根功能變數名稱伺服器
出自 MBA智库百科(https://wiki.mbalib.com/)
根功能變數名稱伺服器(root name server)
目錄 |
根功能變數名稱伺服器是互聯網功能變數名稱解析系統(DNS)中最高級別的功能變數名稱伺服器,全球僅有13台根伺服器。目前的分佈是:主根伺服器(A)美國1個,設置在弗吉尼亞州的杜勒斯;輔根伺服器(B至M)美國9個,瑞典、荷蘭、日本各1個。另外藉由任播(Anycast)技術,部分根功能變數名稱伺服器在全球設有多個鏡像伺服器(mirror),因此可以抵抗針對其所進行的分散式拒絕服務攻擊(DDoS)。
根功能變數名稱伺服器主要用來管理互聯網的主目錄,全世界只有13台。1個為主根功能變數名稱伺服器,放置在美國。其餘12個均為輔根功能變數名稱伺服器,其中9個放置在美國,歐洲2個,位於荷蘭和瑞典,亞洲1個,位於日本。所有根功能變數名稱伺服器均由美國政府授權的互聯網功能變數名稱與號碼分配機構ICANN統一管理,負責全球互聯網根功能變數名稱伺服器、功能變數名稱體系和IP地址等的管理。
這13台根功能變數名稱伺服器可以指揮Firefox或InternetExplorer這樣的Web瀏覽器和電子郵件程式控制互聯網通信。由於根功能變數名稱伺服器中有經美國批准的260個左右的互聯網尾碼(通用頂級功能變數名稱,如.com、.net等)和一些國家的國家通用頂級功能變數名稱(如法國的.fr、挪威的.no等),自成立以來,美國政府每年花費近50多億美元用於根功能變數名稱伺服器的維護和運行,承擔了世界上最繁重的網路任務和最巨大的網路風險。因此可以實事求是地說:沒有美國,互聯網將是死灰一片。世界對美國互聯網的依賴性非常大,當然這也主要是由其技術的先進性和管理的科學性所決定的。所謂依賴性,從互聯網的工作機理來體現的,就在於“根功能變數名稱伺服器”的管理。從理論上說,任何形式的標準功能變數名稱要想被解析,按照技術流程,都必須經過全球“層級式”功能變數名稱解析體系的工作才能完成。 “層級式”功能變數名稱解析體系第一層就是根功能變數名稱伺服器,負責管理世界各國的功能變數名稱信息,在根功能變數名稱伺服器下麵是頂級功能變數名稱伺服器,即相關國家功能變數名稱管理機構的資料庫,如中國的CNNIC,然後是在下一級的功能變數名稱資料庫和ISP的緩存伺服器。一個功能變數名稱必須首先經過根功能變數名稱資料庫的解析後,才能轉到頂級功能變數名稱伺服器進行解析。
在根功能變數名稱伺服器中雖然沒有每個功能變數名稱的具體信息,但儲存了負責每個域(如COM、NET、ORG等)的解析的功能變數名稱伺服器的地址信息,如同通過北京電信你問不到廣州市某單位的電話號碼,但是北京電信可以告訴你去查020114。世界上所有互聯網訪問者的瀏覽器的將功能變數名稱轉化為IP地址的請求(瀏覽器必須知道數字化的IP地址才能訪問網站)理論上都要經過根伺服器的指引後去該功能變數名稱的權威功能變數名稱伺服器(authoritative name server, 如haier.com的權威功能變數名稱伺服器是dns1.hichina com)上得到對應的IP地址,當然現實中提供接入服務的ISP的緩存功能變數名稱伺服器上可能已經有了這個對應關係(功能變數名稱到IP地址)的緩存。
根功能變數名稱伺服器是互聯網的基礎設施。在國外,許多電腦科學家將根功能變數名稱伺服器稱作“真理”(TRUTH),足見其重要性。但是,攻擊整個互聯網最有力、最直接,也是最致命的方法就是攻擊根功能變數名稱伺服器。早在1997年7月,這些根功能變數名稱伺服器之間自動傳遞了一份新的關於互聯網地址分配的總清單,然而這份清單實際上是空白的。這一人為失誤導致互聯網出現了最嚴重的局部服務中斷,造成數天之內網頁無法訪問,電子郵件也無法發送。
全球13個根功能變數名稱伺服器以英文字母A到M依序命名,網功能變數名稱稱格式為“字母.root-servers.net”。其中有9個是以任播(anycast)技術在全球多個地點設立鏡像站。
| 字母 | IPv4地址 | IPv6地址 | 自治系統編號(AS-number) | 舊名稱 | 運作單位 | 設置地點#數量(全球性/地區性) | 軟體 |
|---|---|---|---|---|---|---|---|
| A | 198.41.0.4 | 2001:503:ba3e::2:30 | AS19836 | ns.internic.net | VeriSign | 以任播技術分散設置於多處6/0 | BIND |
| B | 192.228.79.201(2004年1月起生效,舊IP地址為128.9.0.107) | 2001:478:65::53 (not in root zone yet) | none | ns1.isi.edu | 南加州大學信息科學研究所(Information Sciences Institute, University of Southern California) | 美國加州馬利納戴爾雷伊(Marina del Rey)0/1 | BIND |
| C | 192.33.4.12 | AS2149 | c.psi.net | Cogent Communications | 以任播技術分散設置於多處6/0 | BIND | |
| D | 199.7.91.13 (2013年起生效,舊IP地址為128.8.10.90) | AS27 | terp.umd.edu | 馬利蘭大學學院市分校(University of Maryland, College Park) | 美國馬利蘭州大學公園市(College Park)1/0 | BIND | |
| E | 192.203.230.10 | AS297 | ns.nasa.gov | NASA | 美國加州山景城(Mountain View)1/0 | BIND | |
| F | 192.5.5.241 | 2001:500:2f::f | AS3557 | ns.isc.org | 互聯網系統協會(Internet Systems Consortium) | 以任播技術分散設置於多處2/47 | BIND 9 |
| G | 192.112.36.4 | AS5927 | ns.nic.ddn.mil | 美國國防部國防信息系統局(Defense Information Systems Agency) | 以任播技術分散設置於多處6/0 | BIND | |
| H | 128.63.2.53 | 2001:500:1::803f:235 | AS13 | aos.arl.army.mil | 美國國防部陸軍研究所(U.S. Army Research Lab) | 美國馬利蘭州阿伯丁(Aberdeen)1/0 | NSD |
| I | 192.36.148.17 | 2001:7fe::53 | AS29216 | nic.nordu.net | 瑞典Netnod(曾經是Autonomica) | 以任播技術分散設置於多處36 | BIND |
| J | 192.58.128.30 (2002年11月起生效,舊IP地址為198.41.0.10) | 2001:503:c27::2:30 | AS26415 | VeriSign | 以任播技術分散設置於多處63/7 | BIND | |
| K | 193.0.14.129 | 2001:7fd::1 | AS25152 | 荷蘭RIPE NCC | 以任播技術分散設置於多處5/13 | NSD | |
| L | 199.7.83.42 (2007年11月起生效,舊IP地址為198.32.64.12) | 2001:500:3::42 | AS20144 | ICANN | 以任播技術分散設置於多處37/1 | NSD[8] | |
| M | 202.12.27.33 | 2001:dc3::35 | AS7500 | 日本WIDE Project | 以任播技術分散設置於多處5/1 | BIND |
根功能變數名稱伺服器與國家網路信息安全[1]
按照功能變數名稱解析流程,在層級式功能變數名稱解析體系中,處於最頂層的是根功能變數名稱伺服器,它負責管理世界各國的功能變數名稱信息;根功能變數名稱伺服器下麵是頂級功能變數名稱伺服器,存儲著相關功能變數名稱管理機構的資料庫;再下一級是功能變數名稱資料庫和互聯網服務提供商(ISP:Intemet Service Provider)的緩存伺服器 』。儘管在根功能變數名稱伺服器中沒有存儲每個功能變數名稱的具體信息,但其中儲存了負責每個域(如COM、NET、ORG、CN等)的解析功能變數名稱伺服器的地址信息。
通過上面對功能變數名稱解析過程的分析可知,如果提供接入服務的本地功能變數名稱伺服器上沒有保存某個功能變數名稱到IP地址對應關係的緩存數據,則功能變數名稱轉化為IP地址的請求,都必須經過根功能變數名稱伺服器的指引才能到達相應的功能變數名稱伺服器找到對應的IP地址。所以,從理論上來說,無論是COM形式的功能變數名稱,還是CN形式的功能變數名稱,都必須經過根功能變數名稱伺服器才能順利地實現功能變數名稱的解析。所以,根功能變數名稱伺服器在互聯網中處於十分重要的地位。
從某種意義上說,根功能變數名稱伺服器就是互聯網的命脈,如果這13台根功能變數名稱伺服器中的某一臺或幾台出現故障,或遭到黑客攻擊而停止服務,則功能變數名稱解析有可能無法進行,那些依靠這些功能變數名稱系統支持的互聯網應用和服務將停止工作。
2002年lO月21日,13台根功能變數名稱伺服器遭受到了有史以來規模最大的一次網路攻擊。在大約1個小時的時間內,黑客調用了上千台“僵屍”電腦(“僵屍”電腦指被黑客利用參與網路攻擊的電腦)對根功能變數名稱伺服器進行了攻擊,導致其中的9台喪失了對網路通信的處理能力,網路出現局部癱瘓。
2007年2月5日晚,13個根功能變數名稱伺服器中的3個遭受到黑客的攻擊,其中包括運行“ORG”功能變數名稱的根功能變數名稱伺服器和美國國防部運行的一個根功能變數名稱伺服器。儘管這次攻擊事件沒有對互聯網應用造成太大的影響,但根功能變數名稱伺服器的安全問題引起了全球網路安全專家的關註。
2010年1月12日7時左右,“百度”首頁出現大面積的訪問故障,全國絕大多數地區均無法訪問“百度”網站,直至中午12時訪問才陸續恢復。事後調查發現,出現這次事故的原因是美國負責“百度”功能變數名稱解析的根功能變數名稱伺服器遭到了黑客攻擊。
由於美國在互聯網建設和發展中所處的先天優勢,使得它擁有全球l3個根功能變數名稱伺服器中的1個主根伺服器和9個輔根伺服器。1998年1O月,美國商務部組建了互聯網名稱與數字地址分配機構(ICANN),負責根功能變數名稱伺服器的管理,包括IP地址的空間分配、協議標識符的指派、頂級功能變數名稱的管理等。儘管ICANN為一家非營利機構,但美國商務部卻擁有最終否決權。美國商務部曾經承諾,當ICANN滿足一定條件時將放棄最終的否決權,並將最後的期限定為2006年。然而,2005年7月1日,美國政府宣佈,美國商務部將繼續與ICANN簽訂合約,將無限期保留對l3台根功能變數名稱伺服器的管理權。
憑藉對根功能變數名稱伺服器的管理權,美國可以屏蔽掉某些國家的頂級功能變數名稱,使這些功能變數名稱無法得到解析。通過這樣一場沒有硝煙的戰爭,美國可以讓一個國家在互聯網中瞬間消失。2003年伊拉克戰爭期間,美國政府就曾授意ICANN終止對伊拉克國家項級城名IQ的解析,致使所有以IQ為尾碼的網站瞬間從互聯網上消失了。2o04年4月,由於在頂級功能變數名稱管理權問題上與美國發生分歧,利比亞頂級功能變數名稱LY突然癱瘓,讓利比亞在互聯網世界里消失了整整4天。美國還於2008年曾切斷過古巴、北韓、蘇丹等國的MSN即時網路通訊,使這些國家的用戶無法使用MSN。
正是由於美國對根功能變數名稱伺服器擁於絕對的控制權,所以互聯網已成為美國在全球推行其強權政治的重要工具,根伺服器也成為影響國家網路信息安全的重大隱患。
2014年,美國政府宣佈,2015年9月30日後,其商務部下屬的國家通信與信息管理局(NTIA)與國際互聯網名稱與數字地址分配機構(ICANN)將不再續簽外包合作協議,這意味著美國將移交對ICANN的管理權。
基於全新技術架構的全球下一代互聯網(IPv6)根伺服器測試和運營實驗項目—— “雪人計劃”2015年6月23日正式發佈,我國下一代互聯網工程中心主任、“雪人計劃”首任執行主席劉東認為,該計劃將打破根伺服器困局,全球互聯網有望實現多邊共治。
“雪人計劃”由我國下一代互聯網工程中心領銜發起,聯合WIDE機構(現國際互聯網M根運營者)、互聯網功能變數名稱工程中心(ZDNS)等共同創立。2015年6月底前,將面向全球招募25個根伺服器運營志願單位,共同對IPv6根伺服器運營、功能變數名稱系統安全擴展密鑰簽名和密鑰輪轉等方面進行測試驗證。
“雪人計劃”首次提出並實踐“一個命名體系,多種定址方式”的下一代互聯網根伺服器技術方案,打破固守現有13個根伺服器的運營者“神聖不可侵犯”、“數量不可改變”的教條,可以引入更多根伺服器運營者,同時也能保證一個命名體系不被破壞,真正實現多方共治的 “一個世界,一個互聯網”的願景。
- ↑ 於世梁.淺談棍功能變數名稱伺服器與國家網路信息安全(J).江西行政學院學報.2013,15(2):77~80
請問文章倒數第8行最右邊的“問”字。是“問”還是“間”?