根域名服务器(Root Domain Name Server)是最高层次的域名服务器,保存所有顶级域名服务器的域名和对应的IP地址信息。
域名系统初创于1983年11月的
美国,根域名服务器随之诞生。1992年年底,NSF(
美国国家科学基金会)与私营公司NSI(网络解决方案公司)签署协议,授权NSI管理DNS的注册和数据库。1998年9月,互联网
域名与地址管理机构成立。2011年2月,国际互联网名称和编号分配公司(ICANN)称基于互联网通信协议IPv4已被清空。2013年,“
雪人计划”提出以IPv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系,后于2015年6月23日正式对外发布。2016年,“雪人计划”全球16个国家完成25台IPv6根服务器架设。截至2017年8月,25台IPv6根服务器在全球范围内已累计收到2391个递归服务器的查询,主要分布在欧洲、北美和亚太地区。2019年11月25日,IPv4地址储备池已完全耗尽。截至2023年,全球共有1000多个根镜像服务器。
全世界有13台IPv4和25台IPv6根域名服务器,其专用域root-server.net,它们的名字是用一个英文字母命名,从A~M。由于根域名服务器保存所有顶级域名服务器的域名和对应的IP地址信息,因此互联网上任何域名服务器收到域名查询请求后,若自己无法解析,就需首先求助于根域名服务器。根域名服务器对于DNS系统的整体运行具有重要作用。任何原因造成的根域名服务器停止运转,都会导致整个DNS系统崩溃。根域名服务器可应用在网络攻击、网页浏览、电子邮件等领域。
概述
根域名服务器是最高层次的域名服务器,保存所有顶级域名服务器的域名和对应的IP地址信息。Internet上共有13个不同的根域名服务器,其专用域为root-server.net。它们的名字是用一个英文字母命名,从A~M。实际上,每个根域名服务器都是一个服务器集群。
所有IPv4根服务器均由美国政府授权的互联网
域名与号码分配机构ICANN统一管理,ICANN负责全球互联网域名IPv4根服务器、域名体系和IP地址等的管理。全世界只有13台IPv4根域名服务器,其中1个为主根服务器在
美国,其余12个均为辅根服务器,其中美国有9台,
欧洲2台,
日本1台。IPv6根服务器架设方面,基于全新技术架构的全球下一代互联网(IPv6)根服务器测试和运营实验项目——“
雪人计划”,于2015年6月23日正式发布,在全球16个国家完成25台IPv6根服务器架设,事实上形成了13台原有根加25台IPv6根的新格局。
需要注意,根域名服务器并不是13台服务器,而是13套装置。例如,根域名服务器f就有40个地点安装有机器,并分布在世界各地。这样做是为了方便用户,使世界上大部分DNS
域名服务器都能就近找到一个根域名服务器。由于根域名服务器采用了任播(anycast)技术,因此当DNS
客户机向某个根域名服务器进行查询时(用这个根域名服务器的IP地址),Internet上的
路由器就能找到离这个DNS客户机最近的一个根域名服务器。这样做不仅加快了DNS的查询过程,也更加合理地利用了Internet的资源。
IPv4地址
IPv4地址是一个32位数字,它可以用于标识一个主机所在的网络,也可以唯一标识该主机上的网络接口。因此,具有多个网络接口(用于连接到多个网络)的主机具有多个地址。网络地址由地区性互联网注册机构(RIR)按块分配给ISP(
网络服务提供商),然后ISP再把地址分配给公司或个人用户。IPv4地址被严格划分为三类(A类、B类和C类),以满足大、中、小型网络的需求。在IPv4地址空间中,地址可以划分为单播地址、广播地址和多播地址。IPv4地址表示为
点分十进制格式,32位的地址分成4个8位分组,每个8位写成十进制,中间用点号分割。
IPv4寻址方案称为CIDR(Classless Inter-Domain Routing,无类域间路由选择)。在CIDR方案中,每个组织都有一组连续的地址,它由单个网络号和一格网络掩码描述。使用CIDR,站点管理员可以创建多个子网,每个子网都有自己的网络掩码,而无须从ISP请求新的地址分配。网络掩码确定地址所属的子网。例如,网络可能具有由16位网络掩码定义的一组地址,这意味着网络由前16位定义。其余16位可能用于识别网络中的主机,或用于创建一系列子网,每个子网都有自己的更窄范围的网络掩码。
分配给网络接口的每个Internet地址都以一个in_ifaddr结构进行维护,该结构包含与协议无关的接口地址结构,也包含Internet域中使用的其他信息。指定接口的
子网掩码时,会将其记录在地址结构的ia_subnetmask字段中。只有在未指定网络掩码的情况下设置接口的地址,才会使用基于类的地址。系统使用ia_subnetmask值解释本地Internet地址。如果子网掩码下的字段与接口地址的子网字段匹配,则认为该地址是子网的本地地址。
IPv6地址
IPv6地址总共有128位(16
字节),用一串十六进制的数字来表示,总共32个十六进制数,并且划分成8个块,每块16位(2字节),块与块之间用“:”隔开。IPv6的128位地址长度形成了一格巨大的地址空间。IPv6不对地址进行分类,但是IPv6对地址的管理与IPv4的CIDR类似,将一个IPv6地址划分成前缀和后缀两部分,其中前缀用于指明一个网络,后缀用于指明网络上的某台主机,即采用层次化的地址结构。在IPv6地址空间中,地址可以划分为
单播地址、泛播地址(也称任播地址)和多播地址,取消了原来的广播地址,增加了任播的概念。作为IPv4的替代者,IPv6具备海量IP地址、提高
路由效率、自动配置、更高安全性等特点。此外,IPv6报文头简洁、灵活,效率更高,易于扩展;还增加了增强的组播(Multicast)支持以及对流的控制(Flow Control),这使得网路上的
多媒体应用有了长足发展的机会,为服务质量控制提供了良好的网络平台。IPv6不仅是协议的升级、网络的改造,更是网络变革的契机。
发展历史
互联网起源于
美国,且又由美国长期监管。域名系统初创于1983年11月的美国。1983年,由于数字形式的IP地址不易记忆,也不易于主机迁移,
保罗·莫卡派乔斯(Paul Mockapetris)提出DNS(Domain Name System)
域名系统方案,由DNS服务器负责管理域名与IP地址的转换,从而可以通过域名来访问
计算机。随着域名系统应用的推广,1992年年底,NSF(
美国国家科学基金会)与私营公司NSI(网络解决方案公司)签署协议,授权NSI管理DNS的注册和数据库,协议生效时间为1993年1月1日至1998年9月30日。此后,
美国对于域名的管理工作逐步由政府行为向私营部门的经营行为过渡。
从互联网诞生以来,美国始终控制着1台主根服务器和9台辅根服务器,这些根域服务器的管理者都是由美国政府授权的互联网域名与地址分配机构(ICANN),该机构负责全球互联网各根域名服务器、域名体系和IP地址的管理。1998年9月,互联网域名与地址管理机构成立,虽然ICANN自称是非营利性的私营公司,却是由美国商务部授权ICANN负责域名和互联网相关技术的国际管理。2005年11月,
美国为维持其域名控制权,在突尼斯召开有关互联网问题的会议上,时任国务卿的赖斯专门写信给当时的欧洲轮值主席,要求他支持“互联网域名与地址管理公司”管理互联网。美国国会还以423票对0票通过决议,要求美国政府控制互联网。2006年,美国政府进一步表态,美国商务部无限期保留对13个根域名服务器系统的监控权。
2011年,
谷歌、脸谱、雅虎等知名网站呼吁将2011年6月8日设定为“世界IPv6日”,以提醒人们关注IP地址即将用完的窘境。同年2月,在美国
迈阿密举行的一个会议上,国际互联网名称和编号分配公司(ICANN)发布新闻公报称,最后所剩的5组IP地址(基于互联网通信协议IPv4)被分配给了全球5大区域互联网注册管理机构,第一代互联网地址的“池子”已经清空。2013年,中国工程中心联合日本和美国相关运营机构和专业人士发起“
雪人计划”,提出以IPv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。
2015年6月23日,基于全新技术架构的全球下一代互联网(IPv6)根服务器测试和运营实验项目——“雪人计划”正式对外发布。由中国下一代互联网工程中心主任刘东担任“雪人计划”首任执行主任,旨在打破国际互联网13台根服务器的数量限制,克服根服务器在拓展性、安全性等技术方面的缺陷,制定更完善的下一代互联网根服务器运营规则,为在全球部署下一代互联网根服务器做准备。2016年,中国主导“雪人计划”在美国、
日本、
印度、
俄罗斯、
德国、
法国等全球16个国家完成了25台IPv6根服务器架设,事实上形成了13台原有根加25台IPv6根服务器的新格局,为建立多边、民主、透明的国际互联网治理体系打下坚实基础。
2017年,中国发布《推进互联网协议第六版(IPv6)规模部署行动计划》,推动建设IPv6商用网络。同年,基于IPv6的下一代互联网成为各国推动新科技产业革命和重塑国家竞争力的先导领域,亚太互联网信息中心预测,10年内IPv4将全面退出历史舞台,互联网将全面转向IPv6。截至2017年8月,25台IPv6根服务器在全球范围内已累计收到2391个递归服务器的查询,主要分布在欧洲、北美和
亚太地区,一定程度上反映出全球IPv6网络部署和用户发展情况。从流量看,IPv6根服务器每日收到查询近1.2亿次。
2019年6月26日,工信部同意
中国互联网络信息中心设立
域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构,负责运行、维护和管理编号分别为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器。同年11月,负责
英国、
欧洲、
中东和部分
中亚地区互联网资源分配的欧洲网络协调中心通过邮件确认,其最后的IPv4地址储备池已于2019年11月25日完全耗尽。次月,工信部已批复同意中国信息通信研究院设立
域名根服务器及域名根服务器运行机构,同时要求其严格遵守相关法律法规、行政规章及行业管理规定,接受工信部的管理和监督检查。截至2023年,全球共有1000多个根镜像服务器。
工作原理
根域名服务器保存所有顶级域名服务器的域名和对应的IP地址信息。互联网上任何域名服务器收到域名查询请求后,若自己无法解析,就首先求助于根域名服务器,根域名服务器根据用户请求,向用户返回相应顶级域名服务器的IP地址。根域名服务器对于DNS系统的整体运行具有重要作用。任何原因造成的根域名服务器停止运转,都会导致整个DNS系统崩溃。
域名解析可以有两种实现方法:递归解析(recursive resolution)与反复解析(iterative resolution)。当主机向本地域名服务器进行查询时,可以选择采用递归解析还是反复解析。
递归解析
如果一位用户希望访问特定主机,客户程序首先向本地域名服务器发出查询请求。如果本地域名服务器查不到域名,则向根域名服务器进行域名解析,根域名服务器向本地域名服务器提供下一级域名服务器的IP地址。本地
域名服务器再向域名服务器进行域名解析,域名服务器向本地域名国务卿提供下一次域名服务器的IP地址。本地域名服务器进一步向域名服务器进行域名解析,域名服务器最终向本地域名服务器提供所查询主机的IP地址,本地域名服务器将解析结果返回客户。至此,递归解析的域名解析过程结束。
反复解析
反复解析也称为迭代解析。在反复解析过程中,本地域名服务器仅须向根域名服务器发出一次查询请求,后续的查询过程是在其他域名服务器之间执行,最终由根域名服务器向本地域名服务器反馈查询结果。
分布地点
参考资料:
参考资料:
应用领域
网页浏览
互联网用户在浏览网页时,必须在根域名服务器的指引下,通过不同级别的域名服务器,解析出正确的IP地址从而打开网页。
网络攻击
根域名服务器属于DNS技术工作原理的一环。由于DNS技术体系在设计之初并未考虑安全性方面的需求,导致其成为各种网络攻击的重要目标与手段,主要包括针对DNS服务器的DDOS攻击和针对用户的DNS劫持两方面安全问题。其中,针对DNS服务器的DDOS攻击,包含基于主机耗尽型的DNS查询拒绝服务攻击与基于宽带耗尽型的DNS反弹式拒绝服务攻击(DNS reflection attacks,又称DNS amplification attacks)。而针对用户的DNS劫持,包含服务器地址劫持、hosts文件劫持、缓存投毒、Kaminsky缓存投毒攻击、入侵DNS服务器等方式。
电子邮件
当处在一个主机上的用户先想要给另一个主机上的用户发送电子邮件时,需要进行域名解析,即发送者的主机需查询某个域的主机信息,向根域名服务器询问对应域具有管理权限的服务器名字和IP地址,根域名服务器把相应信息查询并回复转发给查询者,电子邮件的发送才能够继续。
相关概念
域名解析系统
DNS(Domain Name Service)是域名服务的英文缩写,也叫域名解析系统,它是一个可以将域名和IP地址相互映射的分布式数据库,提供网络访问过程中域名和IP地址的相互转换,允许用户使用友好的名字而不是难以记忆的IP地址来访问Internet上的主机。DNS命名系统采用层次的树形逻辑结构,这个逻辑的树形结构称为域名空间,域名空间的结构形式为:主机、子域、二级域名、顶级域名、根域。全球共有13台根域名,其分布为:主根服务器(A)
美国1个;辅根服务器(B至M)美国9个,
瑞典、荷兰、
日本各1个。在DNS
域名空间中,树的最大深度不得超过127层,树中每个节点最长可以存储63个字符。
域名通常由一个FQDN(Fully Qualified Domain Name,完全正式域名)标识,长度不能超过256个
字节,只允许使用字符a~z、A~Z、0~9和减号(-)。点号(.)只允许在域名标识之间或者FQDN的结尾使用,域名不区分大小写。DNS域名解析的工作原理如下所示:
为了提高域名服务器的可靠性,DNS域名服务器会把数据复制到几个域名服务器中保存起来,其中一个是主域名服务器(master name server),其他的是辅助域名服务器(secondary name server)。当主域名服务器出现故障时,辅助域名服务器可以保证DNS的查询工作不会终端。主域名服务器会定期把数据复制到辅助域名服务器中,而更改数据只能在主域名服务器中进行,这样就保证了数据的一致性。
顶级域名服务器
顶级域名服务器,即TLD服务器。这些域名服务器负责管理在该顶级域名服务器注册的所有二级域名。当收到DNS查询请求时,就给出相应的回答(可能是最后的结果,也可能是下一步应当查找的域名服务器的IP地址)。
权限域名服务器
权限域名服务器是负责一个区的域名服务器。当一个权限域名服务器还不能给出最后的查询应答时,它会告诉查询请求的DNS
客户机,下一步应当找哪一个权限域名服务器。
本地域名服务器
当一个主机发出DNS查询请求时,这个查询请求报文就发送给本地
域名服务器。由此可看出本地域名服务器的重要性。每个Internet服务提供着ISP或一个大学,甚至一个大学里的系,这些都可以拥有一个本地域名服务器,这种域名服务器有时也称为默认域名服务器。本地域名服务器离用户较近,一般不超过几个
路由器的距离。当所要查询的主机也属于同一个本地ISP时,该本地域名服务器就能立即将所查询的主机名转换为它的IP地址,而不需要再去询问其他的域名服务器。
IP地址
IP地址分为五类,分别称为A类、B类、C类、D类和E类地址。A类地址用于为数不多的大型物理网络(如中国公众
多媒体网、NSFNET等),每个网络能够容纳大量的主机;B类地址用于中型网络(如城域网、大中型企业网等),每个网络能容纳中等数量的主机;C类地址用于为数众多的小型网,每个网络最多容纳256台主机。
参考资料: