13臺根域名服務(wù)器的主要作用

全球共有13臺根域名服務(wù)器。這13臺根域名服務(wù)器中名字分別為“A”至“M”，其中10臺設(shè)置在美國，另外各有一臺設(shè)置于英國、瑞典和日本。
一、介紹
根服務(wù)器主要用來管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺。1個為主根服務(wù)器，放置在美國。其余12個均為輔根服務(wù)器，其中9個放置在美國，歐洲2個，位于荷蘭和瑞典，亞洲1個，位于日本。所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)域名與號碼分配機構(gòu)ICANN統(tǒng)一管理，負責全球互聯(lián)網(wǎng)域名根服務(wù)器、域名體系和IP地址等的管理。
這13臺根服務(wù)器可以指揮Firefox或InternetExplorer這樣的Web瀏覽器和電子郵件程序控制互聯(lián)網(wǎng)通信。由于根服務(wù)器中有經(jīng)美國政府批準的260個左右的互聯(lián)網(wǎng)后綴（如．com、．net等）和一些國家的指定符（如法國的．fr、挪威的．no等），自成立以來，美國政府每年花費近50多億美元用于根服務(wù)器的維護和運行，承擔了世界上最繁重的網(wǎng)絡(luò)任務(wù)和最巨大的網(wǎng)絡(luò)風險。因此可以實事求是地說：沒有美國，互聯(lián)網(wǎng)將是死灰一片。世界對美國互聯(lián)網(wǎng)的依賴性非常大，當然這也主要是由其技術(shù)的先進性和管理的科學(xué)性所決定的。所謂依賴性，從國際互聯(lián)網(wǎng)的工作機理來體現(xiàn)的，就在于“根服務(wù)器”的問題。從理論上說，任何形式的標準域名要想被實現(xiàn)解析，按照技術(shù)流程，都必須經(jīng)過全球“層級式”域名解析體系的工作，才能完成。 “層級式”域名解析體系第一層就是根服務(wù)器，負責管理世界各國的域名信息，在根服務(wù)器下面是頂級域名服務(wù)器，即相關(guān)國家域名管理機構(gòu)的數(shù)據(jù)庫，如中國的CNNIC，然后是在下一級的域名數(shù)據(jù)庫和ISP的緩存服務(wù)器。一個域名必須首先經(jīng)過根數(shù)據(jù)庫的解析后，才能轉(zhuǎn)到頂級域名服務(wù)器進行解析。
二、原因
這要從DNS協(xié)議（域名解析協(xié)議）說起。DNS協(xié)議使用了端口上的UDP和TCP協(xié)議，UDP通常用于查詢和響應(yīng)，TCP用于主服務(wù)器和從服務(wù)器之間的傳送。由于在所有UDP查詢和響應(yīng)中能保證正常工作的最大長度是512字節(jié)，512字節(jié)限制了根服務(wù)器的數(shù)量和名字。
要讓所有的根服務(wù)器數(shù)據(jù)能包含在一個512字節(jié)的UDP包中，根服務(wù)器只能限制在13個，而且每個服務(wù)器要使用字母表中的單個字母命名，這也是根服務(wù)器是從A~M命名的原因。
三、分布地點
下表是這些機器的管理單位、設(shè)置地點及最新的IP地址：

四、主要作用
在根域名服務(wù)器中雖然沒有每個域名的具體信息，但儲存了負責每個域（如COM、NET、ORG等）的解析的域名服務(wù)器的地址信息，如同通過北京電信你問不到廣州市某單位的電話號碼，但是北京電信可以告訴你去查020114。世界上所有互聯(lián)網(wǎng)訪問者的瀏覽器的將域名轉(zhuǎn)化為IP地址的請求（瀏覽器必須知道數(shù)字化的IP地址才能訪問網(wǎng)站）理論上都要經(jīng)過根服務(wù)器的指引后去該域名的權(quán)威域名服務(wù)器(authoritative name server, 如haier.com的權(quán)威域名服務(wù)器是dns1.hichina com)上得到對應(yīng)的IP地址，當然現(xiàn)實中提供接入服務(wù)的ISP的緩存域名服務(wù)器上可能已經(jīng)有了這個對應(yīng)關(guān)系（域名到IP地址）的緩存。
根域名服務(wù)器是架構(gòu)因特網(wǎng)所必須的基礎(chǔ)設(shè)施。在國外，許多計算機科學(xué)家將根域名服務(wù)器稱作“真理”（TRUTH），足見其重要性。但是攻擊整個因特網(wǎng)最有力、最直接，也是最致命的方法恐怕就是攻擊根域名服務(wù)器了。早在1997年7月，這些域名服務(wù)器之間自動傳遞了一份新的關(guān)于因特網(wǎng)地址分配的總清單，然而這份清單實際上是空白的。這一人為失誤導(dǎo)致了因特網(wǎng)出現(xiàn)最嚴重的局部服務(wù)中斷，造成數(shù)天之內(nèi)網(wǎng)面無法訪問，電子郵件也無法發(fā)送。
五、遭遇攻擊
在2002年的10月21日美國東部時間下午4:45開始，這13臺服務(wù)器又遭受到了有史以來最為嚴重的也是規(guī)模最為龐大的一次網(wǎng)絡(luò)襲擊。此次受到的攻擊是DDoS攻擊，超過常規(guī)數(shù)量30至40倍的數(shù)據(jù)猛烈地向這些服務(wù)器襲來并導(dǎo)致其中的9臺不能正常運行。7臺喪失了對網(wǎng)絡(luò)通信的處理能力，另外兩臺也緊隨其后陷于癱瘓。
10月21日的這次攻擊對于普通用戶來說可能根本感覺不到受到了什么影響。如果僅從此次事件的“后果”來分析，也許有人認為“不會所有的根域名服務(wù)器都受到攻擊，因此可以放心”，或者“根域名服務(wù)器產(chǎn)生故障也與自己沒有關(guān)系”，還為時尚早。但他們并不清楚其根本原因是：
并不是所有的根域名服務(wù)器全部受到了影響；
攻擊在短時間內(nèi)便告結(jié)束；
攻擊比較單純，因此易于采取相應(yīng)措施。
由于目前對于DDoS攻擊還沒有什么特別有效的解決方案，設(shè)想一下如果攻擊的時間再延長，攻擊再稍微復(fù)雜一點，或者再多有一臺服務(wù)器癱瘓，全球互聯(lián)網(wǎng)將會有相當一部分網(wǎng)頁瀏覽以及e-mail服務(wù)會徹底中斷。
而且，我們更應(yīng)該清楚地認識到雖然此次事故發(fā)生的原因不在于根域名服務(wù)器本身，而在于因特網(wǎng)上存在很多脆弱的機器，這些脆弱的機器植入DDoS客戶端程序（如特洛伊木馬），然后同時向作為攻擊的根域名服務(wù)器發(fā)送信息包，從而干擾服務(wù)器的服務(wù)甚至直接導(dǎo)致其徹底崩潰。但是這些巨型服務(wù)器的漏洞是肯定存在的，即使現(xiàn)在沒有被發(fā)現(xiàn)，以后也肯定會被發(fā)現(xiàn)。而一旦被惡意攻擊者發(fā)現(xiàn)并被成功利用的話，將會使整個互聯(lián)網(wǎng)處于癱瘓之中。
六、影響中國
百度被“黑”與谷歌“自宮”事件引發(fā)了業(yè)界對根服務(wù)器的又一次關(guān)注。目前，全球的根服務(wù)器沒有任何變化，仍為13臺域名根服務(wù)器，1個為主根服務(wù)器，放置在美國，其余12臺輔根服務(wù)器有9臺放置在美國，2臺在歐洲(分別位于英國和瑞典)，1臺在亞洲的日本。其中部分服務(wù)器采取任播技術(shù)在全球設(shè)置多個鏡像來加速訪問。
由于目前沒有根服務(wù)器或者根服務(wù)器的鏡像位于中國境內(nèi)，所以在中國建立新的根服務(wù)器是有必要的，正所謂有備無患。這樣在少數(shù)極端情況下（比如全球互聯(lián)網(wǎng)出現(xiàn)大面積癱瘓、或者中國互聯(lián)網(wǎng)國際出口堵塞），至少要保證國內(nèi)的站點由國內(nèi)的域名服務(wù)器來解析。雖然國外的用戶連接到我國的網(wǎng)絡(luò)會出現(xiàn)問題，但是我國可以自己解決中國境內(nèi)的域名解析問題，保證國內(nèi)網(wǎng)絡(luò)正常使用。

轉(zhuǎn)載請保留原文地址: http://www.samarasvisions.com/show-631.html