<div class="iteye-blog-content-contain" style="font-size: 14px;">
<div class="para">全球共有13台<strong>根逻辑域名服务器</strong>。这13台逻辑根域名服务器中名字分别为“A”至“M”,真实的根服务器在2014年1月25日的数据为386台,分布于全球各大洲。</div>
<div class="para">根<a href="http://baike.baidu.com/view/543329.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">域名服务器</span></span></a>是架构因特网所必须的基础设施。在国外,许多计算机科学家将根域名服务器称作“真理”(TRUTH),足见其重要性。换句话说——攻击整个因特网最有力、最直接,也是最致命的方法恐怕就是攻击根域名服务器了。</div>
<div class="para">在根域名服务器中虽然没有每个域名的具体信息,但储存了负责每个域(如.com, .cn, .ren, .top等)的解析的域名服务器的地址信息,如同通过北京电信你问不到广州市某单位的电话号码,但是北京电信可以告诉你去查020114。世界上所有互联网访问者的浏览器都将<a href="http://baike.baidu.com/view/43.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">域名</span></span></a>转化为IP地址的请求(浏览器必须知道数字化的IP地址才能访问网站)理论上都要经过根服务器的指引后去该域名的权威<a href="http://baike.baidu.com/view/543329.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">域名服务器</span></span></a>(authoritative domain name server) ,当然现实中提供接入服务的ISP的缓存域名服务器上可能已经有了这个对应关系(域名到IP地址)的缓存。</div>
<div class="para">命名来源<a class="edit-icon j-edit-link" style="display: block;">编辑</a>
<div class="para">这要从DNS协议(域名解析协议)说起。DNS协议使用了端口上的UDP和TCP协议,UDP通常用于查询和响应,TCP用于主服务器和从服务器之间的传送。由于在所有UDP查询和响应中能保证正常工作的最大长度是512字节,512字节限制了根服务器的数量和名字。</div>
<div class="para">要让所有的根服务器数据能包含在一个512字节的UDP包中,根服务器只能限制在13个,而且每个服务器要使用字母表中的单个字母命名,这也是根服务器是从A~M命名的原因。</div>
<div class="para">架构介绍<a class="edit-icon j-edit-link" style="display: block;">编辑</a>
<div class="para">
<div class="lemma-picture text-pic layout-right" style="width: 250px; float: right;"> </div>
<div class="lemma-picture text-pic layout-right" style="width: 250px; float: right;"><span class="description">根服务器架构 </span></div>
<strong>根服务器</strong>主要用来管理互联网的主目录。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。</div>
<div class="para">这13个逻辑根服务器可以指挥<a href="http://baike.baidu.com/view/3279.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">Firefox</span></span></a>或<a href="http://baike.baidu.com/view/85144.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">Internet Explorer</span></span></a>这样的Web浏览器和电子邮件程序控制互联网通信。由于根服务器中有经美国政府批准的1000多个互联网后缀(如.top,.com等)和一些国家的指定符(如中国的.cn, 美国的.us等),自成立以来,世界对美国互联网的依赖性非常大,美国通过控制根服务器而控制了整个互联网,对于其他国家的网络安全构成了潜在的重大威胁。所谓依赖性,从国际互联网的工作机理来体现的,就在于“根服务器”的问题。从理论上说,任何形式的标准域名要想被实现解析,按照技术流程,都必须经过全球“层级式”域名解析体系的工作,才能完成。 “层级式”域名解析体系第一层就是根服务器,负责管理世界各国的域名信息,在根服务器下面是顶级域名服务器,即相关国家域名管理机构的数据库,如中国的CNNIC,然后是在下一级的域名数据库和ISP的缓存服务器。一个域名必须首先经过根数据库的解析后,才能转到顶级域名服务器进行解析</div>
<div class="para">分布地点<a class="edit-icon j-edit-link" style="display: block;">编辑</a>
<div class="para">下表是这些机器的管理单位、设置地点及最新的IP地址:</div>
<table class="table-view log-set-param"><tbody>
<tr>
<th>
<div class="para">字母</div>
</th>
<th align="left" width="89" height="0">
<div class="para">IPv4地址</div>
</th>
<th align="left" width="109" height="0">
<div class="para">IPv6地址</div>
</th>
<th align="left" width="29" height="0">
<div class="para">自治系统编号(AS-number)</div>
</th>
<th align="left" width="70" height="0">
<div class="para">旧名称</div>
</th>
<th align="left" width="100" height="0">
<div class="para">运作单位</div>
</th>
<th align="left" width="80" height="0">
<div class="para">设置地点</div>
<div class="para">#数量(全球性/地区性)</div>
</th>
<th width="0">
<div class="para">软件</div>
</th>
</tr>
<tr>
<th>
<div class="para">A</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">198.41.0.4</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:503:ba3e::2:30</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS19836</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">ns.internic.net</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">VeriSign</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">6/0</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">B</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">192.228.79.201</div>
<div class="para">(2004年1月起生效,旧IP地址为128.9.0.107)</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:478:65::53 (not in root zone yet)</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">none</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">ns1.isi.edu</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">南加州大学信息科学研究所</div>
<div class="para">(Information Sciences Institute, University of Southern California)</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">美国加州马里纳戴尔雷伊</div>
<div class="para">(Marina del Rey)</div>
<div class="para">0/1</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">C</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">192.33.4.12</div>
</td>
<td align="left" valign="center" width="109"> 2001:500:2::C</td>
<td align="left" valign="center" width="29">
<div class="para">AS2149</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">c.psi.net</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">Cogent Communications</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">6/0</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">D</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">199.7.91.13(2013年起生效,旧IP地址为128.8.10.90)</div>
<br> </td>
<td align="left" valign="center" width="109"> 2001:500:2::D</td>
<td align="left" valign="center" width="29">
<div class="para">AS27</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">terp.umd.edu</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">马里兰大学学院市分校</div>
<div class="para">(University of Maryland, College Park)</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">美国马里兰州大学公园市</div>
<div class="para">(College Park)</div>
<div class="para">1/0</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">E</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">192.203.230.10</div>
</td>
<td align="left" valign="center" width="109"> </td>
<td align="left" valign="center" width="29">
<div class="para">AS297</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">ns.nasa.gov</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">NASA</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">美国加州山景城</div>
<div class="para">(Mountain View)</div>
<div class="para">1/0</div>
</td>
<td align="left" valign="top" width="26">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">F</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">192.5.5.241</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:500:2f::f</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS3557</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">ns.isc.org</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">互联网系统协会</div>
<div class="para">(Internet Systems Consortium)</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">2/47</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">G</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">192.112.36.4</div>
</td>
<td align="left" valign="center" width="109"> </td>
<td align="left" valign="center" width="29">
<div class="para">AS5927</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">ns.nic.ddn.mil</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">美国国防部国防信息系统局</div>
<div class="para">(Defense Information Systems Agency)</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">6/0</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">H</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">128.63.2.53</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:500:1::803f:235</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS13</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">aos.arl.army.mil</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">美国国防部陆军研究所</div>
<div class="para">(U.S. Army Research Lab)</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">美国马里兰州阿伯丁(Aberdeen)</div>
<div class="para">1/0</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">NSD</div>
</td>
</tr>
<tr>
<th>
<div class="para">I</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">192.36.148.17</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:7fe::53</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS29216</div>
</td>
<td align="left" valign="center" width="70">
<div class="para">nic.nordu.net</div>
</td>
<td align="left" valign="center" width="100">
<div class="para">瑞典奥托诺米嘉公司(Autonomica)</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">36</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">J</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">192.58.128.30</div>
<div class="para">(2002年11月起生效,旧IP地址为198.41.0.10)</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:503:c27::2:30</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS26415</div>
</td>
<td align="left" valign="center" width="70"> </td>
<td align="left" valign="center" width="100">
<div class="para">VeriSign</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">63/7</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
<tr>
<th>
<div class="para">K</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">193.0.14.129</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:7fd::1</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS25152</div>
</td>
<td align="left" valign="center" width="70"> </td>
<td align="left" valign="center" width="100">
<div class="para">荷兰RIPE NCC</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">5/13</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">NSD</div>
</td>
</tr>
<tr>
<th>
<div class="para">L</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">199.7.83.42</div>
<div class="para">(2007年11月起生效,旧IP地址为198.32.64.12)</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:500:3::42</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS20144</div>
</td>
<td align="left" valign="center" width="70"> </td>
<td align="left" valign="center" width="100">
<div class="para">ICANN</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">37/1</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">NSD</div>
</td>
</tr>
<tr>
<th>
<div class="para">M</div>
</th>
<td align="left" valign="center" width="89">
<div class="para">202.12.27.33</div>
</td>
<td align="left" valign="center" width="109">
<div class="para">2001:dc3::35</div>
</td>
<td align="left" valign="center" width="29">
<div class="para">AS7500</div>
</td>
<td align="left" valign="center" width="70"> </td>
<td align="left" valign="center" width="100">
<div class="para">日本WIDE Project</div>
</td>
<td align="left" valign="center" width="80">
<div class="para">以任播技术分散设置于多处</div>
<div class="para">5/1</div>
</td>
<td align="left" valign="top" width="0">
<div class="para">BIND</div>
</td>
</tr>
</tbody></table>
<div class="para">中国大陆地区内只有6组根服务器<a href="http://baike.baidu.com/subview/3555/5070493.htm" target="_blank"><strong><span style="text-decoration: underline;"><span style="color: #0066cc;">镜像</span></span></strong></a>(F,I(3台),J,L),在少数极端情况下(比如全球互联网出现大面积瘫痪、或者中国互联网国际出口堵塞),至少能保证国内的站点由国内的域名服务器来解析。虽然国外的用户连接到我国的网络会出现问题,但是我国可以自己解决中国境内的域名解析问题,保证国内网络正常使用。</div>
<div class="anchor-list">
<a class="lemma-anchor para-title" name="4"></a> <a class="lemma-anchor " name="sub7378172_4"></a> <a class="lemma-anchor " name="%E6%95%85%E9%9A%9C%E4%BA%8B%E4%BB%B6"></a>
</div>
<div class="para-title level-2">
<h2 class="title-text">
<span class="title-prefix">根域名服务器</span>故障事件</h2>
<a class="edit-icon j-edit-link" style="display: block;">编辑</a>
</div>
<div class="anchor-list">
<a class="lemma-anchor para-title" name="4_1"></a> <a class="lemma-anchor " name="sub7378172_4_1"></a> <a class="lemma-anchor " name="1997%E5%B9%B4%E6%95%85%E9%9A%9C"></a>
</div>
<div class="para-title level-3">
<h3 class="title-text">
<span class="title-prefix"><strong>根域名服务器</strong></span>1997年故障</h3>
</div>
<div class="para">1997年7月,这些<a href="http://baike.baidu.com/view/543329.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">域名服务器</span></span></a>之间自动传递了一份新的关于因特网地址分配的总清单,然而这份清单实际上是空白的。这一人为失误导致了因特网出现最严重的局部服务中断,造成数天之内网页无法访问,电子邮件也无法发送。</div>
<div class="anchor-list">
<a class="lemma-anchor para-title" name="4_2"></a> <a class="lemma-anchor " name="sub7378172_4_2"></a> <a class="lemma-anchor " name="2002%E5%B9%B4%E9%81%AD%E9%81%87%E6%94%BB%E5%87%BB"></a>
</div>
<div class="para-title level-3">
<h3 class="title-text">
<span class="title-prefix"><strong>根域名服务器</strong></span>2002年遭遇攻击</h3>
</div>
<div class="para">在2002年的10月21日美国东部时间下午4:45开始,这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。此次受到的攻击是<a href="http://baike.baidu.com/view/23271.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">DDoS</span></span></a>攻击,超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丧失了对<a href="http://baike.baidu.com/view/538641.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">网络通信</span></span></a>的处理能力,另外两台也紧随其后陷于瘫痪。</div>
<div class="para">2002年10月21日的这次攻击对于普通用户来说可能根本感觉不到受到了什么影响。如果仅从此次事件的“后果”来分析,也许有人认为“不会所有的根<a href="http://baike.baidu.com/view/543329.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">域名服务器</span></span></a>都受到攻击,因此可以放心”,或者“根域名服务器产生故障也与自己没有关系”,还为时尚早。但他们并不清楚其根本原因是:</div>
<div class="para">并不是所有的根域名服务器全部受到了影响;攻击在短时间内便告结束;攻击比较单纯,因此易于采取相应措施。由于对于DDoS攻击还没有什么特别有效的解决方案,设想一下如果攻击的时间再延长,攻击再稍微复杂一点,或者再多有一台服务器瘫痪,全球互联网将会有相当一部分网页浏览以及e-mail服务会彻底中断。</div>
<div class="para">而且,我们更应该清楚地认识到虽然此次事故发生的原因不在于根<a href="http://baike.baidu.com/view/543329.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">域名服务器</span></span></a>本身,而在于因特网上存在很多脆弱的机器,这些脆弱的机器植入<a href="http://baike.baidu.com/view/23271.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">DDoS</span></span></a>客户端程序(如特洛伊木马),然后同时向作为攻击的根域名服务器发送信息包,从而干扰服务器的服务甚至直接导致其彻底崩溃。但是这些巨型服务器的漏洞是肯定存在的,即使2002年没有被发现,2002以后也肯定会被发现。而一旦被恶意攻击者发现并被成功利用的话,将会使整个互联网处于瘫痪之中。</div>
<div class="anchor-list">
<a class="lemma-anchor para-title" name="4_3"></a> <a class="lemma-anchor " name="sub7378172_4_3"></a> <a class="lemma-anchor " name="2014%E5%B9%B4%E5%88%9DDNS%E6%95%85%E9%9A%9C"></a>
</div>
<div class="para-title level-3">
<h3 class="title-text">
<span class="title-prefix"><strong>根域名服务器</strong></span>2014年初DNS故障</h3>
</div>
<div class="para">2014年1月21日下午15时左右开始,全球大量互联网域名的<a href="http://baike.baidu.com/view/1964811.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">DNS解析</span></span></a>出现问题,一些知名网站及所有不存在的域名,均被错误的解析指向<a href="http://baike.baidu.com/view/12056633.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">65.49.2.178</span></span></a>(Fremont, California, United States,Hurricane Electric)。中国DNS域名解析系统出现了大范围的访问故障,包括DNSPod在内的多家域名解析服务提供商予以确认,此次事故波及全国,有近三分之二的网站不同程度的出现了不同地区、不同网络环境下的访问故障,其中百度、新浪等知名网站也受到了影响。</div>
<div class="anchor-list">
<a class="lemma-anchor para-title" name="5"></a> <a class="lemma-anchor " name="sub7378172_5"></a> <a class="lemma-anchor " name="%E5%A4%9A%E8%BE%B9%E5%85%B1%E6%B2%BB"></a>
</div>
<div class="para-title level-2">
<h2 class="title-text">
<span class="title-prefix">根域名服务器</span>多边共治</h2>
<a class="edit-icon j-edit-link" style="display: block;">编辑</a>
</div>
<div class="para">2014年,美国政府宣布,2015年9月30日后,其商务部下属的国家通信与信息管理局(NTIA)与国际互联网名称与数字地址分配机构(ICANN)将不再续签外包合作协议,这意味着美国将移交对ICANN的管理权。</div>
<div class="para">基于全新技术架构的全球下一代<a href="http://baike.baidu.com/view/6825.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">互联网</span></span></a>(IPv6)根服务器测试和运营实验项目—— “雪人计划”2015年6月23日正式发布,我国下一代互联网工程中心主任、“<a href="http://baike.baidu.com/item/%E9%9B%AA%E4%BA%BA%E8%AE%A1%E5%88%92" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">雪人计划</span></span></a>”首任执行zhuxi<a href="http://baike.baidu.com/view/55408.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">刘东</span></span></a>认为,该计划将打破根服务器困局,全球互联网有望实现多边共治。<sup><span style="font-size: small;">[1]</span></sup><a class="sup-anchor" name="ref_%5B1%5D_7378172"></a><span style="color: #000000;"> </span>
</div>
<div class="para">“雪人计划”由我国下一代互联网工程中心领衔发起,联合WIDE机构(现国际互联网M根运营者)、互联网域名工程中心(ZDNS)等共同创立。2015年6月底前,将面向全球招募25个根服务器运营志愿单位,共同对<a href="http://baike.baidu.com/view/5228.htm" target="_blank"><span style="text-decoration: underline;"><span style="color: #0066cc;">IPv6</span></span></a>根服务器运营、域名系统安全扩展密钥签名和密钥轮转等方面进行测试验证。<sup><span style="font-size: small;">[1]</span></sup><a class="sup-anchor" name="ref_%5B1%5D_7378172"></a><span style="color: #000000;"> </span>
</div>
<div class="para">“雪人计划”首次提出并实践“一个命名体系,多种寻址方式”的下一代互联网根服务器技术方案,打破固守现有13个根服务器的运营者“神圣不可侵犯”、“数量不可改变”的教条,可以引入更多根服务器运营者,同时也能保证一个命名体系不被破坏,真正实现多方共治的 “一个世界,一个互联网”的愿景</div>
</div>
</div>
</div>
</div>
根域名服务器
猜你喜欢
转载自weitao1026.iteye.com/blog/2353407
今日推荐
周排行