域名知識篇:域名DNS根域名伺服器背後的故事
近日報道稱,美國將於10月1日把網際網路域名管理權正式移交給網際網路名稱和編號分配公司(簡稱ICANN),表面上來看,是美國主動放棄網際網路霸權,但實際上,美國並未放棄全球網際網路霸權,網路安全形勢依然嚴峻。
現在的網際網路起源於1969年美國國防部高階研究開發的 ARPAnet ,後來隨著加入 ARPAnet 的組織和機構越來越多,1983年,美國國防部將 ARPAnet 向民用領域開放,逐漸發展成為今天的國際網際網路。
雖然網際網路是虛擬不可捉摸的,但DNS根域名伺服器就是支撐整個網際網路運作最重要的基礎設施之一。
何為DNS根伺服器?在網際網路上,一個網頁只和IP地址相對應,由於數字型的IP地址很難記住,所以訪問網路時經常使用由一組字元組成的域名來表示IP地址。常見的域名有.com 、.cn等。而根DNS伺服器,就是最為權威的“號碼簿”。全球所有的DNS伺服器,其實都只是起到加速和緩衝的作用,最終的解析都要連線到根DNS伺服器完成,然後指向對應的網址。
DNS(域名系統)主要將域名轉化成IP地址,這套系統採用分級授權的域名管理機制,在這個分級授權結構中,最頂層的稱為根域,隨後是處於不同層級的子域。一個完整的主機域名是從最下面的子域到根域的名字由點“.”連線而成的字串。例如,網站是:www.chuangke.com,在這個域名中,com為頂級域名,chuangke.com為二級域名,www.chuangke.com為主機名。
在域名解析協議中,所有根DNS伺服器需要包含在256B的資料包中,因而目前全球根DNS伺服器僅有13個,用英文字母A~M代表。其中主根伺服器1臺,位於美國,輔助根伺服器12臺。輔助根伺服器中,9臺位於美國,英國、瑞典、日本各有一臺。以下為13臺根伺服器的位置:
A——威瑞信(VeriSign)公司(美國弗吉尼亞州)
B——美國資訊科學研究所(美國加利弗尼亞州)
C——PSINet公司(美國弗吉尼亞州)
D——馬里蘭大學(美國馬里蘭州)
E——美國航空航天管理局(美國加利弗尼亞州)
F——因特網軟體聯盟(美國加利弗尼亞州)
G——美國國防部網路資訊中心(美國弗吉尼亞州)
H——美國陸軍研究所(美國馬里蘭州)
I——Autonomica公司(瑞典斯德哥爾摩)
J——威瑞信(VeriSign)公司(美國弗吉尼亞州)
K——RIPENCC(英國倫敦)
L——ICANN(美國弗吉尼亞州)
M——WIDEProject(日本東京)
注:威瑞信(VeriSign)公司是目前.com、.NET、.cc、.edu、web等域名註冊管理機構,控制著兩個根域名伺服器。
毫不誇張的說,根域名伺服器就是網際網路的命脈,如果這13臺根域名伺服器中的某一臺或幾臺出現故障,或遭到黑客攻擊而停止服務,則域名解析有可能無法進行,那些依靠這些域名系統支援的網際網路應用和服務將停止工作。
不如舉個例子吧。
2002年10月21日,13臺根域名伺服器遭受黑客攻擊,導致9臺根伺服器喪失了對網路通訊的處理能力,網際網路出現區域性癱瘓。
2007年2月5日,3臺根伺服器遭受到黑客的攻擊,其中包括執行“ORG”域名的根域名伺服器和美國國防部執行的一個根域名伺服器。
2010年1月12日,由於美國負責百度域名解析的根伺服器遭到了黑客攻擊,百度首頁出現大面積的訪問故障,全國絕大多數地區均無法訪問百度網站。
2014年1月21日,由於解析中國所有通用頂級域的根伺服器出現DNS汙染事件,百度、新浪、騰訊、京東等諸多網站的在此次事件中,各大網站均被劫持到65.49.2.178這個位於美國IP上,一度無法訪問。
上述網路區域性癱瘓僅僅是因為根伺服器異常或黑客攻擊所致,假如作為根伺服器主要管理者的美國出手,帶來的影響將是異常巨大的。
憑藉對根域名伺服器的管理權,美國可以遮蔽掉某些國家的頂級域名,使這些域名無法得到解析。好吧,咱們再來說說那個美國政府轉交運營的ICANN吧。
ICANN是一家負責全球網際網路根伺服器、域名體系和IP地址等的管理的機構,雖然是一個非營利性國際組織,但卻是在美國商務部提議下成立的,美國商務部某種程度上還是能極大的影響他們的。
因此,僅僅是同意將域名管理權移交ICANN,表面上移交域名管理權的做法很可能只是換個馬甲而已。
好吧,說了那麼多,美國對根域名伺服器的控制,是懸在中國國家網路安全頭上的一把利刃,那有沒有解決的方案呢?
目前13臺根域名伺服器由美國政府授權的ICANN所掌控,在理論上可以控制根伺服器能截獲、丟棄、篡改、偽造經過根伺服器的資訊,並且目前主流COM、NET等域名均由國外威瑞信(VeriSign)公司負責管理,可以說是,美國想掐斷哪個網站,想怎麼樣都可以。
說了這麼多,大家應該看明白了,美國能控制全球網際網路的原因就是控制根域名伺服器,控制主流.com、.net等域名管理權。如果我們有破解之策呢?
值得慶幸的是,現在中國已經有了cn,目前已在國內設定了多個根域名映象伺服器,即在根域名伺服器中止了對cn 等域名解析的情況下,也能保證cn等域名在國內能正常訪問。
2003年,由網際網路軟體聯盟(ISC)和中國電信共同建立F根域名伺服器映象
2005年,由瑞典國家網際網路交換中心(Autonomatic)在CNNIC設立I根根域名伺服器映象
2006年,網通集團與美國威瑞信(VeriSign)公司正式開通J根域名伺服器映象
2014年,世紀互聯與ICANN合作在中國增設L根域名伺服器映象
值得一提的是由我國下一代網際網路工程中心領銜發起創立的“雪人計劃”(Yeti DNS Project),旨在打破有13個根伺服器的運營者“神聖不可侵犯”、“數量不可改變”的教條,首次提出並實踐“一個命名體系,多種定址方式”,最終實現在國內擁有真正的根域名伺服器。
如此一來,有了根域名伺服器,再加上國內機構運營的.cn等域名的大幅使用,國家網際網路安全得到了極大的保障。