美国如果把根域名服务器封了,中国会从网络上消失?
共 10490字,需浏览 21分钟
·
2020-08-21 21:35
作者:卫剑钒
自从美国宣布 “清洁网络” 行动后,很多懂点网络的人,第一反应是,美国人会下手根域名服务器吗?
这种忧虑可不是一年两年了。
2014 年 6 月 24 日的《人民日报》上引用专家发言:“目前美国掌握着全球互联网 13 台域名根服务器中的 10 台。理论上,只要在根服务器上屏蔽该国家域名,就能让这个国家的国家顶级域名网站在网络上瞬间 “消失”。在这个意义上,美国具有全球独一无二的制网权,有能力威慑他国的网络边疆和网络主权。譬如,伊拉克战争期间,在美国政府授意下,伊拉克顶级域名 “.iq” 的申请和解析工作被终止,所有网址以 “.iq” 为后缀的网站从互联网蒸发。”1
《信息安全与通信保密》杂志 2014 年第 10 期的一篇文章写道:“2004 年,由于与利比亚在顶级域名管理权问题上发生争执,美国终止了利比亚的顶级域名.LY 的解析服务,导致利比亚从网络中消失 3 天。”2
对此,我们需要害怕吗?我们需要什么样的反制措施?
不是专家,还真回答不了这个问题。
因为这需要了解 DNS 的工作原理,了解根域名的管理机制。
这里先给出简要回答:不排除这种可能性,但并不是没有办法。
一句话原因:虽然根不在我们手里,但我们有镜像。
DNS 傻瓜书
先了解点基本概念,懂 DNS 的可以直接跳过本节。
1、DNS 是什么?
DNS 就是将域名转换为 IP 的,因为我们人类的记忆力太差,根本记不住 IP,而电脑通信又必须用 IP,所以人类发明了域名,让我们可以记住 baidu.com、taobao.com 这种还算能记得住的域名。然后通过 DNS,将这些域名转换为电脑需要的 IP。
2、DNS 是怎么工作的?
每个电脑里面都设置了本地 DNS 服务器(简称 LDNS),需要的时候,就向 LDNS 发出请求,LDNS 在网上问权威域名服务器(简称 权威 DNS),有时候问一家是不够的,要问一大圈下来,最后才能得到答案。
3、权威 DNS 是干什么的?
问我一个域名,我告诉你 IP,如果我不知道,我告诉你谁可能知道,你再去问它。
4、什么是根域名服务器(简称根 DNS)?
当 LDNS 啥都不知道的时候(也即没有任何缓存),就去问根 DNS,根能告诉 LDNS 下一步该问谁。
5、全世界有多少根 DNS?
13 个,其中 10 个在美国,英国和瑞典各 1 个,日本 1 个。
6、根 DNS 的名字和 IP 都是什么?
在这个网址:
https://www.internic.net/domain/named.root
打开可以看到,里面有 13 个根的名字和 IP,其名字从 A.root-servers.net 到 M.root-servers.net。
A 开头那个简称 A 根,是主根,其他 12 个(B、C、D、E、F、G、H、I、J、K、L、M)是辅根。
为什么根 DNS 只有 13 台?
本节看不懂没关系(一般人都看不懂),你只需要知道,由于历史原因和技术原因,对于 IPv4 而言,根 DNS 只能有 13 个 IP。
正宗答案是:DNS 主要使用 UDP 数据报传送报文,不含前面的各种头部,DNS 报文要求被控制在 512 字节之内( RFC1035 ),主要考虑是这个大小几乎可以在互联网上畅通无阻,不会因为路径中某个 MTU 太小( MTU 通常总会 >= 576,见 RFC791 )而导致 IP 分片,从而预防了各种不可预期的后果 3。
而每一个根 DNS 在 DNS 报文中都要占用一定的字节数,比如根的名称、TTL、IP 地址等。这样,13 个根域名服务器基本上就把空间占差不多了,剩余的字节还要用于包装 DNS 报头以及其它协议参数,所以根域名服务器不易太多,13 个算是比较合适的数目。具体可以看一下 “Why 13 DNS root servers?” 这篇文章。4
真的只有 13 台服务器吗?
和很多人想象的完全不一样,这 13 个根域名服务器,并不是只有 13 台物理的服务器。
这 13 个根,只是一个逻辑上的概念,每个根 DNS,背后都有多台真正的物理服务器在工作!
截至 2020 年 8 月 12 日,全球一共有 1097 个根服务器。每一个根都有若干个镜像,分布在全球不同的地方。
这个数目在不断上涨,去年 10 月 1 日新中国成立 70 周年阅兵的时候,我看了一下,是 1015 个服务器。
这 13 个根由 12 个独立的机构管理,比如 A 根和 J 根都是由 Verisign 公司管理,截至 2020 年 8 月 12 日,A 根在全球各地有 53 个站点,J 根有 185 个站点。L 根由 ICANN 管理,全球有 167 个站点,其中北京 2 个,上海 1 个。
在 root-servers 网站上 5,可以查到所有这些根服务器的分布,从网站展示的根镜像服务器地图上看(2020 年 8 月 12 日),北京有 5 个根镜像服务器,上海 1 个,杭州 2 个,武汉 1 个、郑州 1 个、西宁 1 个、贵阳 1 个、广州 1 个、香港 9 个,台北 6 个。
包含港澳台部分,我国一共有 28 个根镜像。
我国境内发出的对根 DNS 的请求,其实都由镜像完成了。这一点后面会解释。
现在,为了增长知识,你该硬着头皮看一些 DNS 细节了。
DNS 到底是怎么工作的?
对于 IT 从业者,希望你能理解并牢牢记住本节的内容。
因为你迟早会遇到有关 DNS 的困惑。
先介绍一下域名的级别:
. 代表根域名, .com 这种是顶级域名,也叫一级域名,baidu.com 这种叫二级域名, www.baidu.com 这种叫三级域名,依次类推。
对于 DNS 服务器软件而言,这 13 个 IP,配置在根提示文件(root hints file)中,可能是 named.cache 或 root.ca 或 root.hints 等等之类的文件。
根镜像起什么作用?
任播是指在 IP 网络上通过一个 IP 地址标识一组提供特定服务的主机,服务访问方并不关心提供服务具体是哪一台主机提供的,访问该地址的报文可以被 IP 网络路由到 “最近” 的一个(最好也只是一个,别送到多个)服务器上。这里 “最近” 可以是指路由器跳数、服务器负载、服务器吞吐量、客户和服务器之间的往返时间( RTT,round trip time )、链路的可用带宽等特征值。
根 DNS 是怎么管理的?
IANA 负责互联网全局编号和编码的管理与协调,之所以需要这么个机构,是因为互联网协议的值或参数,必须是全球唯一的,否则无法互联互通,比如 HTTP 协议默认都在 80 端口等待用户请求,而 404 编码则一致代表 " 未找到页面”。IANA 主要职责包括 IP 地址段的分配、协议代码和编号的分配(如协议号、端口号)、自治系统编号 (ASN) 分配、DNS 根区管理(包括通用顶级域名 gTLD 以及国家和地区顶级域名 ccTLD 管理)等。8
2003 年,Verisign 推出了一项新业务 Site Finder,用户访问没有注册过的.com 或.net 域名,都会被导向 Verisign 的网站。这意味着,它事实上拥有了所有没有注册过的.com 和.net 域名。几天之内,Verisign 就挤入了全世界的前 10 大网站。 ICANN 要求 Verisign 立刻停止该业务,否则将终止域名托管合同。Verisign 屈服了,停止了这项业务,但是接着就把 ICANN 告上了法庭,要求法庭厘请两者之间的合同,ICANN 到底有没有权力干涉它的业务。 2006 年底,他们达成了庭外和解。ICANN 同意延长 Verisign 的顶级域名托管合同,并且同意 Verisign 向消费者收取的单个域名注册费的上限,从 6 美元提高到了 7.85 美元。这个费用标准,一直沿用到了今天,你去注册一个.com 或.net 域名,所交的钱有 0.18 美元是 ICANN 收取的管理费,7.85 美元是 Verisign 收取的托管费,其余的钱就是域名零售商的费用。
我国的根镜像由谁管理?
工信部在给 CNNIC 的批文中写道:“你中心应严格遵守《互联网域名管理办法》《通信网络安全防护管理办法》及相关法律法规、行政规章及行业管理规定,接受我部的管理和监督检查,建立符合我部要求的信息管理系统并与我部指定的管理系统对接,保证域名根服务器安全、可靠运行,为用户提供安全、方便的域名服务,保障服务质量,保护用户个人信息安全,维护国家利益和用户权益。”
美国能对根 DNS 做什么手脚?
该文件保存所有顶级域名的信息,目前大小为 2.2M,2 万余行。 每当有顶级域名的变动时,该文件就会更新。
如何应对?
后记
从网络大国走向网络强国 (http://opinion.people.com.cn/n/2014/0624/c1003-25189448.html)
美国网络霸权浅析 (http://www.wanfangdata.com.cn/details/detail.do?_type=perio&id=xxaqytxbm201410030)
为什么域名根服务器只能有 13 台呢?(https://www.zhihu.com/question/22587247)
Why 13 DNS root servers?(https://miek.nl/2013/november/10/why-13-dns-root-servers/)
https://root-servers.org
Initializing a DNS Resolver with Priming Queries(https://tools.ietf.org/html/draft-ietf-dnsop-resolver-priming-11)
薛虹:互联网全球治理的新篇章 (https://zhuanlan.zhihu.com/p/23042167)
ICANN: IANA 职能 (https://www.icann.org/zh/system/files/files/iana-functions-18dec15-zh.pdf)
阮一峰:根域名的知识
北龙中网王伟任职 PTI 董事 我国专家就任国际互联网治理关键岗位 (http://news.sina.com.cn/c/2017-12-25/doc-ifypwzxq6350205.shtml)
工业和信息化部关于同意中国互联网络信息中心设立域名根服务器(F、I、K、L 根镜像服务器)及域名根服务器运行机构的批复 (http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015545/content.html)
工业和信息化部关于同意互联网域名系统北京市工程研究中心有限公司设立域名根服务器(L 根镜像服务器)及域名根服务器运行机构的批复 (http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015527/content.html)
完
纯原创小号来袭,帅地申请了个小号,我会在这个公众号分享读者问过我的问题,并且给予最真实的回答,同时也会分享自己学习方法、挣钱经历、工作经历、个人经历、沙雕日常,我相信,我的经历与想法,一定可以给你带来一些帮助!目前是一周1~2更,扫一扫进入帅地的原创私密沙雕小号
读者福利 《程序员内功修炼》第二版强势来袭,汇总了高质量的算法、计算机基础文章并且每一篇文章,要嘛是漫画讲解,要嘛是对话讲解,一步步引导,要嘛是图形并茂,例如讲解树的文章 例如漫画文章
例如讲解算法思想的文章
等等,如果你想学习算法,学习计算机基础,那么我决定这份 PDF,一定会让你有所帮助。当然,如果一是一位有那么点迷茫的在校生,相信我的个人经历,可以给你打一份鸡血,让你更好着去寻找自己的目标。
如何获取
很简单,在我的微信公众号 帅地玩编程 回复 程序员内功修炼 即可获取《程序员内功修炼》第一版和第二版的 PDF。