根域名服务器(root name server)
目录
|
根域名服务器是互联网域名解析系统(DNS)中最高级别的域名服务器,全球仅有13台根服务器。目前的分布是:主根服务器(A)美国1个,设置在弗吉尼亚州的杜勒斯;辅根服务器(B至M)美国9个,瑞典、荷兰、日本各1个。另外借由任播(Anycast)技术,部分根域名服务器在全球设有多个镜像服务器(mirror),因此可以抵抗针对其所进行的分布式拒绝服务攻击(DDoS)。
根服务器主要用来管理互联网的主目录,全世界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于荷兰和瑞典,亚洲1个,位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。
这13台根服务器可以指挥Firefox或InternetExplorer这样的Web浏览器和电子邮件程序控制互联网通信。由于根服务器中有经美国政府批准的260个左右的互联网后缀(如.com、.net等)和一些国家的指定符(如法国的.fr、挪威的.no等),自成立以来,美国政府每年花费近50多亿美元用于根服务器的维护和运行,承担了世界上最繁重的网络任务和最巨大的网络风险。因此可以实事求是地说:没有美国,互联网将是死灰一片。世界对美国互联网的依赖性非常大,当然这也主要是由其技术的先进性和管理的科学性所决定的。所谓依赖性,从国际互联网的工作机理来体现的,就在于“根服务器”的问题。从理论上说,任何形式的标准域名要想被实现解析,按照技术流程,都必须经过全球“层级式”域名解析体系的工作,才能完成。 “层级式”域名解析体系第一层就是根服务器,负责管理世界各国的域名信息,在根服务器下面是顶级域名服务器,即相关国家域名管理机构的数据库,如中国的CNNIC,然后是在下一级的域名数据库和ISP的缓存服务器。一个域名必须首先经过根数据库的解析后,才能转到顶级域名服务器进行解析。
在根域名服务器中虽然没有每个域名的具体信息,但储存了负责每个域(如COM、NET、ORG等)的解析的域名服务器的地址信息,如同通过北京电信你问不到广州市某单位的电话号码,但是北京电信可以告诉你去查020114。世界上所有互联网访问者的浏览器的将域名转化为IP地址的请求(浏览器必须知道数字化的IP地址才能访问网站)理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative name server, 如haier.com的权威域名服务器是dns1.hichina com)上得到对应的IP地址,当然现实中提供接入服务的ISP的缓存域名服务器上可能已经有了这个对应关系(域名到IP地址)的缓存。
根域名服务器是架构因特网所必须的基础设施。在国外,许多计算机科学家将根域名服务器称作“真理”(TRUTH),足见其重要性。但是攻击整个因特网最有力、最直接,也是最致命的方法恐怕就是攻击根域名服务器了。早在1997年7月,这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单,然而这份清单实际上是空白的。这一人为失误导致了因特网出现最严重的局部服务中断,造成数天之内网面无法访问,电子邮件也无法发送。
全球13个根域名服务器以英文字母A到M依序命名,网域名称格式为“字母.root-servers.net”。其中有9个是以任播(anycast)技术在全球多个地点设立镜像站。
字母 | IPv4地址 | IPv6地址 | 自治系统编号(AS-number) | 旧名称 | 运作单位 | 设置地点#数量(全球性/地区性) | 软件 |
---|---|---|---|---|---|---|---|
A | 198.41.0.4 | 2001:503:ba3e::2:30 | AS19836 | ns.internic.net | VeriSign | 以任播技术分散设置于多处6/0 | BIND |
B | 192.228.79.201(2004年1月起生效,旧IP地址为128.9.0.107) | 2001:478:65::53 (not in root zone yet) | none | ns1.isi.edu | 南加州大学信息科学研究所(Information Sciences Institute, University of Southern California) | 美国加州马里纳戴尔雷伊(Marina del Rey)0/1 | BIND |
C | 192.33.4.12 | AS2149 | c.psi.net | Cogent Communications | 以任播技术分散设置于多处6/0 | BIND | |
D | 199.7.91.13 (2013年起生效,旧IP地址为128.8.10.90) | AS27 | terp.umd.edu | 马里兰大学学院市分校(University of Maryland, College Park) | 美国马里兰州大学公园市(College Park)1/0 | BIND | |
E | 192.203.230.10 | AS297 | ns.nasa.gov | NASA | 美国加州山景城(Mountain View)1/0 | BIND | |
F | 192.5.5.241 | 2001:500:2f::f | AS3557 | ns.isc.org | 互联网系统协会(Internet Systems Consortium) | 以任播技术分散设置于多处2/47 | BIND 9 |
G | 192.112.36.4 | AS5927 | ns.nic.ddn.mil | 美国国防部国防信息系统局(Defense Information Systems Agency) | 以任播技术分散设置于多处6/0 | BIND | |
H | 128.63.2.53 | 2001:500:1::803f:235 | AS13 | aos.arl.army.mil | 美国国防部陆军研究所(U.S. Army Research Lab) | 美国马里兰州阿伯丁(Aberdeen)1/0 | NSD |
I | 192.36.148.17 | 2001:7fe::53 | AS29216 | nic.nordu.net | 瑞典Netnod(曾经是Autonomica) | 以任播技术分散设置于多处36 | BIND |
J | 192.58.128.30 (2002年11月起生效,旧IP地址为198.41.0.10) | 2001:503:c27::2:30 | AS26415 | VeriSign | 以任播技术分散设置于多处63/7 | BIND | |
K | 193.0.14.129 | 2001:7fd::1 | AS25152 | 荷兰RIPE NCC | 以任播技术分散设置于多处5/13 | NSD | |
L | 199.7.83.42 (2007年11月起生效,旧IP地址为198.32.64.12) | 2001:500:3::42 | AS20144 | ICANN | 以任播技术分散设置于多处37/1 | NSD[8] | |
M | 202.12.27.33 | 2001:dc3::35 | AS7500 | 日本WIDE Project | 以任播技术分散设置于多处5/1 | BIND |
按照域名解析流程,在层级式域名解析体系中,处于最顶层的是根域名服务器,它负责管理世界各国的域名信息;根域名服务器下面是顶级域名服务器,存储着相关域名管理机构的数据库;再下一级是域名数据库和互联网服务提供商(ISP:Intemet Service Provider)的缓存服务器 』。尽管在根域名服务器中没有存储每个域名的具体信息,但其中储存了负责每个域(如COM、NET、ORG、CN等)的解析域名服务器的地址信息。
通过上面对域名解析过程的分析可知,如果提供接入服务的本地域名服务器上没有保存某个域名到IP地址对应关系的缓存数据,则域名转化为IP地址的请求,都必须经过根域名服务器的指引才能到达相应的域名服务器找到对应的IP地址。所以,从理论上来说,无论是COM形式的域名,还是CN形式的域名,都必须经过根域名服务器才能顺利地实现域名的解析。所以,根域名服务器在互联网中处于十分重要的地位。
从某种意义上说,根域名服务器就是互联网的命脉,如果这13台根域名服务器中的某一台或几台出现故障,或遭到黑客攻击而停止服务,则域名解析有可能无法进行,那些依靠这些域名系统支持的互联网应用和服务将停止工作。
2002年lO月21日,13台根域名服务器遭受到了有史以来规模最大的一次网络攻击。在大约1个小时的时间内,黑客调用了上千台“僵尸”计算机(“僵尸”计算机指被黑客利用参与网络攻击的计算机)对根域名服务器进行了攻击,导致其中的9台丧失了对网络通信的处理能力,网络出现局部瘫痪。
2007年2月5日晚,13个根域名服务器中的3个遭受到黑客的攻击,其中包括运行“ORG”域名的根域名服务器和美国国防部运行的一个根域名服务器。尽管这次攻击事件没有对互联网应用造成太大的影响,但根域名服务器的安全问题引起了全球网络安全专家的关注。
2010年1月12日7时左右,“百度”首页出现大面积的访问故障,全国绝大多数地区均无法访问“百度”网站,直至中午12时访问才陆续恢复。事后调查发现,出现这次事故的原因是美国负责“百度”域名解析的根域名服务器遭到了黑客攻击。
由于美国在互联网建设和发展中所处的先天优势,使得它拥有全球l3个根域名服务器中的1个主根服务器和9个辅根服务器。1998年1O月,美国商务部组建了互联网名称与数字地址分配机构(ICANN),负责根域名服务器的管理,包括IP地址的空间分配、协议标识符的指派、顶级域名的管理等。尽管ICANN为一家非营利机构,但美国商务部却拥有最终否决权。美国商务部曾经承诺,当ICANN满足一定条件时将放弃最终的否决权,并将最后的期限定为2006年。然而,2005年7月1日,美国政府宣布,美国商务部将继续与ICANN签订合约,将无限期保留对l3台根域名服务器的管理权。
凭借对根域名服务器的管理权,美国可以屏蔽掉某些国家的顶级域名,使这些域名无法得到解析。通过这样一场没有硝烟的战争,美国可以让一个国家在互联网中瞬间消失。2003年伊拉克战争期间,美国政府就曾授意ICANN终止对伊拉克国家项级城名IQ的解析,致使所有以IQ为后缀的网站瞬间从互联网上消失了。2o04年4月,由于在顶级域名管理权问题上与美国发生分歧,利比亚顶级域名LY突然瘫痪,让利比亚在互联网世界里消失了整整4天。美国还于2008年曾切断过古巴、朝鲜、苏丹等国的MSN即时网络通讯,使这些国家的用户无法使用MSN。
正是由于美国对根域名服务器拥于绝对的控制权,所以互联网已成为美国在全球推行其强权政治的重要工具,根服务器也成为影响国家网络信息安全的重大隐患。
2014年,美国政府宣布,2015年9月30日后,其商务部下属的国家通信与信息管理局(NTIA)与国际互联网名称与数字地址分配机构(ICANN)将不再续签外包合作协议,这意味着美国将移交对ICANN的管理权。
基于全新技术架构的全球下一代互联网(IPv6)根服务器测试和运营实验项目—— “雪人计划”2015年6月23日正式发布,我国下一代互联网工程中心主任、“雪人计划”首任执行主席刘东认为,该计划将打破根服务器困局,全球互联网有望实现多边共治。
“雪人计划”由我国下一代互联网工程中心领衔发起,联合WIDE机构(现国际互联网M根运营者)、互联网域名工程中心(ZDNS)等共同创立。2015年6月底前,将面向全球招募25个根服务器运营志愿单位,共同对IPv6根服务器运营、域名系统安全扩展密钥签名和密钥轮转等方面进行测试验证。
“雪人计划”首次提出并实践“一个命名体系,多种寻址方式”的下一代互联网根服务器技术方案,打破固守现有13个根服务器的运营者“神圣不可侵犯”、“数量不可改变”的教条,可以引入更多根服务器运营者,同时也能保证一个命名体系不被破坏,真正实现多方共治的 “一个世界,一个互联网”的愿景。