DNS根服務(wù)器都有哪些？分別在哪里？

平時我們進行域名解析所用到的DNS服務(wù)器，是面對客戶的一線服務(wù)器。

DNS服務(wù)器是(Domain Name System或者Domain Name Service)域名系統(tǒng)或者域名服務(wù)，域名系統(tǒng)為Internet上的主機分配域名地址和IP地址。

用戶使用域名地址，該系統(tǒng)就會自動把域名地址轉(zhuǎn)為IP地址。域名服務(wù)是運行域名系統(tǒng)的Internet工具。執(zhí)行域名服務(wù)的服務(wù)器稱之為DNS服務(wù)器，通過DNS服務(wù)器來應(yīng)答域名服務(wù)的查詢。

在服務(wù)器家族里還有一種叫做“DNS根服務(wù)器”的服務(wù)器。

全球共有13臺根域名服務(wù)器。這13臺根域名服務(wù)器中名字分別為“A”至“M”，其中10臺設(shè)置在美國，另外各有一臺設(shè)置于英國、瑞典和日本。

根服務(wù)器主要用來管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺。

1個為主根服務(wù)器，放置在美國。其余12個均為輔根服務(wù)器，其中9個放置在美國，歐洲2個，位于英國和瑞典，亞洲1個，位于日本。

所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)域名與號碼分配機構(gòu)ICANN統(tǒng)一管理，負(fù)責(zé)全球互聯(lián)網(wǎng)域名根服務(wù)器、域名體系和IP地址等的管理。

DNS根服務(wù)器架構(gòu)

根服務(wù)器架構(gòu)

這13臺根服務(wù)器可以指揮Firefox或Internet Explorer這樣的Web瀏覽器和電子郵件程序控制互聯(lián)網(wǎng)通信。

由于根服務(wù)器中有經(jīng)美國政府批準(zhǔn)的260個左右的互聯(lián)網(wǎng)后綴（如．com、．net等）和一些國家的指定符（如法國的．fr、挪威的．no等），自成立以來，美國政府每年花費近50多億美元用于根服務(wù)器的維護和運行，承擔(dān)了世界上最繁重的網(wǎng)絡(luò)任務(wù)和最巨大的網(wǎng)絡(luò)風(fēng)險。

因此可以實事求是地說：沒有美國，互聯(lián)網(wǎng)將是死灰一片。

世界對美國互聯(lián)網(wǎng)的依賴性非常大，當(dāng)然這也主要是由其技術(shù)的先進性和管理的科學(xué)性所決定的。

所謂依賴性，從國際互聯(lián)網(wǎng)的工作機理來體現(xiàn)的，就在于“根服務(wù)器”的問題。

從理論上說，任何形式的標(biāo)準(zhǔn)域名要想被實現(xiàn)解析，按照技術(shù)流程，都必須經(jīng)過全球“層級式”域名解析體系的工作，才能完成。

“層級式”域名解析體系第一層就是根服務(wù)器，負(fù)責(zé)管理世界各國的域名信息，在根服務(wù)器下面是頂級域名服務(wù)器，即相關(guān)國家域名管理機構(gòu)的數(shù)據(jù)庫，如中國的CNNIC，然后是在下一級的域名數(shù)據(jù)庫和ISP的緩存服務(wù)器。

一個域名必須首先經(jīng)過根數(shù)據(jù)庫的解析后，才能轉(zhuǎn)到頂級域名服務(wù)器進行解析。

作用與影響

這13臺根服務(wù)器可以指揮瀏覽器（比如.internet explorer）和電子郵件程序（比如.Firefox）以控制互聯(lián)網(wǎng)通信。由于根服務(wù)器中有經(jīng)美國政府批準(zhǔn)的260個左右的互聯(lián)網(wǎng)后綴（如．com、．net等）和一些國家的指定符，美國政府對其管理擁有很大發(fā)言權(quán)。這使得我們顯得相當(dāng)被動。

中國用戶在訪問帶有.com等后綴的國外網(wǎng)站時，大多仍需要經(jīng)過國外的域名服務(wù)器進行解析，中美海底光纜一旦發(fā)生斷裂，便會發(fā)生解析問題，中國東部、太平洋西海岸地區(qū)，屬于地震多發(fā)地帶，再加上臺風(fēng)等環(huán)境因素影響，形勢顯得更加嚴(yán)峻。

一位互聯(lián)網(wǎng)資深專家解釋說，美國控制了域名解析的根服務(wù)器，也就控制了相應(yīng)的所有域名，如果美國不想讓人訪問某些域名，就可以屏蔽掉這些域名，使它們的IP地址無法解析出來，那么這些域名所指向的網(wǎng)站就相當(dāng)于從互聯(lián)網(wǎng)的世界中消失了。比如，2004年4月，由于“.ly”域名癱瘓，導(dǎo)致利比亞從互聯(lián)網(wǎng)上消失了3天。

注意，13臺中除了歐洲兩臺、日本一臺之外，其余全部位于美國。也就是說，只要美國愿意，他就可以切斷全世界的網(wǎng)絡(luò)。雖然網(wǎng)絡(luò)是無國界的，但服務(wù)器是有國界的。

關(guān)于DNS根鏡像服務(wù)器

指的就是DNS根服務(wù)器的鏡像服務(wù)器

鏡像服務(wù)器(Mirror server)與主服務(wù)器的服務(wù)內(nèi)容都是一樣的，只是放在一個不同的地方，分擔(dān)主機的負(fù)載。

簡單來說就是和照鏡子似的，能看，但不是原版的。在網(wǎng)上內(nèi)容完全相同而且同步更新的兩個或多個服務(wù)器，除主服務(wù)器外，其余的都被稱為鏡像服務(wù)器。

分布地點

下表是這些機器的管理單位、設(shè)置地點及最新的IP地址：

名稱管理單位及設(shè)置地點IP地址

AINTERNIC.NET（美國，弗吉尼亞州）198.41.0.4

B美國信息科學(xué)研究所（美國，加利弗尼亞州）128.9.0.107

CPSINet公司（美國，弗吉尼亞州）192.33.4.12

D馬里蘭大學(xué)（美國馬里蘭州）128.8.10.90

E美國航空航天管理局（美國加利弗尼亞州）192.203.230.10

F因特網(wǎng)軟件聯(lián)盟（美國加利弗尼亞州）192.5.5.241

G美國國防部網(wǎng)絡(luò)信息中心（美國弗吉尼亞州）192.112.36.4

H美國陸軍研究所（美國馬里蘭州）128.63.2.53

IAutonomica公司（瑞典，斯德哥爾摩）192.36.148.17

JVeriSign公司（美國，弗吉尼亞州）192.58.128.30

KRIPE NCC（英國，倫敦）193.0.14.129

LIANA（美國，弗吉尼亞州）198.32.64.12

MWIDE Project（日本，東京）202.12.27.33

主要作用

在根域名服務(wù)器中雖然沒有每個域名的具體信息，但儲存了負(fù)責(zé)每個域（如COM、NET、ORG等）的解析的域名服務(wù)器的地址信息，如同通過北京電信你問不到廣州市某單位的電話號碼，但是北京電信可以告訴你去查020114。

世界上所有互聯(lián)網(wǎng)訪問者的瀏覽器的將域名轉(zhuǎn)化為IP地址的請求（瀏覽器必須知道數(shù)字化的IP地址才能訪問網(wǎng)站）理論上都要經(jīng)過根服務(wù)器的指引后去該域名的權(quán)威域名服務(wù)器(authoritative name server, 如haier.com的權(quán)威域名服務(wù)器是dns1.hichina.com)上得到對應(yīng)的IP地址，當(dāng)然現(xiàn)實中提供接入服務(wù)的ISP的緩存域名服務(wù)器上可能已經(jīng)有了這個對應(yīng)關(guān)系（域名到IP地址）的緩存。

根域名服務(wù)器是架構(gòu)因特網(wǎng)所必須的基礎(chǔ)設(shè)施。

在國外，許多計算機科學(xué)家將根域名服務(wù)器稱作“真理”（TRUTH），足見其重要性。

但是攻擊整個因特網(wǎng)最有力、最直接，也是最致命的方法恐怕就是攻擊根域名服務(wù)器了。

早在1997年7月，這些域名服務(wù)器之間自動傳遞了一份新的關(guān)于因特網(wǎng)地址分配的總清單，然而這份清單實際上是空白的。

這一人為失誤導(dǎo)致了因特網(wǎng)出現(xiàn)最嚴(yán)重的局部服務(wù)中斷，造成數(shù)天之內(nèi)網(wǎng)面無法訪問，電子郵件也無法發(fā)送。

遭遇攻擊

在2002年的10月21日美國東部時間下午4:45開始，這13臺服務(wù)器又遭受到了有史以來最為嚴(yán)重的也是規(guī)模最為龐大的一次網(wǎng)絡(luò)襲擊。

此次受到的攻擊是DDoS攻擊，超過常規(guī)數(shù)量30至40倍的數(shù)據(jù)猛烈地向這些服務(wù)器襲來并導(dǎo)致其中的9臺不能正常運行。7臺喪失了對網(wǎng)絡(luò)通信的處理能力，另外兩臺也緊隨其后陷于癱瘓。

10月21日的這次攻擊對于普通用戶來說可能根本感覺不到受到了什么影響。

如果僅從此次事件的“后果”來分析，也許有人認(rèn)為“不會所有的根域名服務(wù)器都受到攻擊，因此可以放心”，或者“根域名服務(wù)器產(chǎn)生故障也與自己沒有關(guān)系”，還為時尚早。

但他們并不清楚其根本原因是：

并不是所有的根域名服務(wù)器全部受到了影響；

攻擊在短時間內(nèi)便告結(jié)束；

攻擊比較單純，因此易于采取相應(yīng)措施。

由于目前對于DDoS攻擊還沒有什么特別有效的解決方案，設(shè)想一下如果攻擊的時間再延長，攻擊再稍微復(fù)雜一點，或者再多有一臺服務(wù)器癱瘓，全球互聯(lián)網(wǎng)將會有相當(dāng)一部分網(wǎng)頁瀏覽以及e-mail服務(wù)會徹底中斷。

而且，我們更應(yīng)該清楚地認(rèn)識到雖然此次事故發(fā)生的原因不在于根域名服務(wù)器本身，而在于因特網(wǎng)上存在很多脆弱的機器，這些脆弱的機器植入DDoS客戶端程序（如特洛伊木馬），然后同時向作為攻擊的根域名服務(wù)器發(fā)送信息包，從而干擾服務(wù)器的服務(wù)甚至直接導(dǎo)致其徹底崩潰。

但是這些巨型服務(wù)器的漏洞是肯定存在的，即使現(xiàn)在沒有被發(fā)現(xiàn)，以后也肯定會被發(fā)現(xiàn)。

而一旦被惡意攻擊者發(fā)現(xiàn)并被成功利用的話，將會使整個互聯(lián)網(wǎng)處于癱瘓之中。

為什么只有13臺dns根服務(wù)器

最后，讓我們了解下全球DNS根服務(wù)器為什么只有13臺。

DNS協(xié)議的最初定義要從20世紀(jì)80年代未期開始算起，它使用了端口上的UDP和TCP協(xié)議。

UDP通常用于查詢和響應(yīng)，TCP用于主服務(wù)器和從服務(wù)器之間的區(qū)傳送.遺憾的是，在所有UDP實現(xiàn)中能保證正常工作的大包長是512字節(jié)，對于在每個包中必須含有數(shù)字簽名的一些DNS新特性（例如，DNSSEC）來說實在是太小了。

512字節(jié)的限制還影響了根服務(wù)器的數(shù)量和名字。

要讓所有的根服務(wù)器數(shù)據(jù)能包含在一個512字節(jié)的UDP包中，根服務(wù)器只能限制在13個，而每個服務(wù)器要使用字母表中的單個字母命名。

以太網(wǎng)數(shù)據(jù)的長度必須在46-1500字節(jié)之間，這是由以太網(wǎng)的物理特性決定的。

事實上，這個1500字節(jié)就是網(wǎng)絡(luò)層IP數(shù)據(jù)包的長度限制，理論上，IP數(shù)據(jù)包大長度是65535字節(jié)。

這是由IP首部16比特總長度所限制的，去除20字節(jié)IP首部和8個字節(jié)UDP首部，UDP數(shù)據(jù)包中數(shù)據(jù)大長度為65507字節(jié)。

在Internet數(shù)據(jù)傳輸中，UDP數(shù)據(jù)長度控制在576字節(jié)（Internet標(biāo)準(zhǔn)MTU值），而在許多UDP應(yīng)用程序設(shè)計中數(shù)據(jù)包被限制成512字節(jié)或更小。這樣可以防止數(shù)據(jù)包的丟失。

許多解析器首先發(fā)送一條UDP查詢，如果它們接收到一條被截斷的響應(yīng)，則會用TCP重新發(fā)送該查詢。

這個過程繞過了512字節(jié)的限制，但是效率不高。您或許認(rèn)為DNS應(yīng)該避開UDP，總是使用TCP，但是TCP連接的開銷大得多。

一次UDP名字服務(wù)器交換可以短到兩個包：一個查詢包、一個響應(yīng)包。一次TCP交換則至少包含7個包：三次握手初始化TCP會話、一個查詢包、一個響應(yīng)包以及最后一次握手來關(guān)閉連接。

網(wǎng)站題目：DNS根服務(wù)器都有哪些？分別在哪里？
分享URL：http://www.bm7419.com/news39/103289.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、品牌網(wǎng)站設(shè)計、網(wǎng)站維護、電子商務(wù)、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)