命名簡介
這要從DNS協議(域名解析協議)說起。DNS協議使用了端口上的UDP和TCP協議,UDP通常用于查詢和響應,TCP用于主服務器和從服務器之間的傳送。由于在所有UDP查詢和響應中能保證正常工作的最大長度是512字節,512字節限制了根服務器的數量和名字。
要讓所有的根服務器數據能包含在一個512字節的UDP包中,根服務器隻能限制在13個,而且每個服務器要使用字母表中的單個字母命名,這也是根服務器是從A~M命名的原因。
架構介紹
根服務器主要用來管理互聯網的主目錄。所有根服務器均由美國政府授權的互聯網域名與号碼分配機構ICANN統一管理,負責全球互聯網域名根服務器、域名體系和IP地址等的管理。
這13個邏輯根服務器可以指揮Firefox或InternetExplorer這樣的Web浏覽器和電子郵件程序控制互聯網通信。由于根服務器中有經美國政府批準的260個左右的互聯網後綴(如.com、.net等)和一些國家的指定符(如法國的.fr、挪威的.no等),自成立以來,世界對美國互聯網的依賴性非常大,美國通過控制根服務器而控制了整個互聯網,對于其他國家的網絡安全構成了潛在的重大威脅。
所謂依賴性,從國際互聯網的工作機理來體現的,就在于“根服務器”的問題。從理論上說,任何形式的标準域名要想被實現解析,按照技術流程,都必須經過全球“層級式”域名解析體系的工作,才能完成。“層級式”域名解析體系第一層就是根服務器,負責管理世界各國的域名信息,在根服務器下面是頂級域名服務器,即相關國家域名管理機構的數據庫,如中國的CNNIC,然後是在下一級的域名數據庫和ISP的緩存服務器。一個域名必須首先經過根數據庫的解析後,才能轉到頂級域名服務器進行解析。
分布地點
中國大陸地區内隻有6組根服務器鏡像(F,I(3台),J,L),在少數極端情況下(比如全球互聯網出現大面積癱瘓、或者中國互聯網國際出口堵塞),至少能保證國内的站點由國内的域名服務器來解析。雖然國外的用戶連接到我國的網絡會出現問題,但是我國可以自己解決中國境内的域名解析問題,保證國内網絡正常使用。
故障事件
1997年故障
1997年7月,這些域名服務器之間自動傳遞了一份新的關于因特網地址分配的總清單,然而這份清單實際上是空白的。這一人為失誤導緻了因特網出現最嚴重的局部服務中斷,造成數天之内網頁無法訪問,電子郵件也無法發送。
2002年遭遇攻擊
在2002年的10月21日美國東部時間下午4:45開始,這13台服務器又遭受到了有史以來最為嚴重的也是規模最為龐大的一次網絡襲擊。此次受到的攻擊是DDoS攻擊,超過常規數量30至40倍的數據猛烈地向這些服務器襲來并導緻其中的9台不能正常運行。7台喪失了對網絡通信的處理能力,另外兩台也緊随其後陷于癱瘓。
2002年10月21日的這次攻擊對于普通用戶來說可能根本感覺不到受到了什麼影響。如果僅從此次事件的“後果”來分析,也許有人認為“不會所有的根域名服務器都受到攻擊,因此可以放心”,或者“根域名服務器産生故障也與自己沒有關系”,還為時尚早。但他們并不清楚其根本原因是:
并不是所有的根域名服務器全部受到了影響;攻擊在短時間内便告結束;攻擊比較單純,因此易于采取相應措施。由于對于DDoS攻擊還沒有什麼特别有效的解決方案,設想一下如果攻擊的時間再延長,攻擊再稍微複雜一點,或者再多有一台服務器癱瘓,全球互聯網将會有相當一部分網頁浏覽以及e-mail服務會徹底中斷。
而且,我們更應該清楚地認識到雖然此次事故發生的原因不在于根域名服務器本身,而在于因特網上存在很多脆弱的機器,這些脆弱的機器植入DDoS客戶端程序(如特洛伊木馬),然後同時向作為攻擊的根域名服務器發送信息包,從而幹擾服務器的服務甚至直接導緻其徹底崩潰。但是這些巨型服務器的漏洞是肯定存在的,即使2002年沒有被發現,2002以後也肯定會被發現。而一旦被惡意攻擊者發現并被成功利用的話,将會使整個互聯網處于癱瘓之中。
2014年初DNS故障
2014年1月21日下午15時左右開始,全球大量互聯網域名的DNS解析出現問題,一些知名網站及所有不存在的域名,均被錯誤的解析指向65.49.2.178(Fremont,California United States,Hurricane Electric)。中國DNS域名解析系統出現了大範圍的訪問故障,包括DNSPod在内的多家域名解析服務提供商予以确認,此次事故波及全國,有近三分之二的網站不同程度的出現了不同地區、不同網絡環境下的訪問故障,其中百度、新浪等知名網站也受到了影響。
