根镜像服务器:定义、功能和安全问题
吴国法
(2021年11月21日)
总结:介绍根镜像服务器的基础知识和分布,包括其定义、技术、功能、优缺点、在中国和世界的分布等。根据根镜像服务器的定义和技术,可以看出中国的二级根镜像服务器对中国的互联网安全毫无帮助。
关键字:互联网域名根服务器镜像服务器
一些“权威”人士认为,中国有六个二级根镜像服务器,所以中国的互联网不再受美国控制。这种认识是完全错误的。本文主要关注辅助根镜像服务器。
全球共有13个根域名服务器。根域名服务器的分布如下:
主根服务器(A)是美国的一个,位于弗吉尼亚州的一个小城市杜勒斯。
12台二级根服务器(B到M): 9台部署在美国,2台在欧洲,分别位于荷兰(二级根服务器K)和瑞典(二级根服务器I);1个在亚洲和日本(辅助根服务器m)。
全球有1100多台辅助根镜像服务器。
(一)顶级域名和根域名服务器
每一个顶级域名,无论是通用顶级域名(gTLD)还是国家顶级域名(ccTLD),都有自己的域名服务器。而且有些顶级域名有多个根服务器。示例:
的域名服务器。com和。净是[上午]。gtld-servers.net,总共有13台服务器。
的域名服务器。org有六个如tld1.ultradns.net;
的域名服务器。biz是[a-h].gtld.biz,共8个;
的域名服务器。信息是tld1.ultradns.net等六个。
的域名服务器。cn是ns.cnc.ac.cn等六个;
的域名服务器。jp分别是[a-f].dns.jp,共6个;
等一下。
后缀为“”的网站。com”和”。net”是最多的。截至2021年6月,后缀为。com”占中国网站总数的63.6%。
根据以上信息,有13个。COM和。NET域名根服务器在全球范围内,分别是a .gtld-servers.net,b.gtld-servers.net,d.gtld-servers.net,e.gtld-servers.net,……,m.gtld-servers.net .也就是说,一级根服务器A和二级根服务器B-M都提供域名解析服务。com和。网。
(二)根镜像服务器的定义和技术
在设置根域名服务器时,根服务器使用任播技术设置多个镜像服务器。
任播技术由互联网工程任务组(IETF)在其备忘录RFC3513中定义。是RFC Request For Comments的缩写,是IETF发布的一系列备忘录。
RFC3513对任播技术的定义是:任播地址被分配给两个以上的接口(一般指IP地址不同的节点),发送到这个地址的数据包被路由到最近的接口。这里的“最近”可以指度量决策,例如路由器跳数、服务器负载、服务器吞吐量、客户端和服务器之间的往返时间(RTT)以及链路的可用带宽。任播采用的方法是向互联网中不同物理位置的主机分配单播地址。网站访问者不关心哪个主机提供服务。
根镜像服务器就像根服务器的镜像,存储着相同的信息和服务,可以和根服务器同步更新信息。这是根镜像服务器的定义。
在计算机技术方面,根镜像服务器相当于“根虚拟服务器”。这里的“虚拟服务器”类似于“虚拟内存”,并不是真正的“虚拟”。“根虚拟服务器”物理上是存在的,但它不是“根服务器”,而是在一个远离根服务器的地方。
[注:虚拟内存是计算机系统内存管理的一种技术。它使应用程序认为它有连续可用的内存(一个连续完整的地址空)。实际上通常是分成几个物理内存碎片,其中一部分临时存放在外盘内存中,以备需要时进行数据交换。目前大多数操作系统使用的都是虚拟内存,比如Windows家族的“虚拟内存”和Linux的“exchange 空 room”。】
主根服务器有6个镜像服务器,都在美国。九个二级根域名服务器在全球设置了多个镜像服务器。
9个辅助根服务器镜像服务器的初始设置数量如下:
c,6;f,47;g,6;我,36;j,63;k,13;l,37;男,5 .
以上事实表明,初始的辅助根服务器L有37个镜像服务器。后来二级根服务器L在全球增加了很多镜像服务器,达到了167台。
(三)根镜像服务器的功能和好处
二级根域名服务器的根镜像服务器的主要功能是代替二级根域名服务器提供各种服务。
二级域名服务器的根镜像服务器有以下三个基本好处 :
首先,镜像服务器减轻了二级根域名服务器巨大的页面浏览量和域名解析负担,让很多负担转移到了二级根镜像服务器上。
例如,假设你在北京,你想在你的电脑上访问美国电台网站www.ABC.com。(网址:https://abc.com)它的次根服务器是L,由弗吉尼亚州的IANA运营管理。【注:iana(互联网数字地址分配机构)是互联网数字(IP)地址分配机构的缩写】信息流如下:
→ 位于弗吉尼亚州杜勒斯的主根服务器A收到了您访问www.ABC.com网站的请求;
→ 一级根服务器A将你的请求发送给同州(弗吉尼亚州)的二级根服务器L,弗吉尼亚州的二级根服务器L和北京的二级根镜像服务器L同时收到你的请求;
→ 北京的镜像服务器L解析你的请求;
→ 北京的镜像服务器L向你的电脑发送允许打开网站www.ABC.com的指令信息;
→ 你打开了www.ABC.com网站。
其次,镜像服务器减少了根域名服务器对网站访问请求的响应时间,即加快了网站打开速度。
如果没有镜像服务器,您访问www.ABC.com网站的过程如下:
→ 主根服务器A收到您访问www.ABC.com网站的请求;
→ A将你的请求转发到弗吉尼亚的二级根服务器L;
→ L分析你的要求;
→ L向您的电脑发送允许打开www.ABC.com网站的指令信息;
→ 你打开了www.ABC.com网站。
在这里,有大量的“打开网站www的指令信息。ABC.com”且传输距离长。l的镜像服务器在北京,同样的信息量,但是传输距离短很多,所以节省时间。
第三,镜像服务器间接增强了二级根域名服务器的安全性能,可以抵御黑客针对二级根服务器的分布式拒绝服务攻击(DDoS)。当黑客通过DDoS攻击辅助根服务器并使其瘫痪时,辅助根镜像服务器可以正常工作。
假设弗吉尼亚州的二级根服务器L被DDoS攻击瘫痪,北京的镜像服务器L照常工作,你仍然可以打开网站www.ABC.com。
(4)中国的六个根镜像服务器
中国设置了六个域名根镜像服务器。
2019年6月24日,工信部发文批准中国互联网信息中心(CNNIC)成立中文域名根服务器管理机构,将管理F、I、K、L根镜像服务器。根据工信部公告,工信部同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)和域名根服务器运营机构,分别负责编号为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器的运行维护和管理。
CNNIC是中国重要的网络基础设施建设商、运营商和管理者。自2005年以来,CNNIC与瑞典Netnod公司(辅助根服务器I)、美国互联网系统联盟(ISC)、互联网名称与数字地址分配机构(ICANN)、美国Verisign、欧洲互联网注册网络协调中心(RIPE NCC,辅助根服务器K)等根服务器运营商合作,成功引入并建立了F、I、K、K
注:中国设置的是域名根镜像服务器,不是域名根服务器。
据了解,工信部批准中国互联网络信息中心(CNNIC)设立根镜像服务器的主要目的是增加技术能力和相关设备,为用户提供良好的网络基础资源服务。
CNNIC官网介绍,下一步,我们将在主管部门的指导下,进一步加强与全球根服务器运营商的协调和沟通,继续增加根镜像服务器的引进数量,提高根镜像服务器在中国的网络覆盖和分布均衡性。
(五)世界各地的根镜像服务器及其问题
2002年,互联网名称与数字地址分配机构(ICANN)开始与世界各地的根服务器管理机构合作建立根镜像服务器。目前,全球有1100多台根镜像服务器。中国只有6台根镜像服务器,占全球根镜像服务器总数的0.55%,而中国网站总数占全球的25%全球有167台L二级根域名服务器镜像服务器,但中国只有两台,占1.2%。
中国和任何申请镜像服务器的国家都必须获得ICANN的批准。[注:ICANN(互联网名称与数字地址分配机构)不是国际组织,而是在美国加州注册的私人公司]
中国镜像服务器的主要问题是:中国的次根镜像服务器是根服务器F(在美国)、I(在瑞典)、K(在荷兰)、L(在美国)的镜像,100%根服务器F、I、K,因此,中国的次根镜像服务器是不安全的。其他国家的辅助根镜像服务器也是不安全的,因为受到美国的限制。
那种认为“中国有六个二级根镜像服务器,中国互联网不再受美国控制”的观点是完全错误的,也是非常有害的[/s2/]
