中国站长会在网络上消失?万一美国把根域名服务器封了

阿奇源码默认解压密码为"www.aqiyuanma.com",2021年9月11日前的源码默认解压密码为"www.hnymwl.com"
阿奇官方VIP技术群:483386718,阿奇源码技术交流群:938992858!速奇云-香港云服务器38元/月

自从美国宣告“清洁网络”举动后,很多懂点网络的人,榜首反应是,美国人会下手根域名服务器吗?

这种担忧可不是一年两年了。

20146月24的《人民日报》上引用专家讲话:“现在美国掌握着全球互联网13台域名根服务器中的10台。理论上,只要在根服务器上屏蔽该国家域名,就能让这个国家的国家尖端域名网站在网络上瞬间“消失”。在这个意义上,美国具有全球独一二的制网权,有能力威慑他国的网络边远当地和网络主权。譬如,伊拉克战争期间,在美国政府授意下,伊拉克尖端域名“.iq”的恳求和析作业被间断,一切网址以“.iq”为后缀的网站从互联网蒸腾。”1

信息安全与通讯保密》杂志2014年第10期的一篇文章写道:“2004年,由于与利比亚在尖端域名办理权问题上发生争执,美国间断了利比亚的尖端域名.LY的解析服务,导致利比亚从网络中消失3天。”2

对此,咱们需求害怕吗?咱们需求什么样的反制办法?

不是专家,还真答复不了这个问题。

由于这需求了解DNS的作业原理,了解根域名的办理机制。

这儿先给出简要答复:不排除这种或许性,但并不是没有办法。

一句话原因:尽管根不在咱们手里,但咱们有镜像。

DNS傻瓜书
先了解点基本概念,懂DNS的能够直接跳过本节。

1、DNS是什么?

DNS便是将域名转换为IP的,由于咱们人类的记忆力太差,根本记不住IP,而电脑通讯又必须用IP,所以人类发明晰域名,让咱们能够记住baidu.com、taobao.com这种还算能记得住的域名。然后通过DNS,将这些域名转换为电脑需求的IP。

2、DNS是怎样作业的?

每个电脑里边都设置了本地DNS服务器(简称LDNS),需求的时分,就向LDNS宣告恳求,LDNS在网上问威望域名服务器(简称威望DNS),有时分问一家是不够的,要问一大圈下来,最后才干得到答案。

3、威望DNS是干什么的?

问我一个域名,我告知你IP,假如我不知道,我告知你谁或许知道,你再去问它。

4、什么是根域名服务器(简称根DNS)?

当LDNS啥都不知道的时分(也即没有任何缓存),就去问根DNS,根能告知LDNS下一步该问谁。

5、全国际有多少根DNS?

13个,其间10个在美国,英国和瑞典各1个,日本1个。

6、根DNS的姓名和IP都是什么?

在这个网址:

https://www.internic.net/domain/named.root

翻开能够看到,里边有13个根的姓名和IP,其姓名从A.root-servers.net到M.root-servers.net。

A最初那个简称A根,是主根,其他12个(B、C、D、E、F、G、H、I、J、K、L、M)是辅根。

阿奇源码

为什么根DNS只要13台?
本节看不懂不要紧(一般人都看不懂),你只需求知道,由于历史原因和技能原因,关于IPv4而言,根DNS只能有13个IP。

正宗答案是:DNS首要运用UDP数据报传送报文,不含前面的各种头部,DNS报文要求被操控在512字节之内( RFC1035 ),首要考虑是这个大小几乎能够在互联网上四通八达,不会由于途径中某个MTU太小( MTU 一般总会 >= 576,见 RFC791 )而导致IP分片,从而预防了各种不可预期的后果3。

而每一个根DNS在DNS报文中都要占用一定的字节数,比如根的称号、TTL、IP地址等。这样,13个根域名服务器基本上就把空间占差不多了,剩下的字节还要用于包装DNS报头以及其它协议参数,所以根域名服务器不易太多,13个算是比较适宜的数目。详细能够看一下“Why 13 DNS root servers?”这篇文章。4

阿奇源码

真的只要13台服务器吗?
和很多人想象的完全不一样,这13个根域名服务器,并不是只要13台物理的服务器。

这13个根,仅仅一个逻辑上的概念,每个根DNS,背后都有多台真实的物理服务器在作业!

2020年8月12日,全球一共有1097个根服务器。每一个根都有若干个镜像,散布在全球不同的当地。

中国站长会在网络上消失?万一美国把根域名服务器封了

图片图片
这个数目在不断上涨,上一年10月1日新我国成立70周年阅兵的时分,我看了一下,是1015个服务器。

这13个渊源12个独立的安排办理,比如A根和J根都是由Verisign公司办理,到2020年8月12日,A根在全球各地有53个站点,J根有185个站点。L渊源ICANN办理,全球有167个站点,其间北京2个,上海1个。

在root-servers网站上5,能够到一切这些根服务器的散布,从网站展现的根镜像服务器地图上看(2020年8月12日),北京有 5 个根镜像服务器,上海 1 个,杭州 2 个,武汉1个、郑州1个、西宁1个、贵阳1个、广州1个、香港 9 个,台北 6 个。

包含港澳台部分,我国一共有28个根镜像。

我国境内宣告的对根DNS的恳求,其实都由镜像完成了。这一点后面会解释。

现在,为了增加知识,你该硬着头皮看一些DNS细节了。

DNS究竟是怎样作业的?
关于IT从业者,希望你能理解并牢牢记住本节的内容。

由于你迟早会遇到有关DNS的困惑。

先介绍一下域名的级别:

.代表根域名, .com这种是尖端域名,也叫一级域名,baidu.com这种叫二级域名, www.baidu.com这种叫三级域名,顺次类推。

注:也有其他叫法的,反正你知道这个意思就能够了。

再介绍一下最常见的两种域名服务器:

威望DNS:担任对恳求作出威望的答复。威望DNS中存储着记载,最常见的3种:A记载(记载某域名和其IP的对应),NS记载(记载某域名和担任解析该域的威望DNS),CNAME记载(担任记载某域名及其别号)。威望能直接答复的,就回A记载;需求其他威望DNS答复的,就回NS记载,然后LDNS再去找其他威望DNS问;假如该记载是别号类型的,就回CNAME,LDNS就会再去解析别号。

递归DNS:一般便是LDNS,它接受终端的域名查询恳求,担任在网上问一圈后,将答案回来终端。

现在举一个详细的比如:比如终端恳求www.baidu.com这个域名的IP。

在没有缓存时,LDNS会从根DNS问起:

1、LDNS问根DNS说:“www.baidu.com的IP是多少啊?”。

2、根DNS说:“我哪有时刻管你这么细的问题,你去问com尖端域的DNS吧,我只管到尖端域,喏,这些是com尖端域DNS的姓名和IP,你去问它们吧”。(以NS记载回应)

3、LDNS又忙问com的威望DNS,com威望DNS说:“你问的这是三级域名,我不论这么多,你去问baidu.com的威望DNS吧,它的姓名是ns.baidu.com,他的IP是XXX(这儿或许给出多个威望DNS)”。

4、LDNS继续问baidu.com的威望DNS,这次爽快,由于www.baidu.com正是它管的,它或许直接给出A记载,也或许给出CNAME记载,假如是前者,就直接得到IP,假如是后者,就需求对别号再做查询。

5、终究,LDNS得到www.baidu.com的IP,并将其回来给终端。

中国站长会在网络上消失?万一美国把根域名服务器封了

图片图片
仔细的人会问,在第1步中,LDNS问根DNS的时分,他是怎样知道根DNS的IP的?

这13个IP一般是预先装备在LDNS里边的。在LDNS初始化DNS缓存或许缓存失效的时分,LDNS向自己被预先装备的这些IP中的一个,发起对根的查询(也即问询.的NS记载),取得最新的根DNS的信息6。

关于DNS服务器软件而言,这13个IP,装备在根提示文件(root hints file)中,或许是named.cache或root.ca或root.hints等等之类的文件。

上面便是各种教科书中都会讲到的DNS查询进程,但实际上,没有这么麻烦,由于各个层面都是有缓存的。

实际DNS查询的进程,是这样的:

举个比如,比如用户在浏览器中输入这个域名:123.abc.qq.com.cn

1、浏览器会先看本身有没有对这个域名的缓存,假如有,就直接回来,假如没有,就去问操作体系,操作体系也会去看自己的缓存,假如有,就直接回来,假如没有,再去hosts文件看,也没有,才会去问LDNS。

2、LDNS会去先看看自己有没有123.abc.qq.com.cn的A记载,要有就直接回来,要没有,就去看有没有abc.qq.com.cn的NS记载,假如有,就去问它要答案,假如没有,就去看有无qq.com.cn的NS的记载,假如有,就去问它,没有就去看有无com.cn的DNS,还没有就去看有无cn的DNS,假如连cn的NS记载都没有,才去问根。

所以,有了缓存以后,教科书上那种从根问起的状况,实际上很少发生。

只要在遍地都没有缓存的时分,咱们才会问根。

阿奇源码

根镜像起什么效果?
根镜像承担起和根一样的功能

根DNS中,最重要的文件便是根区文件(Root Zone file)。一切尖端域名记载都存在根区文件中。

辅根从主根同步数据,根镜像从根同步数据。终究,一切根和镜像都有着相同的根区文件。

而且最有意思的是,根镜像和根有着相同的IP。

咱们知道,全球有一千多个根镜像,可是大多数人不知道,它们一同同享13个IP!对的。由于只要13个根。

这是如何做到的?答案是任播(Anycast,又译泛播)技能。

不关怀技能细节的,请直接看本节的最后一句。

任播开始由RFC1546提出,首要用在DNS根服务器上。

任播是指在IP网络上通过一个IP地址标识一组供给特定服务的主机,服务拜访方并不关怀供给服务详细是哪一台主机供给的,拜访该地址的报文能够被IP网络路由到“最近”的一个(最好也仅仅一个,别送到多个)服务器上。这儿“最近”能够是指路由器跳数、服务器负载、服务器吞吐量、客户和服务器之间的往返时刻( RTT,round trip time )、链路的可用带宽等特征值。

这样,一方面,用户能够就近拜访;另一方面,即使部分根呈现故障也没事。

有些同学或许联想到负载均衡,没错,大致上便是这个意思。

关于我国用户来说,对根的恳求,一般不会跑到美国去,而是通过任播技能路由到我国境内的根镜像上。

根DNS是怎样如何去管理的?
根DNS现在由12家安排办理。A根是主根,由美国公司Verisign办理。

根DNS中最重要的文件,根区文件,由ICANN办理。

ICANN(The Internet Corporation for Assigned Names and Numbers,互联网称号与数字地址分配安排)是成立于1998年的一家注册在美国的非营利性安排。

根DNS办理的历史变迁进程仍是比较复杂的。这儿简要说一下。

DNS开始的技能开发者与办理者是美国南加州大学的Jon Postel博士,他掌管互联网初期根DNS的办理和分配。

1988年,美国政府要求Jon Postel采纳更安全和更合理的办法来确保互联网核心资源的分配和办理7。于是,大名鼎鼎的IANA(The Internet Assigned Numbers Authority,互联网数字分配安排)被组建,并在DARPA和南加州大学信息科学研究所(ISI)的合同下办理。阿奇源码

IANA担任互联网大局编号和编码的办理与协调,之所以需求这么个安排,是由于互联网协议的值或参数,必须是全球仅有的,否则无法互联互通,比如HTTP协议默许都在80端口等候用户恳求,而404编码则共同代表”未找到页面”。IANA首要职责包含IP地址段的分配、协议代码和编号的分配(如协议号、端口号)、自治体系编号 (ASN) 分配、DNS根区办理(包含通用尖端域名gTLD以及国家和地区尖端域名ccTLD办理)等。8

1998年ICANN成立之后,美国商务部以合同方式,托付ICANN承担IANA日常运转,IANA从ISI转移到ICANN之下。

关于尖端域名的办理,ICANN的方针是,每个尖端域名(像com、cn、org这种尖端域名,现在有1000多个)都找一个保管商,该域名的一切事项都由保管商担任。

.cn域名的保管商是我国互联网络信息中心(CNNIC),它决议.cn域名的各种方针。

.com、.net 、.name、.gov这四个尖端域名都由Verisign公司保管。

Verisign和ICANN仍是闹过几回不愉快的。9

2003年,Verisign 推出了一项新事务 Site Finder,用户拜访没有注册过的.com或.net域名,都会被导向 Verisign 的网站。这意味着,它事实上具有了一切没有注册过的.com和.net域名。几天之内,Verisign 就挤入了全国际的前10大网站。

ICANN 要求 Verisign 马上间断该事务,否则将间断域名保管合同。Verisign 屈服了,间断了这项事务,可是接着就把 ICANN 告上了法庭,要求法庭厘请两者之间的合同,ICANN 究竟有没有权力干与它的事务。

2006年底,他们达成了庭外和解。ICANN 赞同延长 Verisign 的尖端域名保管合同,而且赞同 Verisign 向消费者收取的单个域名注册费的上限,从6美元进步到了7.85美元。这个费用规范,一向沿袭到了今天,你去注册一个.com或.net域名,所交的钱有0.18美元是 ICANN 收取的办理费,7.85美元是 Verisign 收取的保管费,其他的钱便是域名零售商的费用。

尽管是ICANN运营着IANA,但毕竟是在美国政府的合同办理之下,全球各国以及民间人士颇有微词,共同认为美国政府应该彻底退出。阿奇源码

2014年3月14日,美国商务部国家通讯与信息办理局(NTIA)宣告愿意将IANA的办理权完全移送给ICANN,并要求ICANN拟定移送方案。NTIA尤其强调,移送方案要强化多利益相关方形式,不能以政府间安排或政府领导的安排替代当时NTIA扮演的人物。

2016年3月17日,ICANN向NTIA提交了移送方案。2016年6月9日,NTIA公布审阅意见,表明ICANN提交的移送方案满意了此前设定的条件。

2016年8月16日,NTIA宣告不再延期现有合同。

尽管遇到一些阻遏10,终究,2016年10月1日,ICANN和美国商务部之间关于IANA功能的合同到期且不再续约,ICANN彻底成为独立的非营利安排。IANA部门的员工和其他的相关资源都被转移到ICANN新树立的附属安排PTI(Public Technical Identifiers,公共技能标识符)中。

ICANN运用全球多利益相关方办理模型(global multistakeholder governance model)进行办理。PTI董事会共5席,3席由ICANN委派,2席由全球互联网社群代表组成提名委员会产生。2017年2月,ICANN发布PTI董事竞选布告,经半年多轮面试及背景调查,提名委员会于2017年10月26日宣告我国北龙中网的王伟与另一欧洲代表中选。又经一个半月的利益冲突查看,2017年12月13日ICANN董事会正式承认王伟当选。11

我国的根镜像是如何管理的?
从现在我所找到的资料看,自2003年以来,我国在不断引入根镜像,尤其是上一年,根镜像个数增速很快。

2003年,我国电信引入了国内榜首个根镜像节点(F根)。

2005年,I根服务器运转安排在 CNNIC 树立了我国第二个根镜像(I根)。

2006年,我国联通(原我国网通)与美国 VeriSign 公司协作, 在国内正式注册J根镜像服务器,一起引入了全球最大的两个尖端域名 “.COM”和“.NET”镜像节点;引入这些镜像的首要目的是进步根域名和尖端域名的解析功能。

2014年,世纪互联与ICANN协作在我国增设L根域名服务器镜像。

2019年6月24日,工信部赞同CNNIC树立六台域名根镜像服务器(F、I、K、L)。这六台域名根服务器编号为 JX0001F、JX0002F、JX0003I、JX0004K、JX0005L 和 JX0006L12,并赞同互联网域名体系北京市工程研究中心(ZDNS)树立L根镜像服务器JX0007L13。

2019年11月6日,工信部批复赞同我国信息通讯研究院树立L根镜像服务器,编号分别为JX0008L、JX0009L。

2019年12月5日,工信部批复赞同我国信息通讯研究院树立域名根服务器(K根镜像服务器),编号为JX0010K。

2019年12月9日,工信部批复赞同CNNIC树立域名根服务器(J、K根镜像服务器),编号分别为JX0011J、JX0012K。

从工信部的批文中能够了解到,相关单位担任根镜像的运转、保护和办理作业,保护国家利益和用户权益,并接受工信部的办理和监督查看。阿奇源码

工信部在给CNNIC的批文中写道:“你中心应严格遵守《互联网域名办理办法》《通讯网络安全防护办理办法》及相关法律法规、行政规章及行业办理规定,接受我部的办理和监督查看,树立符合我部要求的信息办理体系并与我部指定的办理体系对接,确保域名根服务器安全、牢靠运转,为用户供给安全、便利的域名服务,保障服务质量,保护用户个人信息安全,保护国家利益和用户权益。”

美国能对根DNS做什么坏的操作?
尽管ICANN是一个独立的非营利性安排,但假如美国政府动用强制力量,A根(主根)的内容依然存在被篡改的或许。

也便是根区文件能够被篡改。

会怎样篡改?

咱们先看看根区文件长什么样。

从ICANN官网上能够下载根区文件:

https://www.iana.org/domains/root/files

该文件保存一切尖端域名的信息,现在大小为2.2M,2万余行。

每逢有尖端域名的变动时,该文件就会更新

咱们能够看到,和cn域名解析相关的记载也就那么几十行。

中国站长会在网络上消失?万一美国把根域名服务器封了

图片图片
假如删去和cn相关的那些行,很快,就会同步到一切的根中。

然后,在一切的缓存都过期之后,全球一切人都拜访不了.cn后缀的网站。

如何应对?
由于咱们保护着根镜像,所以咱们操控着镜像中的内容。

而我国境内的对根的拜访,通过咱们的运营商,都会落到对我国根镜像的拜访上。

咱们能够不同步关于cn的修正。

就这么简单

能够简单写个程序,每次同步完马上加上cn记载。

也能够自己搭个主根,完全不好美国的根同步。(相当于另立中央了)

当然,国际各地不在咱们办理之下的根和根镜像,假如不加举动,依然会同步这些删去。

那么,除了我国自己,其他国家的人都无法拜访.cn网站。

可是,这些国家很快就会有响应,但凡想拜访.cn网站的国家,都会把cn记载加回去,并回绝同步美国删去的这几行。

终究,只要美国人,拜访不了.cn网站。

综上剖析,我认为美国这么做的或许性不大,由于这一招过于低劣,将会让美国政府完全颜面扫地,并失去今后在互联网范畴的任何话语权。而ICANN也将失去公信力,整个互联网国际,会推选运用新的安排和新的主根。

由于互联网国际的一向准则便是:如有封禁,就绕过它。

后记
最后,咱们看看本文最初所提的两个断网事情是怎样回事:

关于伊拉克域名事情,能够看看清华大学段海新教授的文章:“伊拉克域名.IQ被美国删去的背后以及前期的根域名办理”,里边把整个事情的来龙去脉说的很清楚。首要原因是.iq域名的前任办理者于2002年被关进监狱,新任办理者(NCMC)于2005年才提出恳求,而IANA当时还考虑寻求新旧代理两边对新授权的共同认可,所以才呈现了所谓的“恳求和解析作业被间断”。

关于利比亚域名事情,能够看看此文:“利比亚国家尖端域名(.LY)间断服务始末”,事实状况是参加运营.LY的两家安排因争夺归属权而内斗的结果(其间一方封闭了.LY域名服务器的解析)。通过这番变乱,2004年10月,ICANN赞同将.LY颁发利比亚邮电总公司,.LY事情算是尘埃落定。

本文中提到的危险和应对,首要是我个人的剖析,下面看看业界专家的说法。

我国工程院院士、清华大学计算机系主任吴建平在2019年的一次访谈14中表明,DNS根域名服务器不是互联网的“核按钮”。全球互联网根域名服务器运转者,不或许一起封闭一切的根服务器,包含影子服务器。

互联网域名体系北京市工程研究中心(ZDNS)主任毛伟表明15:互联网专家一向都在不断完善域名根体系安全保障机制,就算真的断“根”了,也有应急方法来处理。在境内,能够采用根区数据备份并建立应急根服务器来处理;在全球层面,能够用根镜像、IPv6环境下的根服务器数量扩展、根服务器运转安排备选机制等方法来处理。

现在,了解了这么多,关于根域名服务器,你是不是放心了很多。

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

注:在使用本系统时,使用方必须在国家相关法律法规范围内并经过国家相关部门的授权许可,禁止用于一切非法行为。使用用途仅限于测试、实验、研究为目的,禁止用于一切商业运营,本团队不承担使用者在使用过程中的任何违法行为负责。

阿奇源码 资讯动态 中国站长会在网络上消失?万一美国把根域名服务器封了 https://www.aqiyuanma.com/106821.html

相关文章

官方客服团队

为您解决烦忧 - 24小时在线 专业服务

  • 0 +

    访问总数

  • 0 +

    会员总数

  • 0 +

    文章总数

  • 0 +

    今日发布

  • 0 +

    本周发布

  • 0 +

    运行天数

你的前景,远超我们想象
中国站长会在网络上消失?万一美国把根域名服务器封了-海报

分享本文封面