本文的内容

显示

1.

DNS傻瓜书

2.

为什么只有13个根域名？

3.

真的只有13台服务器吗？

4.

DNS到底是怎么工作的？

5.

根映像是做什么的？

6.

根DNS是如何管理的？

7.

谁管理中国的根映像？

8.

美国能做些什么来根化DNS？

9.

怎么处理？

10.

附言

10.1.

推荐阅读

自从美国宣布“净网”行动后，很多对网络有所了解的人的第一反应是，美国人会开始根域名服务器吗？

这种担心不是一年两年了。

2014年6月24日《人民日报》引用一位专家的话说：“目前，美国掌握着全球互联网13个域名根服务器中的10个。理论上，只要在根服务器上屏蔽了该国的域名，该国的国家顶级域名网站就可以瞬间在网络上“消失”。从这个意义上说，美国拥有全球独一无二的造网权，有能力威慑其他国家的网络前沿和网络主权。比如伊拉克战争期间，在美国政府的授意下，对伊拉克顶级域名的申请和分析”。iq”被终止，所有带后缀的网站。智商”从网上蒸发了。“一个

《信息安全与通信保密》杂志2014年第10期的一篇文章写道：“2004年，由于与利比亚在顶级域名管理上发生纠纷，美国终止了利比亚顶级域名的解析服务。LY，导致利比亚从网络上消失三天。”2

我们需要害怕这个吗？我们需要什么样的对策？

不是专家，我真的回答不了这个问题。

因为它需要了解DNS的工作原理和根域名的管理机制。

下面简单回答一下：不排除这种可能，但也不是不可能。

一句话：虽然根子不在我们手里，但是我们有镜像。

DNS傻瓜书

先了解一些基本概念，懂DNS的可以直接跳过这一节。

1.什么是DNS？

DNS就是把域名转换成IP，因为我们人类的记忆力太差了，根本记不住IP，而计算机通讯必须使用IP，所以人类发明了域名，让我们记住了Baidu.com和taobao.com，还算记忆深刻。然后通过DNS，把这些域名转换成电脑需要的IP。

2.DNS是如何工作的？

每台计算机都有一个本地DNS服务器(简称l DNS)。必要时，它向LDNS发出请求。LDNS在线咨询权威域名服务器(简称权威DNS)。有时候光问一个是不够的。需要很长时间才能得到答案。

3.权威DNS是做什么的？

问我一个域名，我告诉你IP，不知道的我告诉你谁可能知道，然后你问一下。

4.什么是根域名服务器(简称根DNS)？

当LDNS什么都不知道(即没有缓存)时，询问根DNS，它可以告诉LDNS下一个要询问谁。

5.世界上有多少个域名？

13个，其中10个在美国，1个在英国和瑞典，1个在日本。

6.根DNS的名称和IP是什么？

在这个网站：https://www.internic.net/domain/named.root.

当你打开它，你可以看到有13个根名称和IP地址，他们的名字范围从A.root-servers.net到M.root-servers.net。

A开头的缩写A根为主根，其他12个(B，C，D，E，F，G，H，I，J，K，L，M)为辅根。

为什么只有13个根域名？

这一节你不懂也没关系(一般人不懂)。你只需要知道，对于IPv4来说，由于历史和技术原因，根DNS只能有13个IP。

正宗的回答是：DNS主要使用UDP数据报传输消息，不包括前面的报头，要求DNS消息控制在512字节以内(RFC1035)。主要考虑的是这个大小在互联网上几乎可以畅通无阻，不会因为路径中某个MTU太小(MTU总是=576，见RFC791)而造成IP碎片，从而防止各种不可预知的后果。

每个根DNS在DNS消息中占用一定数量的字节，如根的名称、TTL、IP地址等。这样13个根域名服务器基本上就把空间占的差不多了，剩下的字节也用来封装DNS头和其他协议参数，所以根域名服务器不容易太多，13个是比较合适的数字。可以看一下“为什么要13个DNS根服务器？”这篇文章。四

真的只有13台服务器吗？

与很多人的想象不同，这13台根域名服务器不仅仅是13台物理服务器。

这13根只是一个逻辑概念。每个根DNS背后，都有很多真实的物理服务器在工作！

截至2020年8月12日，全球共有1097台根服务器。每个根都有几个镜像，分布在世界的不同地方。

这个数字还在不断上升。去年10月1号，新中国成立70周年阅兵的时候，我看了一下，是1015台服务器。

这13个根由12个独立的组织管理。例如，根A和根J都由Verisign管理。截至2020年8月12日，Root A在全球拥有53个站点，Root J拥有185个站点。L root由ICANN管理，全球共有167个站点，其中北京2个，上海1个。

在根服务器网站上，你可以找到所有这些根服务器的分布。从网站显示的根镜像服务器地图(2020年8月12日)来看，北京有5台根镜像服务器，上海1台，杭州2台，武汉1台，郑州1台，西宁1台，贵阳1台，广州1台，香港9台，台北6台。

包括港澳台在内，中国有28个根像。

事实上，所有在中国发出的根DNS请求都是通过镜像完成的。这个后面会解释。

现在为了增长见识，你要硬着头皮看一些DNS的细节。

DNS到底是怎么工作的？

对于IT从业者来说，希望你能理解并记住这一节。

因为你迟早会遇到关于DNS的困惑。

先介绍一下域名的级别：代表根域名，com是顶级域名，也叫一级域名，Baidu.com叫二级域名，www.baidu.com叫三级域名，以此类推。

注意：还有其他名字。反正你知道意思就够了。

让我们来谈谈两个最常见的域名服务器：

权威DNS:负责对请求给出权威的回答。权威DNS中存储有三种记录：A记录(记录域名与其IP的对应关系)、NS记录(记录域名和负责解析该域的权威DNS)和CNAME记录(记录域名及其别名)。如果权威能直接回答，则返回记录A；如果需要其他权威DNS的回答，返回NS记录，然后LDNS会询问其他权威DNS；如果记录是别名类型，返回CNAME，LDNS将再次解析别名。

递归DNS:通常是LDNS，接受终端的域名查询请求，负责在线询问后返回答案给终端。

现在给出一个具体的例子：例如，终端请求域名www.baidu.com的IP。

当没有缓存时，LDNS会从根DNS询问：

1.LDNS问根DNS，“www.baidu.com的IP是什么？”。

2.根DNS说：“我没时间问你这么详细的问题。问com顶级域的DNS，我直接去顶级域。嗯，这些是com顶级域的DNS名称和IP地址，你去问他们。”(以纳秒为单位记录响应)

3.LDNS再次询问了com的权威域名系统。com的权威DNS说“这是你问的三级域名。我管不了那么多。询问Baidu.com权威的域名系统。它的名字叫ns.baidu.com，IP是XXX(这里可能有多个权威的DNS)”。

4.继续问Baidu.com的权威DNS，这次很高兴，因为是www.baidu.com主管，可能直接给A录或者CNAME录。如果是前者，就直接获取IP，如果是后者，就需要再次查询别名。

5.最后，LDNS得到www.baidu.com的IP地址，并将其返回给终端。

细心的人会问，在第一步，LDNS问根DNS的时候，他是怎么知道根DNS的IP的？

这13个IP通常在LDNS预先配置。当LDNS初始化DNS缓存或缓存失败时，LDNS发起根查询(即查询的NS记录)。)到预先配置的IP之一，并获得最新的根DNS信息6。

对于DNS服务器软件，这13个IP配置在根提示文件中，可以命名为. cache或root.ca或root.hints等。

以上是各种教材都会提到的DNS查询流程，但其实没那么麻烦，因为各级都有缓存。

实际的DNS查询过程如下：

例如，用户在浏览器中输入这个域名：123.abc.qq.com.cn。

1.浏览器将首先检查它是否有该域名的缓存。如果有，就直接返回。如果没有，它会询问操作系统，操作系统也会检查它的缓存。如果有，就直接返回。如果没有，它将转到主机文件并询问LDNS。

2.LDNS会先检查自己是否有123.abc.qq.com.cn的A记录，如果有就直接返回；如果没有，它会检查是否有abc.qq.com.cn的NS记录；如果没有，它会问它有没有qq.com.cn的NS记录；如果有，会问它有没有com.cn的DNS如果没有，它会检查自己是否有cn的DNS如果它连cn的NS记录都没有，它会问根。

所以有了缓存，课本上从根上问的情况很少发生。

只有在到处都没有缓存的情况下，我们才会去问根。

根映像是做什么的？

根映像承担与根相同的功能。

根DNS中最重要的文件是根区域文件。所有顶级域记录都存在于根区域文件中。

辅助根从主根同步数据，根镜像从根同步数据。最后，所有的根和镜像都有相同的根文件。

最有趣的是，根映像和根具有相同的IP。

我们知道世界上有1000多个根镜像，但大多数人不知道他们一起分享了13个IP！没错。因为只有13根。

这是怎么做到的？答案是选播技术。

如果你不关心技术细节，请直接阅读本节最后一句。

Anycast最初由RFC1546提出，主要用于DNS根服务器。

任播是指通过IP网络上的IP地址来识别一组提供特定服务的主机。服务访问者不关心哪个主机提供服务，访问该地址的消息可以通过IP网络路由到“最近的”(最好只有一个，而不是多个)服务器。这里的“最近”可以指路由器跳数、服务器负载、服务器吞吐量、客户端和服务器之间的往返时间(RTT)、链路的可用带宽等特征值。

这样，一方面用户可以就近访问；另一方面，即使有些根失败了，也没关系。

有些同学可能会想到负载均衡，没错，大致就是这个意思。

对于中国的用户来说，对根的请求不会发送到美国，而是通过anycast技术路由到中国的根映像。

根DNS是如何管理的？

根DNS目前由12个组织管理。a根是主根，由美国公司Verisign管理。

根DNS中最重要的文件，根区域文件，是由ICANN管理的。

ICANN(互联网名称与数字地址分配机构)是一个在美国注册的非营利性组织，成立于1998年。

根DNS管理的历史过程还是比较复杂的。这里简单说一下。

DNS最初的技术开发者和管理员是南加州大学的Jon Postel博士，他在互联网早期负责根DNS的管理和分发。

1988年，美国政府要求Jon Postel采取更安全、更合理的措施，确保互联网核心资源的分配和管理。因此，著名的IANA(互联网号码分配机构)成立了，并根据DARPA和南加州大学信息科学研究所(ISI)之间的合同进行管理。

IANA负责管理和协调互联网的全球编号和编码。之所以需要这样的组织，是因为互联网协议的数值或参数必须是全球唯一的，否则无法互联互通。例如，HTTP协议默认在端口80等待用户的请求，而404编码意味着“没有找到页面”。IANA的主要职责包括分配IP地址段、分配协议代码和编号(如协议号和端口号)、分配自治系统号(ASN)、管理DNS根区(包括管理通用顶级域名gTLD和国家及地区顶级域名ccTLD)。八

1998年ICANN成立后，美国商务部以合同形式委托ICANN负责IANA的日常运营，IANA从ISI转入ICANN。

对于顶级域名的管理，ICANN的政策是每个顶级域名(如com、cn、org，目前有1000多个)都要找一个托管人，域名的一切事务都要由托管人来处理。

的监护人。cn域名是中国互联网络信息中心(CNNIC)，它决定了互联网的各项政策。cn域名。com，网，名字和。政府都由威瑞信托管。

Verisign和ICANN还是有过一些不愉快的经历。九

2003年，威瑞信推出了一项新的服务，网站搜索。用户访问未注册。com或者。net域名将被定向到Verisign的网站。这意味着它实际上拥有所有未注册的。com和。net域名。几天之内，威瑞信就跻身全球十大网站之列。

ICANN要求Verisign立即停止该业务，否则将终止域名托管合同。Verisign让步了，停止了这项业务，但是后来它把ICANN告上了法庭，要求法院判决他们之间的合同。ICANN有权干涉它的业务吗？

2006年底，他们达成庭外和解。ICANN同意延长Verisign的顶级域名托管合同，并同意Verisign向消费者收取的单个域名注册费上限从6美元上调至7.85美元。这个收费标准一直沿用到今天。当你注册一个. com或者。net域名，你交的钱是ICANN收取的管理费0.18美元，Verisign收取的托管费7.85美元，剩下的是域名零售商的费用。

虽然ICANN掌管着IANA，但毕竟是在美国政府的合同管理之下。世界各国和民间对此怨声载道，一致认为美国政府应该彻底退出。

2014年3月14日，美国商务部国家通信和信息管理局(NTIA)宣布，愿意将IANA的管理权移交给ICANN，并要求ICANN制定移交方案。NTIA特别强调，多利益攸关方模式应在移交计划中得到加强，NTIA目前发挥的作用不能由政府间组织或政府主导的组织取代。

2016年3月17日，ICANN向NTIA提交了移交计划。2016年6月9日，NTIA发布审核意见，表示ICANN提交的移交方案符合此前设定的条件。

2016年8月16日，NTIA宣布不会延长现有合同。

尽管遇到了一些阻碍，最终在2016年10月1日，ICANN与美国商务部关于IANA职能的合同到期，不再续签，ICANN彻底成为一个独立的非营利组织。IANA部门的工作人员和其他相关资源已转移到因特网指定名称号码管理公司新成立的附属机构PTI(公共技术标识符)。

ICANN使用全球多利益主体治理模式进行管理。PTI董事会有五个席位，其中三个由ICANN任命，两个由全球互联网群体代表组成的提名委员会选举产生。2017年2月，ICANN公布了PTI理事选举公告。经过半年多的面试和背景调查，提名委员会于2017年10月26日宣布，中国北龙众望的王伟和另一位欧洲代表入选。又经过一个半月的利益冲突审查，2017年12月13日，ICANN理事会正式确认王伟当选。11

谁管理中国的根映像？

从我目前所找到的信息来看，从2003年开始，中国就一直在引入根映像，尤其是去年，根映像的数量迅速增加。

2003年，中国电信推出国内首个根镜像节点(F根)。

在…里

2006年，中国联通(原中国网通)与美国VeriSign公司合作，在国内正式开通J根镜像服务器，同时引入全球最大的两个顶级域名”。com”和”。NET”镜像节点；引入这些图像的主要目的是提高根域名和顶级域名的解析性能。

2014年，21世纪互联与ICANN合作，在中国新增L根域名服务器镜像。

2019年6月24日，工信部批准CNNIC设置6台域名根镜像服务器(F、I、K、L)。这6个域名的根服务器编号为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L和JX0006L12，互联网域名系统北京工程研究中心(ZDNS)获准设置L根镜像服务器JX0007L13。

2019年11月6日，工信部批准中国信息通信研究院建立L台镜像服务器，编号分别为JX0008L和JX0009L。

2019年12月5日，工信部批准中国信息通信研究院设立域名根服务器(K根镜像服务器)，编号为JX0010K。

2019年12月9日，工业和信息化部批准CNNIC设立域名根服务器(J和K镜像服务器)，编号分别为JX0011J和JX0012K。

从工信部的批复可知，相关单位负责根映像的运行、维护和管理，维护国家利益和用户权益，接受工信部的管理、监督和检查。

工业和信息化部在给CNNIC的批复中写道：“你中心应严格遵守《互联网域名管理办法》755-79000及相关法律、法规、行政规章和行业管理规定，接受我部的管理、监督和检查，建立符合我部要求的信息管理系统，并与我部指定的管理系统对接，确保域名根服务器安全可靠运行，为用户提供安全便捷的域名服务，确保服务和保护质量。

美国能做些什么来根化DNS？

虽然ICANN是一个独立的非营利组织，但如果美国政府使用强制力，root A(主根)的内容仍可能被篡改。

也就是说，根文件可能被篡改。

会如何被篡改？

让我们先看看根文件是什么样子的。

你可以从ICANN官网下载根文件：https://www.iana.org/domains/root/files。

这个文件保存了所有顶级域名的信息，目前大小是2.2M，2万多行。

只要顶级域名发生变化，该文件就会更新。

我们可以看到cn域名解析相关的记录只有几十行。

如果删除那些与cn相关的行，很快就会同步到所有的根。

然后，在所有缓存过期后，世界上没有人可以用。cn后缀。

怎么处理？

因为我们维护根映像，所以我们控制映像中的内容。

在中国的访根，通过我们的运营商，会落到在中国的访根形象上。

我们不能同步cn的变化。

就这么简单。

您可以简单地编写一个程序，并在每次同步后立即添加一个cn记录。

也可以建立自己的主根，和美国的根完全不同步。(相当于单独成立一个中央委员会)

当然，不在我们管理之下的世界各地的根和根镜像如果不采取行动，仍然会同步这些删除。

然后，其他国家的人就不能访问了。除中国以外的cn网站。

然而，这些国家很快就会做出回应。任何想参观的人。cn网站将加回cn记录，拒绝同步被美国删除的线路。

最后，只有美国人不能访问。cn网站。

综上所述，我认为美国这样做的可能性不大，因为这一招太低劣了，会让美国政府彻底难堪，以后在互联网领域失去任何话语权。而ICANN也会失去公信力，整个互联网世界都会选择使用新的机构和新的根。

因为互联网世界的一贯规则是：有禁令就绕过。

附言

最后，我们来看看本文开头提到的两个断网事件：

关于伊拉克域名事件，可以看看段海鑫教授的文章《删除伊拉克域名的背后。美国的智商和早期的根域名管理”，这使得整个事件非常清楚。主要原因是前行政长官。iq域名2002年入狱，新管理员(NCMC)2005年才申请。当时，IANA还考虑寻求新老代理人对新授权的一致认可，于是出现了所谓“申请和决议工作被终止”的情况。

关于利比亚域名事件，可以看看这篇文章：《利比亚国家顶级域名(.LY)”。事实是这两个组织参与了。LY是所有权内讧的结果(其中一个关闭的决议。LY域名服务器)。这场风波之后，2004年10月，ICANN批准授予。利比亚邮政和电信公司。谎言事件终于解决了。

本文提到的风险和对策主要是我个人的分析。我们来看看业内专家的看法。

中国工程院院士、清华大学计算机系主任吴建平在2019年接受采访时表示，DNS根域名服务器不是互联网的“核按钮”。全球互联网根域名服务器运营商不可能关闭所有根服务器，包括影子服务器。

互联网域名系统北京工程研究中心(ZDNS)主任毛伟15日表示：互联网专家一直在不断完善域名根系统的安全机制。就算根真的断了，也有应急方案。在中国，根区数据备份和应急根服务器可以解决这个问题；在全局层面，可以通过根镜像、IPv6环境下根服务器数量的扩大、根服务器运行机制的替代机制来解决。

现在知道了这么多，你对根域名服务器放心了吗？

作者：魏

参考资料：

从网络大国到网络强国(http://opinion . people . com . cn/n/2014/0624/c1003-25189448 . html)？

美国网络霸权简析：(http://www.wanfangdata.com.cn/details/detail.do？_ type=peri oid=xxaqytxbm 201410030)？

为什么域名只能有13个根服务器？(https://www . zhi Hu . com/question/22587247)？

为什么有13个DNS根服务器？(https://miek . nl/2013/11月/10/why-13-dns-root-servers/)？

https://root-servers.org？

使用启动查询初始化DNS解析器(https://tools . IETF . org/html/draft-IETF-dnsop-Resolver-Priming-11)？

洪雪：互联网全球治理新篇章(https://Juan LAN . zhi Hu . com/p/23042167)？

ICANN: IANA函数(https://www . ICANN . org/zh/system/files/files/iana-functions-18dc 15-zh . pdf)？

阮一峰：根域名的知识？

徐培喜：IANA职能经营权转让的赢家是谁？

北龙中网王伟担任PTI主任，中国专家担任国际互联网治理关键职位(http://news . Sina . com . cn/c/2017-12-25/doc-ifypwzxq 6350205 . shtml)？

工业和信息化部关于同意在中国互联网信息中心设立域名根服务器(F、I、K、L根镜像服务器)和域名根服务器运营机构的批复(http://www . miit . gov . cn/n 1146285/n 1146352/n 3054355/n 305709/n 4704651/c

工业和信息化部关于同意北京工程研究中心有限公司设立域名根服务器(L根镜像服务器)及其运营机构的批复(http://www . miit . gov . cn/n 1146285/n 1146352/n 3054355/n 3057709/n 4704651/c 7015527)

中国工程院院士吴建平：DNS根服务器不是互联网的核按钮！

ZDNS毛伟：互联网根不能切断中国的网络，所以我们应该更加重视企业域名服务的风险。

西部数码代理(chenqinet.cn)是工信部、ICANN、CNNIC认证的全球顶级域名注册服务机构，中国五星级域名注册商！超过2000万个域名通过西部数码代理注册和管理，超过100万个网站托管在西部数码代理云服务器和虚拟主机。西部数码代理支持数十个顶级域名的注册和管理，支持批量查询、批量注册、批量分析、智能分析、批量迁移等便捷易用的功能，使用体验非常好。

目前西部数码代理域名注册在售，最低只要1元！

更多详情，请见http://zhuji.chenqinet.cn/services/domain/.

西部数码代理域名抢占预约，支持各类高价值老域名抢占，支持“网站历史、百度收录、百度权重、历史外链、百度评价、搜狗反链接”等综合搜索功能，共计26项！可以快速准确的定位到你想要定位的各类精品域名！同时，西部数码代理域名抢注整合了全球多家抢注厂商(将陆续增加近200家抢注厂商)，梳理出13个抢注渠道，从根本上提高抢注成功率！

其中，一次通过的成功率高达99%。每天西部数码代理预发布功能也会发布一些优质的过期域名，可以直接注册拍卖。

预定你最喜欢的域名：http://zhuji.chenqinet.cn/services/grab/index.asp.