域名知識篇：域名DNS根域名伺服器背後的故事

近日報道稱，美國將於10月1日把網際網路域名管理權正式移交給網際網路名稱和編號分配公司(簡稱ICANN)，表面上來看，是美國主動放棄網際網路霸權，但實際上，美國並未放棄全球網際網路霸權，網路安全形勢依然嚴峻。

現在的網際網路起源於1969年美國國防部高階研究開發的 ARPAnet ，後來隨著加入 ARPAnet 的組織和機構越來越多，1983年，美國國防部將 ARPAnet 向民用領域開放，逐漸發展成為今天的國際網際網路。

雖然網際網路是虛擬不可捉摸的，但DNS根域名伺服器就是支撐整個網際網路運作最重要的基礎設施之一。

何為DNS根伺服器?在網際網路上，一個網頁只和IP地址相對應，由於數字型的IP地址很難記住，所以訪問網路時經常使用由一組字元組成的域名來表示IP地址。常見的域名有.com 、.cn等。而根DNS伺服器，就是最為權威的“號碼簿”。全球所有的DNS伺服器，其實都只是起到加速和緩衝的作用，最終的解析都要連線到根DNS伺服器完成,然後指向對應的網址。

DNS(域名系統)主要將域名轉化成IP地址，這套系統採用分級授權的域名管理機制，在這個分級授權結構中，最頂層的稱為根域，隨後是處於不同層級的子域。一個完整的主機域名是從最下面的子域到根域的名字由點“.”連線而成的字串。例如，網站是:www.chuangke.com，在這個域名中，com為頂級域名，chuangke.com為二級域名，www.chuangke.com為主機名。

在域名解析協議中，所有根DNS伺服器需要包含在256B的資料包中，因而目前全球根DNS伺服器僅有13個，用英文字母A~M代表。其中主根伺服器1臺，位於美國，輔助根伺服器12臺。輔助根伺服器中，9臺位於美國，英國、瑞典、日本各有一臺。以下為13臺根伺服器的位置：

A——威瑞信(VeriSign)公司(美國弗吉尼亞州)

B——美國資訊科學研究所(美國加利弗尼亞州)

C——PSINet公司(美國弗吉尼亞州)

D——馬里蘭大學(美國馬里蘭州)

E——美國航空航天管理局(美國加利弗尼亞州)

F——因特網軟體聯盟(美國加利弗尼亞州)

G——美國國防部網路資訊中心(美國弗吉尼亞州)

H——美國陸軍研究所(美國馬里蘭州)

I——Autonomica公司(瑞典斯德哥爾摩)

J——威瑞信(VeriSign)公司(美國弗吉尼亞州)

K——RIPENCC(英國倫敦)

L——ICANN(美國弗吉尼亞州)

M——WIDEProject(日本東京)

注：威瑞信(VeriSign)公司是目前.com、.NET、.cc、.edu、web等域名註冊管理機構，控制著兩個根域名伺服器。

毫不誇張的說，根域名伺服器就是網際網路的命脈，如果這13臺根域名伺服器中的某一臺或幾臺出現故障，或遭到黑客攻擊而停止服務，則域名解析有可能無法進行，那些依靠這些域名系統支援的網際網路應用和服務將停止工作。

不如舉個例子吧。

2002年10月21日，13臺根域名伺服器遭受黑客攻擊，導致9臺根伺服器喪失了對網路通訊的處理能力，網際網路出現區域性癱瘓。

2007年2月5日，3臺根伺服器遭受到黑客的攻擊，其中包括執行“ORG”域名的根域名伺服器和美國國防部執行的一個根域名伺服器。

2010年1月12日，由於美國負責百度域名解析的根伺服器遭到了黑客攻擊，百度首頁出現大面積的訪問故障，全國絕大多數地區均無法訪問百度網站。

2014年1月21日，由於解析中國所有通用頂級域的根伺服器出現DNS汙染事件，百度、新浪、騰訊、京東等諸多網站的在此次事件中，各大網站均被劫持到65.49.2.178這個位於美國IP上，一度無法訪問。

上述網路區域性癱瘓僅僅是因為根伺服器異常或黑客攻擊所致，假如作為根伺服器主要管理者的美國出手，帶來的影響將是異常巨大的。

憑藉對根域名伺服器的管理權，美國可以遮蔽掉某些國家的頂級域名，使這些域名無法得到解析。好吧，咱們再來說說那個美國政府轉交運營的ICANN吧。

ICANN是一家負責全球網際網路根伺服器、域名體系和IP地址等的管理的機構，雖然是一個非營利性國際組織，但卻是在美國商務部提議下成立的，美國商務部某種程度上還是能極大的影響他們的。

因此，僅僅是同意將域名管理權移交ICANN，表面上移交域名管理權的做法很可能只是換個馬甲而已。

好吧，說了那麼多，美國對根域名伺服器的控制，是懸在中國國家網路安全頭上的一把利刃，那有沒有解決的方案呢?

目前13臺根域名伺服器由美國政府授權的ICANN所掌控，在理論上可以控制根伺服器能截獲、丟棄、篡改、偽造經過根伺服器的資訊，並且目前主流COM、NET等域名均由國外威瑞信(VeriSign)公司負責管理，可以說是，美國想掐斷哪個網站，想怎麼樣都可以。

說了這麼多，大家應該看明白了，美國能控制全球網際網路的原因就是控制根域名伺服器，控制主流.com、.net等域名管理權。如果我們有破解之策呢?

值得慶幸的是，現在中國已經有了cn，目前已在國內設定了多個根域名映象伺服器，即在根域名伺服器中止了對cn 等域名解析的情況下，也能保證cn等域名在國內能正常訪問。

2003年，由網際網路軟體聯盟(ISC)和中國電信共同建立F根域名伺服器映象

2005年，由瑞典國家網際網路交換中心(Autonomatic)在CNNIC設立I根根域名伺服器映象

2006年，網通集團與美國威瑞信(VeriSign)公司正式開通J根域名伺服器映象

2014年，世紀互聯與ICANN合作在中國增設L根域名伺服器映象

值得一提的是由我國下一代網際網路工程中心領銜發起創立的“雪人計劃”(Yeti DNS Project)，旨在打破有13個根伺服器的運營者“神聖不可侵犯”、“數量不可改變”的教條，首次提出並實踐“一個命名體系，多種定址方式”，最終實現在國內擁有真正的根域名伺服器。

如此一來，有了根域名伺服器，再加上國內機構運營的.cn等域名的大幅使用，國家網際網路安全得到了極大的保障。