您的位置:首页 - IT技术
根域名服务器
2014-01-21下午的dns故障,引起了人们对域名服务器的关注.

全球共有13台根域名服务器。这13台根域名服务器中名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。下表是这些机器的管理单位、设置地点及最新的IP地址:

名称 管理单位及设置地点 IP地址
A INTERNIC.NET(美国,弗吉尼亚州) 198.41.0.4
B 美国信息科学研究所(美国,加利弗尼亚州) 128.9.0.107
C PSINet公司(美国,弗吉尼亚州) 192.33.4.12
D 马里兰大学(美国马里兰州) 128.8.10.90
E 美国航空航天管理局(美国加利弗尼亚州) 192.203.230.10
F 因特网软件联盟(美国加利弗尼亚州) 192.5.5.241
G 美国国防部网络信息中心(美国弗吉尼亚州) 192.112.36.4
H 美国陆军研究所(美国马里兰州) 128.63.2.53
I Autonomica公司(瑞典,斯德哥尔摩) 192.36.148.17
J VeriSign公司(美国,弗吉尼亚州) 192.58.128.30
K RIPE NCC(英国,伦敦) 193.0.14.129
L IANA (美国,弗吉尼亚州) 198.32.64.12
M WIDE Project(日本,东京) 202.12.27.33

根域服务器我们知道有13台,但是这是错误的观点。
根域服务器只是具有13个IP地址,但机器数量却不是13台,因为这些IP地址借助了任播的技术,所以我们可以在全球设立这些IP的镜像站点,你访问到的这个IP并不是唯一的那台主机。

在根域名服务器中虽然没有每个域名的具体信息,但储存了负责每个域(如COM、NET、ORG等)的解析的域名服务器的地址信息,如同通过北京电信你问不到广州市某单位的电话号码,但是北京电信可以告诉你去查020114。世界上所有互联网访问者的浏览器的将域名转化为IP地址的请求(浏览器必须知道数字化的IP地址才能访问网站)理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative name server, 如 haier.com的权威域名服务器是dns1.hichina.com)上得到对应的IP地址,当然现实中提供接入服务的ISP的缓存域名服务器上可能已经有了这个对应关系(域名到IP地址)的缓存。

根域名服务器是架构因特网所必须的基础设施。在国外,许多计算机科学家将根域名服务器称作“真理”(TRUTH),足见其重要性。但是攻击整个因特网最有力、最直接,也是最致命的方法恐怕就是攻击根域名服务器了。早在1997年7月,这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单,然而这份清单实际上是空白的。这一人为失误导致了因特网出现最严重的局部服务中断,造成数天之内网面无法访问,电子邮件也无法发送。
在2002年的10月21日美国东部时间下午4:45开始,这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。此次受到的攻击是DDoS攻击,超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丧失了对网络通信的处理能力,另外两台也紧随其后陷于瘫痪。

10月21日的这次攻击对于普通用户来说可能根本感觉不到受到了什么影响。如果仅从此次事件的“后果”来分析,也许有人认为“不会所有的根域名服务器都受到攻击,因此可以放心”,或者“根域名服务器产生故障也与自己没有关系”,还为时尚早。但他们并不清楚其根本原因是:

* 并不是所有的根域名服务器全部受到了影响
* 攻击在短时间内便告结束
* 攻击比较单纯,因此易于采取相应措施
由于目前对于DDoS攻击还没有什么特别有效的解决方案,设想一下如果攻击的时间再延长,攻击再稍微复杂一点,或者再多有一台服务器瘫痪,全球互联网将会有相当一部分网页浏览以及e-mail服务会彻底中断。

而且,我们更应该清楚地认识到虽然此次事故发生的原因不在于根域名服务器本身,而在于因特网上存在很多脆弱的机器,这些脆弱的机器植入DDoS客户端程序(如特洛伊木马),然后同时向作为攻击的根域名服务器发送信息包,从而干扰服务器的服务甚至直接导致其彻底崩溃。但是这些巨型服务器的漏洞是肯定存在的,即使现在没有被发现,以后也肯定会被发现。而一旦被恶意攻击者发现并被成功利用的话,将会使整个互联网处于瘫痪之中。

不久前,网通集团宣布,已与美国威瑞信(VeriSign)公司达成协议,将开通根域名中国镜像服务器,今后中国网民访问.com以及.net 网站时,域名解析将不再由设置在境外的域名服务器提供服务,长期以来在中国访问.com以及.net网站的安全性问题得到了保障,上网速度也将提升。
显然这是两个焦点问题,就是安全和速度。在安全方面或许有一定的提高,当然这种提高并不是局限于我们普通的用户,而是相对于网站级的,对我们来说影响不大。而说到速度起码目前笔者还没有感到那种变化,或许还需要一定的时间过渡?

事实上,开通根域名镜像服务器并不是什么治本的途径。据悉,目前互联网全球共有13台域名根服务器,编号为从A-M.这13个根服务器中,1个为主根服务器,其余12个为辅根服务器。有9个放置在美国(含主根服务器),2个放在欧洲,分别位于英国和瑞典,亚洲有1个位于日本。而我国早在2003 年就拥有了第一个根服务器的镜像——F根镜像,这是由国际互联网协会和中国电信共同建立的。在2005年9月,I根的管理机构“瑞典国家互联网交换中心” 在 CNNIC设立了中国第二个根镜像。如今网通在国内开通的是第三个镜像服务器,说到底,开通了的也仅仅是三个镜像服务器罢了。

其实,相对于镜像服务器,我们看到互联网的控制权是由美国一手控制的,别的国家根本没有“发言权”,而如果想摆脱这种局面,关键还是看在下一代互联网中,我们能有多少话语权,也就是人们常说的IPv6,这也是许多国家不惜人力、物力、财力进行IPv6研究的一个原因。

众所周知,现在是IPv4时代,IP地址资源是有限的,而到了IPv6时代,IP地址是无限的,更关键的是在IPv6时代将有更多的参与者,而不再是美国一家之言,无疑这样的发展将更符合互联网的共享和融合的特点。

有人恐怕对域名还不是很了解,其实我们在进行网络输入的时候,机器本身是识别IP地址的,但是因为使用习惯和方便的问题,我们不需要记住这些只是数字的 IP地址,而是记住那些域名就可以了。也就是我们经常见到的.com、.net、.org等的网名。我们在输入域名之后,根服务器会把它转换为 IP地址,这个过程,就是域名解析,这需要访问域名服务器(DNS)来完成,而域名解析是控制各网站的核心。
对于获得根镜像服务器来说,仅仅是暂时解决了一些安全和速度问题,但是在未来的第二代互联网发展中,谁能对IPv6有更大的发言权,谁就可能在未来的互联网应用中占据主动。

现在参与IPv6研究的国家很多,我们也是积极响应者,显然,在IPv6上能不能取得突破将直接决定在未来的互联网应用中我们是不是更有话语权。当然,在IPv6的研发上,参与者众多,美国也是当仁不让希望能继续领跑。

早在1996年10月,美国政府就宣布启动“下一代互联网”研究计划。按照美国国防部的IPv6进度时间表:2008年就要实现美国本土全面的IPv6计划,IPv4协议同时退出。

对我们国家来说,研发的起步比较晚,但发展还是比较快的。尤其是我们合纵联横,在2003年,联合了日本和韩国共同开发下一代互联网技术 IPv6,希望将这项技术的全球标准在亚洲建立起来。如今,我国已经建成了世界第一个同时也是规模最大的纯IPv6网,并且与美国的Internet2、欧洲的 GEANT2和亚太地区的APAN实现了高速互联。

可以预见的是,未来的IPv6将更多的是区域内的共享和大范围的互联,各地区或者大的区域内独立运行自己的IPv6,而在全球范围内进行互联,这样在安全性方面将有更多的自主权,比如以中、日、韩为首的亚洲以及与美国、欧洲的独立发展并联横。这样,各自的安全能得到保障,同时也不失灵活性。
本站导航
相关文章
柯乐义 Copyright© keleyi.com