13臺(tái)根域名服務(wù)器的主要作用

全球共有13臺(tái)根域名服務(wù)器。這13臺(tái)根域名服務(wù)器中名字分別為“A”至“M”，其中10臺(tái)設(shè)置在美國(guó)，另外各有一臺(tái)設(shè)置于英國(guó)、瑞典和日本。
一、介紹
根服務(wù)器主要用來(lái)管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺(tái)。1個(gè)為主根服務(wù)器，放置在美國(guó)。其余12個(gè)均為輔根服務(wù)器，其中9個(gè)放置在美國(guó)，歐洲2個(gè)，位于荷蘭和瑞典，亞洲1個(gè)，位于日本。所有根服務(wù)器均由美國(guó)政府授權(quán)的互聯(lián)網(wǎng)域名與號(hào)碼分配機(jī)構(gòu)ICANN統(tǒng)一管理，負(fù)責(zé)全球互聯(lián)網(wǎng)域名根服務(wù)器、域名體系和IP地址等的管理。
這13臺(tái)根服務(wù)器可以指揮Firefox或InternetExplorer這樣的Web瀏覽器和電子郵件程序控制互聯(lián)網(wǎng)通信。由于根服務(wù)器中有經(jīng)美國(guó)政府批準(zhǔn)的260個(gè)左右的互聯(lián)網(wǎng)后綴（如．com、．net等）和一些國(guó)家的指定符（如法國(guó)的．fr、挪威的．no等），自成立以來(lái)，美國(guó)政府每年花費(fèi)近50多億美元用于根服務(wù)器的維護(hù)和運(yùn)行，承擔(dān)了世界上最繁重的網(wǎng)絡(luò)任務(wù)和最巨大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此可以實(shí)事求是地說(shuō)：沒有美國(guó)，互聯(lián)網(wǎng)將是死灰一片。世界對(duì)美國(guó)互聯(lián)網(wǎng)的依賴性非常大，當(dāng)然這也主要是由其技術(shù)的先進(jìn)性和管理的科學(xué)性所決定的。所謂依賴性，從國(guó)際互聯(lián)網(wǎng)的工作機(jī)理來(lái)體現(xiàn)的，就在于“根服務(wù)器”的問題。從理論上說(shuō)，任何形式的標(biāo)準(zhǔn)域名要想被實(shí)現(xiàn)解析，按照技術(shù)流程，都必須經(jīng)過(guò)全球“層級(jí)式”域名解析體系的工作，才能完成。 “層級(jí)式”域名解析體系第一層就是根服務(wù)器，負(fù)責(zé)管理世界各國(guó)的域名信息，在根服務(wù)器下面是頂級(jí)域名服務(wù)器，即相關(guān)國(guó)家域名管理機(jī)構(gòu)的數(shù)據(jù)庫(kù)，如中國(guó)的CNNIC，然后是在下一級(jí)的域名數(shù)據(jù)庫(kù)和ISP的緩存服務(wù)器。一個(gè)域名必須首先經(jīng)過(guò)根數(shù)據(jù)庫(kù)的解析后，才能轉(zhuǎn)到頂級(jí)域名服務(wù)器進(jìn)行解析。
二、原因
這要從DNS協(xié)議（域名解析協(xié)議）說(shuō)起。DNS協(xié)議使用了端口上的UDP和TCP協(xié)議，UDP通常用于查詢和響應(yīng)，TCP用于主服務(wù)器和從服務(wù)器之間的傳送。由于在所有UDP查詢和響應(yīng)中能保證正常工作的最大長(zhǎng)度是512字節(jié)，512字節(jié)限制了根服務(wù)器的數(shù)量和名字。
要讓所有的根服務(wù)器數(shù)據(jù)能包含在一個(gè)512字節(jié)的UDP包中，根服務(wù)器只能限制在13個(gè)，而且每個(gè)服務(wù)器要使用字母表中的單個(gè)字母命名，這也是根服務(wù)器是從A~M命名的原因。
三、分布地點(diǎn)
下表是這些機(jī)器的管理單位、設(shè)置地點(diǎn)及最新的IP地址：

四、主要作用
在根域名服務(wù)器中雖然沒有每個(gè)域名的具體信息，但儲(chǔ)存了負(fù)責(zé)每個(gè)域（如COM、NET、ORG等）的解析的域名服務(wù)器的地址信息，如同通過(guò)北京電信你問不到廣州市某單位的電話號(hào)碼，但是北京電信可以告訴你去查020114。世界上所有互聯(lián)網(wǎng)訪問者的瀏覽器的將域名轉(zhuǎn)化為IP地址的請(qǐng)求（瀏覽器必須知道數(shù)字化的IP地址才能訪問網(wǎng)站）理論上都要經(jīng)過(guò)根服務(wù)器的指引后去該域名的權(quán)威域名服務(wù)器(authoritative name server, 如haier.com的權(quán)威域名服務(wù)器是dns1.hichina com)上得到對(duì)應(yīng)的IP地址，當(dāng)然現(xiàn)實(shí)中提供接入服務(wù)的ISP的緩存域名服務(wù)器上可能已經(jīng)有了這個(gè)對(duì)應(yīng)關(guān)系（域名到IP地址）的緩存。
根域名服務(wù)器是架構(gòu)因特網(wǎng)所必須的基礎(chǔ)設(shè)施。在國(guó)外，許多計(jì)算機(jī)科學(xué)家將根域名服務(wù)器稱作“真理”（TRUTH），足見其重要性。但是攻擊整個(gè)因特網(wǎng)最有力、最直接，也是最致命的方法恐怕就是攻擊根域名服務(wù)器了。早在1997年7月，這些域名服務(wù)器之間自動(dòng)傳遞了一份新的關(guān)于因特網(wǎng)地址分配的總清單，然而這份清單實(shí)際上是空白的。這一人為失誤導(dǎo)致了因特網(wǎng)出現(xiàn)最嚴(yán)重的局部服務(wù)中斷，造成數(shù)天之內(nèi)網(wǎng)面無(wú)法訪問，電子郵件也無(wú)法發(fā)送。
五、遭遇攻擊
在2002年的10月21日美國(guó)東部時(shí)間下午4:45開始，這13臺(tái)服務(wù)器又遭受到了有史以來(lái)最為嚴(yán)重的也是規(guī)模最為龐大的一次網(wǎng)絡(luò)襲擊。此次受到的攻擊是DDoS攻擊，超過(guò)常規(guī)數(shù)量30至40倍的數(shù)據(jù)猛烈地向這些服務(wù)器襲來(lái)并導(dǎo)致其中的9臺(tái)不能正常運(yùn)行。7臺(tái)喪失了對(duì)網(wǎng)絡(luò)通信的處理能力，另外兩臺(tái)也緊隨其后陷于癱瘓。
10月21日的這次攻擊對(duì)于普通用戶來(lái)說(shuō)可能根本感覺不到受到了什么影響。如果僅從此次事件的“后果”來(lái)分析，也許有人認(rèn)為“不會(huì)所有的根域名服務(wù)器都受到攻擊，因此可以放心”，或者“根域名服務(wù)器產(chǎn)生故障也與自己沒有關(guān)系”，還為時(shí)尚早。但他們并不清楚其根本原因是：
并不是所有的根域名服務(wù)器全部受到了影響；
攻擊在短時(shí)間內(nèi)便告結(jié)束；
攻擊比較單純，因此易于采取相應(yīng)措施。
由于目前對(duì)于DDoS攻擊還沒有什么特別有效的解決方案，設(shè)想一下如果攻擊的時(shí)間再延長(zhǎng)，攻擊再稍微復(fù)雜一點(diǎn)，或者再多有一臺(tái)服務(wù)器癱瘓，全球互聯(lián)網(wǎng)將會(huì)有相當(dāng)一部分網(wǎng)頁(yè)瀏覽以及e-mail服務(wù)會(huì)徹底中斷。
而且，我們更應(yīng)該清楚地認(rèn)識(shí)到雖然此次事故發(fā)生的原因不在于根域名服務(wù)器本身，而在于因特網(wǎng)上存在很多脆弱的機(jī)器，這些脆弱的機(jī)器植入DDoS客戶端程序（如特洛伊木馬），然后同時(shí)向作為攻擊的根域名服務(wù)器發(fā)送信息包，從而干擾服務(wù)器的服務(wù)甚至直接導(dǎo)致其徹底崩潰。但是這些巨型服務(wù)器的漏洞是肯定存在的，即使現(xiàn)在沒有被發(fā)現(xiàn)，以后也肯定會(huì)被發(fā)現(xiàn)。而一旦被惡意攻擊者發(fā)現(xiàn)并被成功利用的話，將會(huì)使整個(gè)互聯(lián)網(wǎng)處于癱瘓之中。
六、影響中國(guó)
百度被“黑”與谷歌“自宮”事件引發(fā)了業(yè)界對(duì)根服務(wù)器的又一次關(guān)注。目前，全球的根服務(wù)器沒有任何變化，仍為13臺(tái)域名根服務(wù)器，1個(gè)為主根服務(wù)器，放置在美國(guó)，其余12臺(tái)輔根服務(wù)器有9臺(tái)放置在美國(guó)，2臺(tái)在歐洲(分別位于英國(guó)和瑞典)，1臺(tái)在亞洲的日本。其中部分服務(wù)器采取任播技術(shù)在全球設(shè)置多個(gè)鏡像來(lái)加速訪問。
由于目前沒有根服務(wù)器或者根服務(wù)器的鏡像位于中國(guó)境內(nèi)，所以在中國(guó)建立新的根服務(wù)器是有必要的，正所謂有備無(wú)患。這樣在少數(shù)極端情況下（比如全球互聯(lián)網(wǎng)出現(xiàn)大面積癱瘓、或者中國(guó)互聯(lián)網(wǎng)國(guó)際出口堵塞），至少要保證國(guó)內(nèi)的站點(diǎn)由國(guó)內(nèi)的域名服務(wù)器來(lái)解析。雖然國(guó)外的用戶連接到我國(guó)的網(wǎng)絡(luò)會(huì)出現(xiàn)問題，但是我國(guó)可以自己解決中國(guó)境內(nèi)的域名解析問題，保證國(guó)內(nèi)網(wǎng)絡(luò)正常使用。

轉(zhuǎn)載請(qǐng)保留原文地址: http://www.auiec.com/show-631.html