域名由“断网”事件引发的思考与研究

由“断网”事件引发的思考与研究

由“断网”事件引发的思考与研究

201X年1月21日国内部分网络用户无法打开以和net为后缀的网站。据国家互联网应急中心发布的公告称此次断网事件初步判断是由于国际顶级域名服务解析出现异常造成的。通过对域名服务器跟踪测试分析发现全球13个根服务器中至少有两个根域名服务器出现问题造成以和net为后缀的网站域名被解析到6

5. 49. 2178这个无法访问的美国IP地址。粗略估算 国内有超过2亿的网络用户受到这次断网事件的影响。因根域名服务器出现异常导致的断网事件在全球已经发生过多次。 由于全球仅有的13个根域名服务器都在国外且管理权掌握在美国手中我们无法对断网事件做到事前防范此次断网事件再次给我国的网络安全敲响了警钟。 一断网原因分析在互联网中发生大而积断网事件主要有两种原因。

一是连接互联网的光缆被切断。 201X年12月27日受台湾地震的影响多条国际海底光缆被震断造成我国大陆到台湾地区、美国、欧洲等方向的通信和网络中断;

二是域名服务器出现问题造成网络域名无法正确解析。这次和此前发生的多次断网事件大多都是由于域名服务器出现异常造成的。为什么域名服务器出现问题会造成大而积的断网这要从互联网的运行机制说起。

(一)IP地址和域名计算机必须被赋予一个唯一标识才能接入互联网这个标识就是IP地址。 IP地址由32位二进制数组成例如百度的IP地址表达成十进制形式是 20

2. 10

8. 2

2. 5。在浏览器地址栏中输入这个IP地址就能打开百度网站。但由于IP地址难以记住所以经常使用域名来访问互联网。例如百度的域名是 . baidu. 要打开百度只要输入这个域名即可。 实际上 IP地址和域名表示的是互联网中的同一台计算机主机。不同的是一个IP地址可以用多个域名来表示所以 IP地址

才是互联网中主机的唯一标识。因此当使用域名访问网络时只有将域名成功翻译成正确的IP地址后才能在互联网中找到对应的主机。把域名翻译成IP地址的软件称为域名系统。域名系统是一个域名和IP地址相互映射的分布式数据库它采用分级授权的管理机制将主机域名分成不同的层级。在这个层级结构中最顶层的称为根域随后是处于不同层级的子域。完整的域名 由从最底层的子域到根域的名字用点连接而成的字串组成。

(二)域名解析和域名服务器将域名翻译成IP地址的过程称为域名解析。 网络访问能否成功关键是域名能否被成功解析 即找到域名对应的IP地址。域名解析是通过互联网中的域名服务器来完成的。域名服务器是装有域名系统的主机它除负责管理域名数据外还接受来自互联网的域名查询请求。域名服务器分为本地域名服务器和根域名服务器。本地域名服务器上存储着域名到IP地址对应关系的缓存数据用于提供快速的域名解析服务。根域名服务器保存着通用顶级域名和国家及地区顶级域名的数据。常用的C OM(商业/企业) 、NET商业/网络)等属于通用顶级域名而U S(美国)  CN(中国)等属于国家及地区顶级域名。 由于受到域名解析协议中数据包大小的限制根域名服务器最多只能有13个。 目前这13个根域名服务器美国有10个英国、瑞典、 日本各有1个它们由美国商务部授权的互联网名称与数字地址分配机构统一管理。处于最上层的顶级域名由I CANN授权给某个域名注册机构进行具体管理例如C OM和NET域名的注册和管理机构是美国的威瑞信(Ver iS ign)公司而CN域名的注册和管理机构是中国互联网络信息中心。 当用户输入一个域名时首先由本地域名服务器进行解析。如果本地域名服务器上保存了要查询的域名记录域名服务器就立即将查询到的IP地址返回给发出查询请求的客户端。如果本地域名服务器上没有要查询的记录域名服务器则向最顶层的根域名服务器发出查询请求[ca目39。此时如果找到了要查询的主机IP地址该地址将被传回给发出查询请求的客户端域名解析成功否则域名解析失败网站无法打开。由此可见在域名解析过程中根域名服务器决定了某个二级域名下所有主机域名的解析如果根域名服务器出现问题就有可能使某个二级域名下

的所有网站都无法打开造成大而积的断网。

二、与根域名服务器有关的断网事件如果域名服务器出现异常域名解析就无法正常进行该域名服务器管理的域名所对应的网站就无法打开造成局部的网络服务中断。而如果根域名服务器出现异常就可能造成大而积的断网。 1997年7月 由于在根域名服务器之间自动传递新的IP地址分配清单时误传了一份空白的IP地址分配表造成域名无法解析导致局部网络服务中断网页无法打开电子邮件无法发送。 201X年10月21日黑客采用被称为DDOS(分布式拒绝服务)的攻击手段在大约1个小时的时间内对13个根域名服务器进行了超过常规数量几十倍的数据攻击导致其中的9个无法正常运行造成部分网络服务中断。 201X年2月5日晚至少有3个根域名服务器遭到黑客的攻击其中包括Nausea公司的U1traDNS管理的org根域名服务器、美国国防部运行的一个根域名服务器以及互联网名称与数字地址分配机构(ICANN)下属的一个根域名服务器。这次黑客攻击事件使部分网络服务受到了影响。 201X年1月12日7时左右百度出现大而积的访问故障 中国内地大部分地区和美国、欧洲等地都无法正常登陆百度网站直至中午12时访问才陆续恢复。事后调查发现黑客攻击了位于美国境内负责百度域名解析的根域名服务器篡改了百度域名注册信息。此次断网事件给百度造成的直接损失超过700万元人民币。 201X年8月25日凌晨负责CN授权的根域名服务器遭到大规模的分布式拒绝服务攻击导致域名服务器访问延迟或中断大部分CN域名解析受到影响造成大量以结尾的网站无法打开。直到凌晨4点左右 CN根域名服务器的解析才部分恢复正常。 由于美国拥有全球13个根域名服务器中的1个主根域名服务器和9个辅根域名服务器而且在1998年10月美国商务部组建了互联网名称与数字地址分配机构(ICANN) 负责根域名服务器的管理(包括IP地址的分配、协议标识符的指派、顶级域名的管理等) 。出于国家利益的考虑凭借对根域名服务器的管理权美国可以随时屏蔽掉敌对国家的顶级域名使这些域名无法得到解析让一个国家在互联网中瞬间消失。 201X年当营运伊拉克国家顶级域名IQ的美国Into-Com公司向伊斯兰极端组织哈马斯提供资金

后 ICANN收回了IQ域名的所有权。 201 X年伊拉克战争期间美国政府授意ICANN终}f对顶级域名IQ的解析致使所有以IQ为后缀的网站无法打开。直到201X年 ICANN才将IQ域名还给伊拉克电信管理机构国家通信和媒体委员会。 201X年4月 由于在顶级域名管理权问题上与美国发生分歧美国关闭了利比亚顶级域名LY使得所有以LY为后缀的网站突然无法打开直到4天后这些网站才恢复正常。

三、从断网事件反思我国的网络安全这次发生的断网事件再次给我国的网络安全敲响了警钟。我国是互联网发展最快的国家之

一网络用户已位居世界第一。为了尽量减少断网事件给我们造成的影响我们必须进一步加强国内域名服务器的管理做好国家顶级域名CN下的二级域名注册做好下一代互联网技术条件下自主根域名服务器建设的技术储备建立行之有效的网络安全保障体系。

(一)进一步做好国家顶级域名CN下的二级域名注册在目前的互联网域名体系下 COM NET等顶级域名均由国外公司负责管理 网络安全无法得到保证。而CN下的域名由中国互联网络信息中心(CNN I C)负责管理。尽管注册CN下的域名无法彻底摆脱美国的控制但它至少可以规避一些来自外部风险。

一是可以提高域名访问的稳定性。在正常情况下 CN域名主要通过国内的域名服务器解析。由于中国互联网络信息中心在全国设置了多个负责CN域名解析的根域名镜像服务器这保证了访问CN域名下的网站更为稳定快捷。

二是可以提高网络的安全性。由于C OM  NET等域名由国外机构负责管理一旦他们不再为我们提供域名解析这类域名的网络服务将彻底中断。而CN在国内设置了多个根域名镜像服务器即使在根域名服务器中止CN域名解析这种极端情况发生时至少能保证大多数CN域名下注册的网站在国内能正常访问。 为了提高CN域名的影响力让更多的用户愿意使用CN域名一要加强CN域名的管理建立更加灵活、宽松的注册机制不断提升CN域名的竞争力;二要做好CN域名的宣传工作不断扩大CN的影响力;三要完善与域名相关的法律法规对于政府机关、金融证券、电子商务、交通运输等涉及国

家安全的重要网站应要求他们使用CN域名。

(二)做好下一代互联网技术条件下自主根域名服务器建设的技术储备按照域名解析流程在层级式域名解析体系中处于最顶层的是根域名服务器它负责管理世界各国的域名信息;根域名服务器下是顶级域名服务器存储着相关域名管理机构的数据库;再下一级是域名数据库和互联网服务提供商的缓存服务器。尽管根域名服务器中没有存储域名的完整信息但其中储存了负责每个顶级域名的解析域名服务器的地址信息。所以理论上无论是C OM形式的域名还是CN形式的域名都必须经过根域名服务器才能顺利地实现域名的解析。 正是因为根域名服务器在互联网中具有十分重要地位所以美国始终不肯放弃对根域名服务器的管理权。在I CANN成立初期美国商务部曾经承诺当ICANN满足一定条件时将放弃对互联网最终的否决权。然而 201X年7月1日美国政府宣布美国商务部将继续与ICANN签订合约将无限期保留对13个根域名服务器的管理权。所以要彻底摆脱美国对互联网的控制最终出路就是建立自己的根域名服务器。然而在现行的网络运行机制下这是无法做到的这只能寄托于下一代互联网技术IPV6 。 IPV6是指互联网通信协定第6版它是替代当前IPV4的下一代互联网协议版本。 目前使用的IPV4互联网通信协议最大的问题是IP地址严重不足这已成为制约互联网发展的最大瓶颈。而I PV6可提供更多的IP地址彻底解决IP地址数量不足的问题。为满足IPV6的技术要求根域名服务器也将随之扩充和调整这为我们建立自己的完全独立的根域名服务器提供了难得的契机。 令人欣慰的是我国政府和科技界的有识之士已经看到了建立自主独立的根域名服务器的重要性相关部门和机构已经开始着手这方而的规划和研究。例如中科院计算机网络信息中心已经开始了基于IPV6根域名服务器的研究建立了I PV6试验网解决了IPV6环境下设置根域名服务器的一系列关键技术。建立IPV6根域名服务器将为我国规模化部署I PV6网络域名系统提供有力的技术支撑对保障国家网络安全具有十分重要的作用。