平時我們進行域名解析所用到的DNS服務器,是面對客戶的一線服務器。
DNS服務器是(Domain Name System或者Domain Name Service)域名系統或者域名服務,域名系統為Internet上的主機分配域名地址和IP地址。
用戶使用域名地址,該系統就會自動把域名地址轉為IP地址。域名服務是運行域名系統的Internet工具。執行域名服務的服務器稱之為DNS服務器,通過DNS服務器來應答域名服務的查詢。
在服務器家族裡還有一種叫做“DNS根服務器”的服務器。
全球共有13臺根域名服務器。這13臺根域名服務器中名字分別為“A”至“M”,其中10臺設置在美國,另外各有一臺設置於英國、瑞典和日本。
根服務器主要用來管理互聯網的主目錄,全世界只有13臺。
1個為主根服務器,放置在美國。其餘12個均為輔根服務器,其中9個放置在美國,歐洲2個,位於英國和瑞典,亞洲1個,位於日本。
所有根服務器均由美國政府授權的互聯網域名與號碼分配機構ICANN統一管理,負責全球互聯網域名根服務器、域名體系和IP地址等的管理。
根服務器架構
這13臺根服務器可以指揮Firefox或Internet Explorer這樣的Web瀏覽器和電子郵件程序控制互聯網通信。
由於根服務器中有經美國政府批准的260個左右的互聯網後綴(如.com、.net等)和一些國家的指定符(如法國的.fr、挪威的.no等),自成立以來,美國政府每年花費近50多億美元用於根服務器的維護和運行,承擔了世界上最繁重的網絡任務和最巨大的網絡風險。
因此可以實事求是地說:沒有美國,互聯網將是死灰一片。
世界對美國互聯網的依賴性非常大,當然這也主要是由其技術的先進性和管理的科學性所決定的。
所謂依賴性,從國際互聯網的工作機理來體現的,就在於“根服務器”的問題。
從理論上說,任何形式的標準域名要想被實現解析,按照技術流程,都必須經過全球“層級式”域名解析體系的工作,才能完成。
“層級式”域名解析體系第一層就是根服務器,負責管理世界各國的域名信息,在根服務器下面是頂級域名服務器,即相關國家域名管理機構的數據庫,如中國的CNNIC,然後是在下一級的域名數據庫和ISP的緩存服務器。
一個域名必須首先經過根數據庫的解析後,才能轉到頂級域名服務器進行解析。
作用與影響
這13臺根服務器可以指揮瀏覽器(比如.internet explorer)和電子郵件程序(比如.Firefox)以控制互聯網通信。由於根服務器中有經美國政府批准的260個左右的互聯網後綴(如.com、.net等)和一些國家的指定符,美國政府對其管理擁有很大發言權。這使得我們顯得相當被動。
中國用戶在訪問帶有.com等後綴的國外網站時,大多仍需要經過國外的域名服務器進行解析,中美海底光纜一旦發生斷裂,便會發生解析問題,中國東部、太平洋西海岸地區,屬於地震多發地帶,再加上臺風等環境因素影響,形勢顯得更加嚴峻。
一位互聯網資深專家解釋說,美國控制了域名解析的根服務器,也就控制了相應的所有域名,如果美國不想讓人訪問某些域名,就可以屏蔽掉這些域名,使它們的IP地址無法解析出來,那麼這些域名所指向的網站就相當於從互聯網的世界中消失了。比如,2004年4月,由於“.ly”域名癱瘓,導致利比亞從互聯網上消失了3天。
注意,13臺中除了歐洲兩臺、日本一臺之外,其餘全部位於美國。也就是說,只要美國願意,他就可以切斷全世界的網絡。雖然網絡是無國界的,但服務器是有國界的。
關於DNS根鏡像服務器
指的就是DNS根服務器的鏡像服務器
鏡像服務器(Mirror server)與主服務器的服務內容都是一樣的,只是放在一個不同的地方,分擔主機的負載。
簡單來說就是和照鏡子似的,能看,但不是原版的。在網上內容完全相同而且同步更新的兩個或多個服務器,除主服務器外,其餘的都被稱為鏡像服務器。
分佈地點
下表是這些機器的管理單位、設置地點及最新的IP地址:
主要作用
在根域名服務器中雖然沒有每個域名的具體信息,但儲存了負責每個域(如COM、NET、ORG等)的解析的域名服務器的地址信息,如同通過北京電信你問不到廣州市某單位的電話號碼,但是北京電信可以告訴你去查020114。
世界上所有互聯網訪問者的瀏覽器的將域名轉化為IP地址的請求(瀏覽器必須知道數字化的IP地址才能訪問網站)理論上都要經過根服務器的指引後去該域名的權威域名服務器(authoritative name server, 如haier.com的權威域名服務器是dns1.hichina.com)上得到對應的IP地址,當然現實中提供接入服務的ISP的緩存域名服務器上可能已經有了這個對應關係(域名到IP地址)的緩存。
根域名服務器是架構因特網所必須的基礎設施。
在國外,許多計算機科學家將根域名服務器稱作“真理”(TRUTH),足見其重要性。
但是攻擊整個因特網最有力、最直接,也是最致命的方法恐怕就是攻擊根域名服務器了。
早在1997年7月,這些域名服務器之間自動傳遞了一份新的關於因特網地址分配的總清單,然而這份清單實際上是空白的。
這一人為失誤導致了因特網出現最嚴重的局部服務中斷,造成數天之內網面無法訪問,電子郵件也無法發送。
遭遇攻擊
在2002年的10月21日美國東部時間下午4:45開始,這13臺服務器又遭受到了有史以來最為嚴重的也是規模最為龐大的一次網絡襲擊。
此次受到的攻擊是DDoS攻擊,超過常規數量30至40倍的數據猛烈地向這些服務器襲來並導致其中的9臺不能正常運行。7臺喪失了對網絡通信的處理能力,另外兩臺也緊隨其後陷於癱瘓。
10月21日的這次攻擊對於普通用戶來說可能根本感覺不到受到了什麼影響。
如果僅從此次事件的“後果”來分析,也許有人認為“不會所有的根域名服務器都受到攻擊,因此可以放心”,或者“根域名服務器產生故障也與自己沒有關係”,還為時尚早。
但他們並不清楚其根本原因是:
- 並不是所有的根域名服務器全部受到了影響;
- 攻擊在短時間內便告結束;
- 攻擊比較單純,因此易於採取相應措施。
由於目前對於DDoS攻擊還沒有什麼特別有效的解決方案,設想一下如果攻擊的時間再延長,攻擊再稍微複雜一點,或者再多有一臺服務器癱瘓,全球互聯網將會有相當一部分網頁瀏覽以及e-mail服務會徹底中斷。
而且,我們更應該清楚地認識到雖然此次事故發生的原因不在於根域名服務器本身,而在於因特網上存在很多脆弱的機器,這些脆弱的機器植入DDoS客戶端程序(如特洛伊木馬),然後同時向作為攻擊的根域名服務器發送信息包,從而干擾服務器的服務甚至直接導致其徹底崩潰。
但是這些巨型服務器的漏洞是肯定存在的,即使現在沒有被發現,以後也肯定會被發現。
而一旦被惡意攻擊者發現並被成功利用的話,將會使整個互聯網處於癱瘓之中。
為什麼只有13臺dns根服務器
最後,讓我們瞭解下全球DNS根服務器為什麼只有13臺。
DNS協議的最初定義要從20世紀80年代未期開始算起,它使用了端口上的UDP和TCP協議。
UDP通常用於查詢和響應,TCP用於主服務器和從服務器之間的區傳送.遺憾的是,在所有UDP實現中能保證正常工作的最大包長是512字節,對於在每個包中必須含有數字簽名的一些DNS新特性(例如,DNSSEC)來說實在是太小了。
512字節的限制還影響了根服務器的數量和名字。
要讓所有的根服務器數據能包含在一個512字節的UDP包中,根服務器只能限制在13個,而每個服務器要使用字母表中的單個字母命名。
以太網數據的長度必須在46-1500字節之間,這是由以太網的物理特性決定的。
事實上,這個1500字節就是網絡層IP數據包的長度限制,理論上,IP數據包最大長度是65535字節。
這是由IP首部16比特總長度所限制的,去除20字節IP首部和8個字節UDP首部,UDP數據包中數據最大長度為65507字節。
在Internet數據傳輸中,UDP數據長度控制在576字節(Internet標準MTU值),而在許多UDP應用程序設計中數據包被限制成512字節或更小。這樣可以防止數據包的丟失。
許多解析器首先發送一條UDP查詢,如果它們接收到一條被截斷的響應,則會用TCP重新發送該查詢。
這個過程繞過了512字節的限制,但是效率不高。您或許認為DNS應該避開UDP,總是使用TCP,但是TCP連接的開銷大得多。
一次UDP名字服務器交換可以短到兩個包:一個查詢包、一個響應包。一次TCP交換則至少包含7個包:三次握手初始化TCP會話、一個查詢包、一個響應包以及最後一次握手來關閉連接。
天下數據是國內屈指可數的擁有多處海外自建機房的新型IDC服務商,被業界公認為“中國IDC行業首選品牌”。
天下數據與全球近120多個國家頂級機房直接合作,提供包括香港、美國、韓國、日本、臺灣、新加坡、荷蘭、法國、英國、德國、埃及、南非、巴西、印度、越南等國家和地區的服務器、雲服務器的租用服務,需要的請聯繫天下數據客服!
除提供傳統的IDC產品外,天下數據的主要職責是為大中型企業提供更精細、安全、滿足個性需求的定製化服務器解決方案,特別是在直銷、金融、視頻、流媒體、遊戲、電子商務、區塊鏈、快消、物聯網、大數據等諸多行業,為廣大客戶解決服務器租用中遇到的各種問題。