全球共有13臺根域名服務(wù)器。這13臺根域名服務(wù)器中名字分別為“A”至“M”,其中10臺設(shè)置在美國,另外各有一臺設(shè)置于英國、瑞典和日本。
一、介紹
根服務(wù)器主要用來管理互聯(lián)網(wǎng)的主目錄,全世界只有13臺。1個為主根服務(wù)器,放置在美國。其余12個均為輔根服務(wù)器,其中9個放置在美國,歐洲2個,位于荷蘭和瑞典,亞洲1個,位于日本。所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)域名與號碼分配機構(gòu)ICANN統(tǒng)一管理,負(fù)責(zé)全球互聯(lián)網(wǎng)域名根服務(wù)器、域名體系和IP地址等的管理。
這13臺根服務(wù)器可以指揮Firefox或InternetExplorer這樣的Web瀏覽器和電子郵件程序控制互聯(lián)網(wǎng)通信。由于根服務(wù)器中有經(jīng)美國政府批準(zhǔn)的260個左右的互聯(lián)網(wǎng)后綴(如.com、.net等)和一些國家的指定符(如法國的.fr、挪威的.no等),自成立以來,美國政府每年花費近50多億美元用于根服務(wù)器的維護(hù)和運行,承擔(dān)了世界上最繁重的網(wǎng)絡(luò)任務(wù)和最巨大的網(wǎng)絡(luò)風(fēng)險。因此可以實事求是地說:沒有美國,互聯(lián)網(wǎng)將是死灰一片。世界對美國互聯(lián)網(wǎng)的依賴性非常大,當(dāng)然這也主要是由其技術(shù)的先進(jìn)性和管理的科學(xué)性所決定的。所謂依賴性,從國際互聯(lián)網(wǎng)的工作機理來體現(xiàn)的,就在于“根服務(wù)器”的問題。從理論上說,任何形式的標(biāo)準(zhǔn)域名要想被實現(xiàn)解析,按照技術(shù)流程,都必須經(jīng)過全球“層級式”域名解析體系的工作,才能完成。 “層級式”域名解析體系第一層就是根服務(wù)器,負(fù)責(zé)管理世界各國的域名信息,在根服務(wù)器下面是頂級域名服務(wù)器,即相關(guān)國家域名管理機構(gòu)的數(shù)據(jù)庫,如中國的CNNIC,然后是在下一級的域名數(shù)據(jù)庫和ISP的緩存服務(wù)器。一個域名必須首先經(jīng)過根數(shù)據(jù)庫的解析后,才能轉(zhuǎn)到頂級域名服務(wù)器進(jìn)行解析。
二、原因
這要從DNS協(xié)議(域名解析協(xié)議)說起。DNS協(xié)議使用了端口上的UDP和TCP協(xié)議,UDP通常用于查詢和響應(yīng),TCP用于主服務(wù)器和從服務(wù)器之間的傳送。由于在所有UDP查詢和響應(yīng)中能保證正常工作的最大長度是512字節(jié),512字節(jié)限制了根服務(wù)器的數(shù)量和名字。
要讓所有的根服務(wù)器數(shù)據(jù)能包含在一個512字節(jié)的UDP包中,根服務(wù)器只能限制在13個,而且每個服務(wù)器要使用字母表中的單個字母命名,這也是根服務(wù)器是從A~M命名的原因。
三、分布地點
下表是這些機器的管理單位、設(shè)置地點及最新的IP地址:
字母
|
IPv4地址
|
IPv6地址
|
自治系統(tǒng)編號(AS-number)
|
舊名稱
|
運作單位
|
設(shè)置地點
#數(shù)量(全球性/地區(qū)性)
|
軟件
|
---|---|---|---|---|---|---|---|
A
|
198.41.0.4
|
2001:503:ba3e::2:30
|
AS19836
|
ns.internic.net
|
VeriSign
|
以任播技術(shù)分散設(shè)置于多處
6/0
|
BIND
|
B
|
192.228.79.201
(2004年1月起生效,舊IP地址為128.9.0.107)
|
2001:478:65::53 (not in root zone yet)
|
none
|
ns1.isi.edu
|
南加州大學(xué)信息科學(xué)研究所
(Information Sciences Institute, University of Southern California)
|
美國加州馬里納戴爾雷伊
(Marina del Rey)
0/1
|
BIND
|
C
|
192.33.4.12
|
|
AS2149
|
c.psi.net
|
Cogent Communications
|
以任播技術(shù)分散設(shè)置于多處
6/0
|
BIND
|
D
|
128.8.10.90
|
|
AS27
|
terp.umd.edu
|
馬里蘭大學(xué)學(xué)院市分校
(University of Maryland, College Park)
|
美國馬里蘭州大學(xué)公園市
(College Park)
1/0
|
BIND
|
E
|
192.203.230.10
|
|
AS297
|
ns.nasa.gov
|
NASA
|
美國加州山景城
(Mountain View)
1/0
|
BIND
|
F
|
192.5.5.241
|
2001:500:2f::f
|
AS3557
|
ns.isc.org
|
互聯(lián)網(wǎng)系統(tǒng)協(xié)會
(Internet Systems Consortium)
|
以任播技術(shù)分散設(shè)置于多處
2/47
|
BIND
|
G
|
192.112.36.4
|
|
AS5927
|
ns.nic.ddn.mil
|
美國國防部國防信息系統(tǒng)局
(Defense Information Systems Agency)
|
以任播技術(shù)分散設(shè)置于多處
6/0
|
BIND
|
H
|
128.63.2.53
|
2001:500:1::803f:235
|
AS13
|
aos.arl.army.mil
|
美國國防部陸軍研究所
(U.S. Army Research Lab)
|
美國馬里蘭州阿伯。ˋberdeen)
1/0
|
NSD
|
I
|
192.36.148.17
|
2001:7fe::53
|
AS29216
|
nic.nordu.net
|
瑞典奧托諾米嘉公司(Autonomica)
|
以任播技術(shù)分散設(shè)置于多處
36
|
BIND
|
J
|
192.58.128.30
(2002年11月起生效,舊IP地址為198.41.0.10)
|
2001:503:c27::2:30
|
AS26415
|
|
VeriSign
|
以任播技術(shù)分散設(shè)置于多處
63/7
|
BIND
|
K
|
193.0.14.129
|
2001:7fd::1
|
AS25152
|
|
荷蘭RIPE NCC
|
以任播技術(shù)分散設(shè)置于多處
5/13
|
NSD
|
L
|
199.7.83.42
(2007年11月起生效,舊IP地址為198.32.64.12)
|
2001:500:3::42
|
AS20144
|
|
ICANN
|
以任播技術(shù)分散設(shè)置于多處
37/1
|
NSD
|
M
|
202.12.27.33
|
2001:dc3::35
|
AS7500
|
|
日本W(wǎng)IDE Project
|
以任播技術(shù)分散設(shè)置于多處
5/1
|
BIND
|
四、主要作用
在根域名服務(wù)器中雖然沒有每個域名的具體信息,但儲存了負(fù)責(zé)每個域(如COM、NET、ORG等)的解析的域名服務(wù)器的地址信息,如同通過北京電信你問不到廣州市某單位的電話號碼,但是北京電信可以告訴你去查020114。世界上所有互聯(lián)網(wǎng)訪問者的瀏覽器的將域名轉(zhuǎn)化為IP地址的請求(瀏覽器必須知道數(shù)字化的IP地址才能訪問網(wǎng)站)理論上都要經(jīng)過根服務(wù)器的指引后去該域名的權(quán)威域名服務(wù)器(authoritative name server, 如haier.com的權(quán)威域名服務(wù)器是dns1.hichina com)上得到對應(yīng)的IP地址,當(dāng)然現(xiàn)實中提供接入服務(wù)的ISP的緩存域名服務(wù)器上可能已經(jīng)有了這個對應(yīng)關(guān)系(域名到IP地址)的緩存。
根域名服務(wù)器是架構(gòu)因特網(wǎng)所必須的基礎(chǔ)設(shè)施。在國外,許多計算機科學(xué)家將根域名服務(wù)器稱作“真理”(TRUTH),足見其重要性。但是攻擊整個因特網(wǎng)最有力、最直接,也是最致命的方法恐怕就是攻擊根域名服務(wù)器了。早在1997年7月,這些域名服務(wù)器之間自動傳遞了一份新的關(guān)于因特網(wǎng)地址分配的總清單,然而這份清單實際上是空白的。這一人為失誤導(dǎo)致了因特網(wǎng)出現(xiàn)最嚴(yán)重的局部服務(wù)中斷,造成數(shù)天之內(nèi)網(wǎng)面無法訪問,電子郵件也無法發(fā)送。
五、遭遇攻擊
在2002年的10月21日美國東部時間下午4:45開始,這13臺服務(wù)器又遭受到了有史以來最為嚴(yán)重的也是規(guī)模最為龐大的一次網(wǎng)絡(luò)襲擊。此次受到的攻擊是DDoS攻擊,超過常規(guī)數(shù)量30至40倍的數(shù)據(jù)猛烈地向這些服務(wù)器襲來并導(dǎo)致其中的9臺不能正常運行。7臺喪失了對網(wǎng)絡(luò)通信的處理能力,另外兩臺也緊隨其后陷于癱瘓。
10月21日的這次攻擊對于普通用戶來說可能根本感覺不到受到了什么影響。如果僅從此次事件的“后果”來分析,也許有人認(rèn)為“不會所有的根域名服務(wù)器都受到攻擊,因此可以放心”,或者“根域名服務(wù)器產(chǎn)生故障也與自己沒有關(guān)系”,還為時尚早。但他們并不清楚其根本原因是:
并不是所有的根域名服務(wù)器全部受到了影響;
攻擊在短時間內(nèi)便告結(jié)束;
攻擊比較單純,因此易于采取相應(yīng)措施。
由于目前對于DDoS攻擊還沒有什么特別有效的解決方案,設(shè)想一下如果攻擊的時間再延長,攻擊再稍微復(fù)雜一點,或者再多有一臺服務(wù)器癱瘓,全球互聯(lián)網(wǎng)將會有相當(dāng)一部分網(wǎng)頁瀏覽以及e-mail服務(wù)會徹底中斷。
而且,我們更應(yīng)該清楚地認(rèn)識到雖然此次事故發(fā)生的原因不在于根域名服務(wù)器本身,而在于因特網(wǎng)上存在很多脆弱的機器,這些脆弱的機器植入DDoS客戶端程序(如特洛伊木馬),然后同時向作為攻擊的根域名服務(wù)器發(fā)送信息包,從而干擾服務(wù)器的服務(wù)甚至直接導(dǎo)致其徹底崩潰。但是這些巨型服務(wù)器的漏洞是肯定存在的,即使現(xiàn)在沒有被發(fā)現(xiàn),以后也肯定會被發(fā)現(xiàn)。而一旦被惡意攻擊者發(fā)現(xiàn)并被成功利用的話,將會使整個互聯(lián)網(wǎng)處于癱瘓之中。
六、影響中國
百度被“黑”與谷歌“自宮”事件引發(fā)了業(yè)界對根服務(wù)器的又一次關(guān)注。目前,全球的根服務(wù)器沒有任何變化,仍為13臺域名根服務(wù)器,1個為主根服務(wù)器,放置在美國,其余12臺輔根服務(wù)器有9臺放置在美國,2臺在歐洲(分別位于英國和瑞典),1臺在亞洲的日本。其中部分服務(wù)器采取任播技術(shù)在全球設(shè)置多個鏡像來加速訪問。
由于目前沒有根服務(wù)器或者根服務(wù)器的鏡像位于中國境內(nèi),所以在中國建立新的根服務(wù)器是有必要的,正所謂有備無患。這樣在少數(shù)極端情況下(比如全球互聯(lián)網(wǎng)出現(xiàn)大面積癱瘓、或者中國互聯(lián)網(wǎng)國際出口堵塞),至少要保證國內(nèi)的站點由國內(nèi)的域名服務(wù)器來解析。雖然國外的用戶連接到我國的網(wǎng)絡(luò)會出現(xiàn)問題,但是我國可以自己解決中國境內(nèi)的域名解析問題,保證國內(nèi)網(wǎng)絡(luò)正常使用。
轉(zhuǎn)載請保留原文地址: http://m.448gfe.cn/show-631.html