下:不排除这种可能,但也不是没有可能。一句话的道理:虽然root不在我们手中,我们有一个镜像。DNSforDummiesbook先了解一些基本概念,了解DNS的可以直接跳过本节。1、什么是DNS?DNS把域名转换成IP,因为我们人类的记忆力太差了,根本记不住IP,而计算机通讯必须要用IP,所以人类发明了域名,让我们记住baidu。com、taobao.com等容易记住的域名。然后通过DNS,将这些域名转换为电脑需要的IP。2.DNS是如何工作的?每台计算机都配备了本地DNS服务器(简称LDNS)。必要时,它会向LDNS发送请求。LDNS在网上问权威域名服务器(简称权威DNS),有时候问一个是不够的,要问很多问题才能得到答案。3、权威DNS有什么用?问我域名,我告诉你IP。如果我不知道,我会告诉你谁可能知道,你可以再问。4、什么是根域名服务器(简称根DNS)?当LDNS什么都不知道的时候(也就是没有缓存),去问根DNS,根可以告诉LDNS接下来要问谁。5、全球有多少根DNS?13个,其中美国10个,英国和瑞典1个,日本1个。6.根DNS的名称和IP是什么?在这个网站:https://www.internic.net/domain/named.root,可以看到有13个根名称和IP,它们的名称都是从A.root-servers.net到M.root-servers开头的。网。A开头的称为A根,是主根,另外12个(B、C、D、E、F、G、H、I、J、K、L、M)是辅助根。为什么只有13个根DNS?这一段你看不懂也没关系(一般人看不懂),你只需要知道,由于历史和技术原因,对于IPv4,根DNS只能有13个IP。正宗的答案是:DNS主要是用UDP数据报来传输报文,不包括前面的headers。要求DNS消息控制在512字节以内(RFC1035)。主要考虑的是这个大小几乎可以在互联网上畅通无阻,不会因为路径中的某个MTU太小而造成IP分片(MTU通常>=576,参见RFC791),从而防止各种不可预知的后果3。而每个根DNS都会在DNS报文中占据一定的字节数,比如根的名称、TTL、IP地址等。这样13个根域名服务器基本上就占了差不多的空间,剩下的字节用来封装DNS头和其他协议参数,所以根域名服务器也不容易太多,13个比较多适当的数目。详情请参考《为什么要13台DNS根服务器?》一文。4真的只有13台服务器吗?跟很多人想象的完全不一样,13台根域名服务器不仅仅是13台物理服务器。这13根只是一个逻辑概念。每个根DNS背后,都有多台真实的物理服务器在工作!截至2020年8月12日,全球共有1097台根服务器。每个根都有几个图像分布在世界各地的不同地方。这个数字还在不断上升。去年10月1日新中国成立70周年阅兵的时候,我查了一下,是1015台服务器。这13个根由12个独立组织管理。例如,A根和J根都由Verisign管理。截至2020年8月12日,A根在全球拥有53个站点,J根拥有185个站点。L根由ICANN管理,在全球有167个站点,其中北京2个,上海1个。在根服务器网站上,您可以找到所有这些根服务器的分布。从网站上显示的根镜像服务器分布图(2020年8月12日)来看,北京有5台根镜像服务器,上海有1台,杭州有1台。2、武汉1例、郑州1例、西宁1例、贵阳1例、广州1例、香港9例、台北6例。包括港澳台在内,我国共有28个根映像。国内向根DNS发送的请求,其实都是通过镜像完成的。这将在后面解释。现在,为了增加您的知识,您应该硬着头皮查看一些DNS详细信息。DNS是如何工作的?对于IT从业者,希望大家能够理解并牢记本节内容。因为您迟早会对DNS感到困惑。先介绍一下域名的等级:.代表根域名,.com是顶级域名,也叫一级域名,baidu.com叫二级域名,www.baidu.com叫三级域名,等等。注意:还有其他的名字,反正你知道是什么意思就行了。介绍一下最常见的两种域名服务器:权威DNS:负责对请求的权威回答。权威DNS存储记录,最常见的三种:A记录(记录域名与其IP的对应关系)、NS记录(记录域名和负责解析该域名的权威DNS)、CNAME记录(负责记录域名及其别名)。如果权限可以直接回答,则返回A记录;如果需要其他权威DNS回答,则返回NS记录,然后LDNS再去其他权威DNS询问;如果记录是别名类型,会返回CNAME,LDNS会再去解析别名。递归DNS:通常是LDNS,它接受终端的域名查询请求,并负责在互联网上四处询问后,将答案返回给终端。现在举个具体的例子:比如终端请求域名www.baidu.com的IP。当没有缓存时,LDNS会向根DNS询问:1.LDNS会向根DNS询问:“www.baidu.com的IP是多少?”。2.根DNS说:“我没时间关心你的详细问题,你可以问com顶级域的DNS,我只关心顶级域,这里,这些是名字和com顶级域DNS的IP。你可以问他们。(响应NS记录)3、LDNS又去问com的权威DNS,com的权威DNS说:“你问的是三级域名,我管不了那么多,你可以问baidu.com的权威DNS,名称为ns.baidu.com,IP为XXX(此处可给出多个权威DNS)”。4、LDNS继续询问baidu.com的权威DNS。这一次,很高兴,因为由百度网负责。可能直接给A记录,也可能给CNAME记录。如果是前者,直接获取IP,如果是后者,则需要重新查询别名。5、最后LDNS获取www.baidu.com的IP返回给终端。细心的人会问,在第1步LDNS询问根DNS的时候,他是怎么知道根DNS的IP的?这13个IP通常在LDNS中预先配置。当LDNS初始化DNS缓存或缓存失效时,LDNS向其中一个预先配置的IP发起根查询(即查询NS记录),获取最新的根DNS信息6。对于DNS服务器软件,这13个IP配置在根提示文件(roothintsfile)中,可能是named.cache或root.ca或root.hints等。以上就是各种教材中提到的DNS查询过程,其实并没有那么麻烦,因为各级都有缓存。实际的DNS查询过程如下:比如用户在浏览器中输入这个域名:123.abc.qq.com.cn1,浏览器会先检查是否有这个域名的缓存。,直接返回就可以了,如果没有就去问操作系统,操作系统也会查看自己的缓存,有就直接返回,没有就去hosts文件,没有就去问LDNS.2、LDNS会先检查你是否有123.abc.qq.com.cn的A记录。如果你有,你会直接退货。如果没有,你就看看你有没有abc.qq.com.cn的NS记录。如果是,则向它询问答案,如果没有,则查看是否有qq.com.cn的DNS记录,如果有,则询问它,如果没有,则查看是否有qq.com.cn的DNS记录,如果没有,再检查检查是否有cn的DNS。如果没有cn的NS记录,就去问root。所以有了缓存,教科书上从根问起的情况其实很少发生。如果任何地方都没有缓存,我们只会询问root。根映像有什么作用?根映像执行与根相同的功能。在根DNS中,最重要的文件就是根区文件(RootZonefile)。所有TLD记录都存储在根区域文件中。从根从主根同步数据,根镜像从根同步数据。最终,所有根和镜像都具有相同的根区域文件。最有趣的是,根映像与根具有相同的IP。我们知道世界上有超过一千个根镜像,但大多数人并不知道它们共享13个IP!这是正确的。因为只有13根。这是怎么做到的?答案是任播(Anycast,又译任播)技术。如果您不关心技术细节,请直接阅读本节最后一句。Anycast最初由RFC1546提出,主要用于DNS根服务器上。Anycast是指在IP网络上通过IP地址识别一组提供特定服务的主机。服务访问方不关心哪台主机提供服务,访问该地址的数据包可以路由到IP网络中“最近”的一台(最好只有一台,不要发送给多台)服务器。这里的“最近”可以指路由器跳数、服务器负载、服务器吞吐量、客户端与服务器之间的往返时间(RTT,roundtriptime)、链路的可用带宽等特征值。这样,一方面,用户可以就近访问;另一方面,即使某些根失败了。有的同学可能会想到负载均衡,没错,大致就是这个意思。对于中国用户来说,root请求一般不会去美国,而是通过anycast技术路由到中国的root镜像。根DNS是如何管理的?根DNS目前由12个组织管理。A根是主根,由美国威瑞信公司管理。根DNS中最重要的文件,即根区域文件,由ICANN管理。ICANN(TheInternetCorporationforAssignedNamesandNumbers,互联网名称与数字地址分配机构)是一个非盈利组织,成立于1998年,在美国注册。根DNS管理的历史变迁过程相当复杂。这里简单介绍一下。DNS最初的技术开发者和管理者是南加州大学的JonPostel博士,他在互联网早期负责根DNS的管理和分配。1988年,美国政府要求JonPostel采取更安全、更合理的措施,确保互联网核心资源的分配和管理7。于是,著名的IANA(TheInternetAssignedNumbersAuthority,互联网号码分配机构)在DARPA和南加州大学信息科学研究所(ISI)的合同下组建和管理。IANA负责管理和协调互联网的全球编号和编码。之所以需要这样一个组织,是因为互联网协议的值或参数必须在世界范围内是唯一的,否则就无法互联互通。例如,HTTP协议默认在端口80上等待用户请求,而404代码始终表示“找不到页面”。IANA的主要职责包括IP地址段的分配、协议代码和号码的分配(如协议号、端口号)、自治系统号(ASN)的分配、DNS根区管理(包括gTLD和国家和地区)regiontop-leveldomainsccTLDmanagement)等。81998年ICANN成立后,美国商务部以合同形式委托ICANN承担IANA的日常运营,IANA由ISI转交给ICANN。对于顶级域名的管理,ICANN的政策是每个顶级域名(如com、cn、org,目前有1000多个顶级域名)找一个托管人,所有的事务域名由托管人处理。.cn域名的监管机构是中国互联网络信息中心(CNNIC),它决定.cn域名的各项政策。.com、.net、.name和.gov这四个顶级域由Verisign托管。Verisign和ICANN有过几次不愉快的时刻。92003年,威瑞信推出了一项新服务SiteFinder。当用户访问未注册的.com或.net域名时,他们将被定向到Verisign的网站。这意味着它实际上拥有所有未注册的.com和.net域名。几天之内,威瑞信就跻身世界前10大网站之列。ICANN要求威瑞信立即停止业务或终止域名托管合同。威瑞信就此让步,停止了业务,但随后将ICANN告上法庭,要求法庭要求双方签订合同,ICANN是否有权干涉其业务。2006年底,他们达成庭外和解。ICANN同意延长威瑞信的顶级域托管合同,并同意将威瑞信向消费者收取的单个域名注册费用的上限从6美元提高到7.85美元。这个收费标准一直沿用至今。注册.com或.net域名时,ICANN收取的管理费是0.18美元,Verisign收取的托管费是7.85美元,剩下的钱是域名零售商。费用。ICANN虽然运营IANA,但毕竟是在美国政府的合同管理之下。世界各国和民众纷纷批评,一致认为美国政府应该全面退出。2014年3月14日,美国商务部国家通信与信息管理局(NTIA)宣布,愿意将IANA的管理权完全移交给ICANN,并要求ICANN制定移交方案。NTIA特别强调,移交计划应加强多利益相关方模型,政府间组织或政府主导的组织不应取代NTIA目前发挥的作用。2016年3月17日,ICANN向NTIA提交了移交计划。2016年6月9日,NTIA公布审核意见,称ICANN提交的移交方案符合此前设定的条件。2016年8月16日,NTIA宣布不会续签现有合同。尽管遇到一些障碍10,最终,在2016年10月1日,ICANN与美国商务部就IANA职能签订的合同到期,不再续约,ICANN彻底成为一个独立的非营利组织。IANA部门的人员和其他相关资源被转移到ICANN新成立的子公司PTI(PublicTechnicalIdentifiers,公共技术标识符)。ICANN使用全球多利益相关方治理模型进行治理。PTI的董事会有5个席位,3个席位由ICANN任命,2个席位由全球互联网社区代表组成的提名委员会选出。2017年2月,ICANN发布了PTI董事选举公告。Afterhalfayearofinterviewsandbackgroundchecks,thenominationcommitteeannouncedonOctober26,2017thatWangWeiofmycountry'sBeilongChinaNetworkandanotherEuropeanrepresentativehadbeenelected.Afteranothermonthandahalfofconflictofinterestreview,onDecember13,2017,theICANNBoardofDirectorsofficiallyconfirmedWangWei'selection.11谁管理我国的根映像?根据我目前查到的资料,从2003年开始,我国就不断推出根镜像。尤其是去年,根镜像的数量增长迅速。2003年,中国电信推出了国内第一个根镜像节点(F-root)。2005年,I-root服务器运营商在CNNIC建立了中国第二个根镜像(I-root)。2006年,中国联通(原中国网通)与美国VeriSign公司合作,在中国正式开通J根镜像服务器,同时引入全球最大的“.COM”和“.COM”两大顶级域名。.NET”镜像节点;引入这些镜像的主要目的是提高根域名和顶级域名的解析性能。2014年,21Vianet与ICANN合作,在中国新增L根域名服务器镜像。2019年6月24日,工信部批准CNNIC设立6个域名根镜像服务器(F、I、K、L)。这6台域名根服务器编号为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L12,并批准互联网域名系统北京工程研究中心(ZDNS)设立L根镜像服务器JX0007L13。2019年11月6日,工信部批准中国信息通信研究院设立L根镜像服务器,编号分别为JX0008L和JX0009L。2019年12月5日,工信部批准中国信息通信研究院设立域名根服务器(K根镜像服务器),编号JX0010K。2019年12月9日,工信部批准CNNIC设立域名根服务器(J和K根镜像服务器),编号分别为JX0011J和JX0012K。从工信部的批复文件中可以了解到,相关单位负责根映像的运行、维护和管理,维护国家利益和用户权益,接受根映像的管理和监督检查。工业和信息化部。工信部在给CNNIC的批复文件中写道:“贵中心应严格遵守《互联网域名管理办法》《通信网络安全防护管理办法》及相关法律法规、行政规章和行业管理规定,接受我部管理和监督检查,建立符合我司要求的信息管理系统,并与我部指定的管理系统对接,确保域名根服务器安全可靠运行,为用户提供安全、便捷的域名服务,保证服务质量,保护用户人身安全信息安全,维护国家利益和用户权益。”DNS在做什么?ICANN虽然是一个独立的非营利组织,但如果美国政府动用强制力,A根(taproot)的内容还是有可能被篡改的。也就是说,根区域文件可以被篡改。怎么会被篡改?我们先来看看根区文件长什么样。根区文件可以在ICANN官网下载:https://www.iana.org/domains/root/files该文件保存了所有顶级域名的信息。目前大小2.2M,2万多行。每当TLD发生变化时,都会更新此文件。我们可以看到,与cn域名解析相关的记录只有几十行。如果删除与cn相关的那些行,它将很快同步到所有根。那么,当所有的缓存都过期之后,世界上就没有人可以访问.cn后缀的网站了。如何处理?由于我们维护根映像,因此我们控制了映像中的内容。而在中国的根访问,通过我们的运营商,将落在我们国家根镜像的访问上。我们无法同步cn上的修改。就这么简单。可以简单的写一个程序,每次同步后立即添加cn记录。您也可以自己设置一个主根,与美国根完全不同步。(相当于建立了一个单独的中心)当然,如果不采取任何行动,不在我们管理范围内的世界各地的根和根镜像仍然会同步这些删除。那么,除了中国本身,其他国家的人是无法访问.cn网站的。不过,这些国家很快就会做出反应。任何国家要访问.cn网站,都会把cn记录加回去,拒绝同步美国删除的行。最后只有美国人不能访问.cn网站。综合以上分析,我认为美国这样做的可能性不大,因为此举太自卑了,会彻底抹黑美国政府,失去未来在互联网领域的任何话语权。而ICANN也会失去公信力,整个互联网世界都会选择使用新的机构和新的主根。因为互联网世界的一贯原则是:有禁令就绕开。后记的最后,我们来看看本文开头提到的两起断线事件到底是怎么回事:关于伊拉克域名事件,可以看看清华大学段海欣教授的文章:“原因“美国删除伊拉克域名.IQ及早期根域名管理”的幕后黑手,清楚地说明了整个事件的来龙去脉,主要原因是.iq域名的前任管理者是2002年入狱,新任经理(NCMC)2005年才提出申请,当时IANA也考虑过寻求新老代理人对新授权的一致认可,于是出现了所谓的“申请”分析工作终止”。关于利比亚域名事件,您可以阅读这篇文章:《利比亚国家顶级域名(.LY)停服原委》。.LY域名服务器解析议)。在这些事件发生后,2004年10月,ICANN批准将.LY授予利比亚邮电公司,.LY事件得以平息。本文提到的风险和应对主要是我个人的分析。来看看业内专家怎么说。中国工程院院士、清华大学计算机系主任吴建平在201914接受采访时表示,DNS根域名服务器并不是互联网的“核按钮”。全球互联网根域名服务器的运营商不可能同时关闭包括影子服务器在内的所有根服务器。互联网域名系统(ZDNS)北京工程研究中心主任毛伟表示15:互联网专家一直在不断完善域名根系统的安全机制。即使真的断了“根”,也有应急措施可以解决。国内可以通过备份根区数据,搭建应急根服务器的方式解决;在全球层面,可以通过使用根镜像、扩大IPv6环境中根服务器的数量以及根服务器运行组织的替代机制来解决。现在,了解了这么多,关于根域名服务器,是不是放心了许多?参考资料:从互联网强国到互联网强国(http://opinion.people.com.cn/n/2014/0624/c1003-25189448.html)美国互联网霸权分析(http://www.wanfangdata.com.cn/details/detail.do?_type=perio&id=xxaqytxbm201410030)为什么只有13个域名根服务器?(https://www.zhihu.com/question/22587247)为什么有13个DNS根服务器?(https://miek.nl/2013/november/10/why-13-dns-root-servers/)https://root-servers.org使用启动查询初始化DNS解析器(https://tools.ietf.org/html/draft-ietf-dnsop-resolver-priming-11)薛洪:互联网全球治理新篇章(https://zhuanlan.zhihu.com/p/23042167)ICANN:IANA职能(https://www.icann.org/zh/system/files/files/iana-functions-18dec15-zh.pdf)阮一峰:根域名的知识徐佩玺:IANA职能管理权移交谁是赢家?治理重点岗位(http://news.sina.com.cn/c/2017-12-25/doc-ifypwzxq6350205.shtml)工信部同意中国互联网络信息中心建立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构核准(http://www.miit.gov.cn/n1146352/n3054355/n3057709/n4704651/c7015545/content.html)工业和信息化部关于批准互联网域名系统北京工程研究中心有限公司设立域名根服务器(L根镜像服务器)和域名根服务器运行机构的批复(http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015527/content.html)中国工程院院士吴建平:DNS根服务器不是互联网的核按钮!ZDNS毛卫:互联网root无法断开中国,更应重视企业域名服务风险请联系微悦人华公众号。
