根服务器主要用来管理互联网的主目录。所有IPv4根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名IPv4根服务器、域名体系和IP地址等的管理。全世界只有13台IPv4根域名服务器。1个为主根服务器在美国。其余12个均为辅根服务器,其中9台在美国,欧洲2个,位于英国和瑞典,亚洲1个位于日本。这13个IPv4逻辑根服务器可以指挥Firefox或Internet Explorer这样的Web浏览器和电子邮件程序控制互联网通信。由于根服务器中有经美国政府批准的1000多个互联网后缀(如.top,.com等)和一些国家的指定符(如法国的.fr、挪威的.no等)。文末附13台根域详情。
2019年6月24日,工业和信息化部发布关于同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构的批复。根据工信部的公告,工信部同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构,负责运行、维护和管理编号分别为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器。
2014年,美国政府宣布,2015年9月30日后,其商务部下属的国家通信与信息管理局(NTIA)与国际互联网名称与数字地址分配机构(ICANN)将不再续签外包合作协议,这意味着美国将移交对ICANN的管理权。
2015年6月23日正式发布基于全新技术架构的全球下一代互联网(IPv6)根服务器测试和运营实验项目——“雪人计划”。
关于媒体各种解读,普通吃瓜群众还是一脸懵,DvOnline技术专家一一解答域名关键问题。详情:http://www.dvol.cn
问题1,为什么设置13台根域名服务器?
这要从DNS协议(域名解析协议)说起。DNS协议使用了端口上的UDP和TCP协议,UDP通常用于查询和响应,TCP用于主服务器和从服务器之间的传送。由于在所有UDP查询和响应中能保证正常工作的最大长度是512字节,512字节限制了根服务器的数量和名字。要让所有的根服务器数据能包含在一个512字节的UDP包中,IPv4根服务器只能限制在13个,而且每个服务器要使用字母表中的单个字母命名,这也是IPv4根服务器是从A~M命名的原因。
问题2,什么是根域名服务器的依赖性
美国通过控制根服务器而控制了整个互联网,从国际互联网的工作机理来体现的,就在于“根服务器”的问题。从理论上说,任何形式的标准域名要想被实现解析,按照技术流程,都必须经过全球“层级式”域名解析体系的工作,才能完成。 “层级式”域名解析体系第一层就是根服务器,负责管理世界各国的域名信息,在根服务器下面是顶级域名服务器,即相关国家域名管理机构的数据库,如中国的CNNIC,然后是在下一级的域名数据库和ISP的缓存服务器。一个域名必须首先经过根数据库的解析后,才能转到顶级域名服务器进行解析。
在根域名服务器中虽然没有每个域名的具体信息,但储存了负责每个域(如.com,.xyz,.cn,.ren,.top等)的解析的域名服务器的地址信息,如同通过北京电信你问不到广州市某单位的电话号码,但是北京电信可以告诉你去查020114。世界上所有互联网访问者的浏览器都将域名转化为IP地址的请求(浏览器必须知道数字化的IP地址才能访问网站)理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative domain name server) ,当然现实中提供接入服务的服务商(ISP)的缓存域名服务器上可能已经有了这个对应关系(域名以及子域名所指向的IP地址)的缓存。
问题3,我国设立F、I、K、L根镜像服务器是什么情况
根镜像服务器可以理解为原来根服务器的克隆版。虽然全球共计13个域名根服务器,但域名根镜像服务器则多达千台,为了保障根服务器在全球的通达性和安全可靠,每个根服务器实际都是一个服务器集群。集群内每个承担实际解析职能的服务器成为根镜像服务器。根据root-servers.org网站显示,截止到2019年6月27日,全球共有996个根镜像服务器。此次工信部批准在国内设立的一共是7个域名根镜像服务器,涵盖13个根中的F根、I根、K根和L根。在国内设立域名根服务器的镜像服务器能够有效提高域名解析的效率。根据工信部的《互联网域名管理办法》,在中国运行根服务器或镜像根成为根服务器运行机构是需要审批的,但这并不是说中国要另外搞根域名系统,不能过分解读。
问题4,域名安全与断网危险
针对坊间传言“美国可以轻易通过域名根服务器来让中国断网”,实际情况是,域名根服务器系统可以在一定程度上影响中国和境外网络的互联互通,但绝不影响中国境内网络的互联互通。互联网专家一直在不断完善域名根系统安全保障机制,就算真的断“根”了,也有应急方法来解决。全球互联网域名服务体系是一个非常庞大的分布式系统,整个系统分为根、顶级域名、二级和二级以下域名,以及权威和递归域名解析服务、注册服务。在国内,中国有技术能力保证中国网民正常使用互联网;在全球层面,各国工程师都在研究根服务演讲技术方案,例如IPv6环境下的根服务器数量扩展、基于区块链共识根机制、更新域名服务软件等方法来解决。
问题5,雪人计划情况
“雪人计划”由我国下一代互联网工程中心领衔发起,联合WIDE机构(现国际互联网M根运营者)、互联网域名工程中心(ZDNS)等共同创立。2015年6月底前,将面向全球招募25个根服务器运营志愿单位,共同对IPv6根服务器运营、域名系统安全扩展密钥签名和密钥轮转等方面进行测试验证。
“雪人计划”首次提出并实践“一个命名体系,多种寻址方式”的下一代互联网根服务器技术方案,打破固守现有13个根服务器的运营者“神圣不可侵犯”、“数量不可改变”的教条,可以引入更多根服务器运营者,同时也能保证一个命名体系不被破坏,真正实现多方共治的 “一个世界,一个互联网”的愿景。
在与现有IPv4根服务器体系架构充分兼容基础上,“雪人计划”于2016年在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设,事实上形成了13台原有根加25台IPv6根的新格局,为建立多边、民主、透明的国际互联网治理体系打下坚实基础。中国部署了其中的4台,由1台主根服务器和3台辅根服务器组成,打破了中国过去没有根服务器的困境。
截至2017年8月,25台IPV6根服务器在全球范围内已累计收到2391个递归服务器的查询,主要分布在欧洲、北美和亚太地区,一定程度上反映出全球IPV6网络部署和用户发展情况。从流量看,IPV6根服务器每日收到查询近1.2亿次。
附录1 比较重大的DNS事件
1997年故障
1997年7月,这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单,然而这份清单实际上是空白的。这一人为失误导致了因特网出现最严重的局部服务中断,造成数天之内网页无法访问,电子邮件也无法发送。
2002年遭遇攻击
在2002年的10月21日美国东部时间下午4:45开始,这13台IPv4根服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。此次受到的攻击是DDoS攻击,超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丧失了对网络通信的处理能力,另外两台也紧随其后陷于瘫痪。
2002年10月21日的这次攻击对于普通用户来说可能根本感觉不到受到了什么影响。如果仅从此次事件的“后果”来分析,也许有人认为“不会所有的13台IPv4根域名服务器都受到攻击,因此可以放心”,或者“根域名服务器产生故障也与自己没有关系”,还为时尚早。但他们并不清楚其根本原因是:
并不是所有的IPv4根域名服务器全部受到了影响;攻击在短时间内便告结束;攻击比较单纯,因此易于采取相应措施。由于对于DDoS攻击还没有什么特别有效的解决方案,设想一下如果攻击的时间再延长,攻击再稍微复杂一点,或者再多有一台服务器瘫痪,全球互联网将会有相当一部分网页浏览以及e-mail服务会彻底中断。
而且,我们更应该清楚地认识到虽然此次事故发生的原因不在于根域名服务器本身,而在于因特网上存在很多脆弱的机器,这些脆弱的机器植入DDoS客户端程序(如特洛伊木马),然后同时向作为攻击的根域名服务器发送信息包,从而干扰服务器的服务甚至直接导致其彻底崩溃。但是这些巨型服务器的漏洞是肯定存在的,即使2002年没有被发现,2002以后也肯定会被发现。而一旦被恶意攻击者发现并被成功利用的话,将会使整个互联网处于瘫痪之中。
2014年初DNS故障
2014年1月21日下午15时左右开始,全球大量互联网域名的DNS解析出现问题,一些知名网站及所有不存在的域名,均被错误的解析指向65.49.2.178(Fremont, California, United States,Hurricane Electric)。中国DNS域名解析系统出现了大范围的访问故障,包括DNSPod在内的多家域名解析服务提供商予以确认,此次事故波及全国,有近三分之二的网站不同程度的出现了不同地区、不同网络环境下的访问故障,其中百度、新浪等知名网站也受到了影响。
附录2 根域名服务器详情
IPv4分布
下表是这些机器的管理单位、设置地点及最新的IP地址:
名称 | IPv4地址 | IPv6地址 | 自治系统编号(AS-number) | 旧名称 | 运作单位 | 设置地点 #数量(全球性/地区性) | 软件 |
|---|
A | 198.41.0.4 | 2001:503:ba3e::2:30 | AS19836 | ns.internic.net | 美国VeriSign | 以任播技术分散设置于多处 6/0 | BIND |
|---|
B | 192.228.79.201 (2004年1月起生效,旧IP地址为128.9.0.107) | 2001:478:65::53 (not in root zone yet) | none | ns1.isi.edu | 美国南加州大学信息科学研究所 (Information Sciences Institute, University of Southern California) | 美国加州马里纳戴尔雷伊 (Marina del Rey) 0/1 | BIND |
|---|
C | 192.33.4.12 | 2001:500:2::C | AS2149 | c.psi.net | 美国Cogent Communications | 以任播技术分散设置于多处 6/0 | BIND |
|---|
D | 199.7.91.13(2013年起生效,旧IP地址为128.8.10.90) | 2001:500:2::D | AS27 | terp.umd.edu | 美国马里兰大学学院市分校 (University of Maryland, College Park) | 美国马里兰州大学公园市 (College Park) 1/0 | BIND |
|---|
E | 192.203.230.10 | 2001:500:a8::e | AS297 | ns.nasa.gov | 美国NASA | 美国加州山景城 (Mountain View) 1/0 | BIND |
|---|
F | 192.5.5.241 | 2001:500:2f::f | AS3557 | ns.isc.org | 美国互联网系统协会 (Internet Systems Consortium) | 以任播技术分散设置于多处 2/47 | BIND |
|---|
G | 192.112.36.4 | 2001:500:12::d0d | AS5927 | ns.nic.ddn.mil | 美国国防部国防信息系统局 (Defense Information Systems Agency) | 以任播技术分散设置于多处 6/0 | BIND |
|---|
H | 128.63.2.53 | 2001:500:1::803f:235 | AS13 | aos.arl.army.mil | 美国国防部陆军研究所 (U.S. Army Research Lab) | 美国马里兰州阿伯丁(Aberdeen) 1/0 | NSD |
|---|
I | 192.36.148.17 | 2001:7fe::53 | AS29216 | nic.nordu.net | 瑞典奥托诺米嘉公司(Autonomica) | 以任播技术分散设置于多处 36 | BIND |
|---|
J | 192.58.128.30 (2002年11月起生效,旧IP地址为198.41.0.10) | 2001:503:c27::2:30 | AS26415 | | 美国VeriSign | 以任播技术分散设置于多处 63/7 | BIND |
|---|
K | 193.0.14.129 | 2001:7fd::1 | AS25152 | | 英国RIPE NCC | 以任播技术分散设置于多处 5/13 | NSD |
|---|
L | 199.7.83.42 (2007年11月起生效,旧IP地址为198.32.64.12) | 2001:500:3::42 | AS20144 | | 美国ICANN | 以任播技术分散设置于多处 37/1 | NSD |
|---|
M | 202.12.27.33 | 2001:dc3::35 | AS7500 | | 日本WIDE Project | 以任播技术分散设置于多处 5/1 | BIND |
|---|
IPv6分布
| 运作单位 | 管理国家 | 地位 | 主机名 | IPv6地址 |
| Beijing Internet Institute | 中国 | DM and Root server | bii.dns-lab.net | 240c:f:1:22::6 |
| WIDE Project | 日本 | DM and Root server | yeti-ns.wide.ad.jp | 2001:200:1d9::35 |
| TIISF | 美国 | DM and Root server | yeti-ns.tisf.net | 2001:4f8:3:1006::1:4 |
| AS59715 | 意大利 | Root server | yeti-ns.as59715.net | |
| Dahu Group | 法国 | Root server | dahu1.yeti.eu.org | |
| Bond Intemet Systems | 西班牙 | Root server | ns-yeti.bonsid..org | 2a02:2810:0:405::250 |
| MSK-IX | 俄国 | Root server | yeti-ns.ix.ru | 2001:6d0:6d06::53 |
| CERT Austris | 奥地利 | Root server | yeti.bofh.priv.at | |
| ERNET Inda | 印度 | Root server | yeti.ipv6.ernet.in | |
| dnsworkshop/informnis | 德国 | Root server | yeti-dns01.dnsworkshop.org | 2a03:4000:5:2c3::53 |
| Dahu Group | 法国 | Root server | dahu2.yeti.eu.org | 2001:67c:217c:6::2 |
| Aqua Ray SAS | 法国 | Root server | yeti.aquaray.com | 2a02:ec0:200::1 |
| SWITCH | 瑞士 | Root server | yeti-ns.switch.ch | 2001:620:0:ff::29 |
| CHILENIC | 智利共和国 | Root server | yeti-ns.lab.nic.cl | |
| Yeti-Shanghai | 中国 | Root server | yeti-ns1.dns-lab.net | 2001:da8:a3:a027::6 |
| Yeti-Chengdu | 中国 | Root server | yeti-ns2.dns-lab.net | 2001:da8:268:420::6 |
| Yeti-Guangzhou | 中国 | Root server | yeti-ns3.dns-lab.net | 2400:a980:30ff::6 |
| Yeti-ZA | 南非 | Root server | | 2c0f:f530::6 |
| Yeti-AU | 澳大利亚联邦 | Root server | | 2401:c900:1401:3b:c::6 |
| ERNET iNDIA | 印度 | Root server | yeti1.ipv6.ernet.in | |
| ERNET iNDIA | 印度 | Root server | | |
| dnsworkshop/informnis | 美国 | Root server | yeti-dns02.dnsworkshop.org | |
| Monshouwer Internet Diensten | 荷兰 | Root server | yeti.mind-dns.nl | |
| DATEV | 德国 | Root server | yeti-ns.datev.net | |
| JHCLOOS | 美国 | Root server | yeti.jhcloos.net | |
(DVOL本文转自:中国DV传媒 http://www.dvol.cn)
