DNS根伺服器、根伺服器、全球13台根域名伺服器的詳細介紹

平時我們進行域名解析所用到的DNS伺服器，是面對客戶的一線伺服器。

DNS伺服器是(Domain Name System或者Domain Name Service)域名系統或者域名服務，域名系統為Internet上的主機配置設定域名位址和IP位址。

使用者使用域名位址，該系統就會自動把域名位址轉為IP位址。域名服務是運作域名系統的Internet工具。執行域名服務的伺服器稱之為DNS伺服器，通過DNS伺服器來應答域名服務的查詢。

在伺服器家族裡還有一種叫做“DNS根伺服器”的伺服器。

全球共有13台根域名伺服器。這13台根域名伺服器中名字分别為“A”至“M”，其中10台設定在美國，另外各有一台設定于英國、瑞典和日本。

根伺服器主要用來管理網際網路的主目錄，全世界隻有13台。

1個為主根伺服器，放置在美國。其餘12個均為輔根伺服器，其中9個放置在美國，歐洲2個，位于英國和瑞典，亞洲1個，位于日本。

所有根伺服器均由美國政府授權的網際網路域名與号碼配置設定機構ICANN統一管理，負責全球網際網路域名根伺服器、域名體系和IP位址等的管理。

這13台根伺服器可以指揮Firefox或Internet Explorer這樣的Web浏覽器和電子郵件程式控制網際網路通信。

由于根伺服器中有經美國政府準許的260個左右的網際網路字尾（如．com、．net等）和一些國家的指定符（如法國的．fr、挪威的．no等），自成立以來，美國政府每年花費近50多億美元用于根伺服器的維護和運作，承擔了世界上最繁重的網絡任務和最巨大的網絡風險。

是以可以實事求是地說：沒有美國，網際網路将是死灰一片。

世界對美國網際網路的依賴性非常大，當然這也主要是由其技術的先進性和管理的科學性所決定的。

所謂依賴性，從國際網際網路的工作機理來展現的，就在于“根伺服器”的問題。

從理論上說，任何形式的标準域名要想被實作解析，按照技術流程，都必須經過全球“層級式”域名解析體系的工作，才能完成。

“層級式”域名解析體系第一層就是根伺服器，負責管理世界各國的域名資訊，在根伺服器下面是頂級域名伺服器，即相關國家域名管理機構的資料庫，如中國的CNNIC，然後是在下一級的域名資料庫和ISP的緩存伺服器。

一個域名必須首先經過根資料庫的解析後，才能轉到頂級域名伺服器進行解析。

作用與影響

這13台根伺服器可以指揮浏覽器（比如.internet explorer）和電子郵件程式（比如.Firefox）以控制網際網路通信。由于根伺服器中有經美國政府準許的260個左右的網際網路字尾（如．com、．net等）和一些國家的指定符，美國政府對其管理擁有很大發言權。這使得我們顯得相當被動。

中國使用者在通路帶有.com等字尾的國外網站時，大多仍需要經過國外的域名伺服器進行解析，中美海底光纜一旦發生斷裂，便會發生解析問題，中國東部、太平洋西海岸地區，屬于地震多發地帶，再加上台風等環境因素影響，形勢顯得更加嚴峻。

一位網際網路資深專家解釋說，美國控制了域名解析的根伺服器，也就控制了相應的所有域名，如果美國不想讓人通路某些域名，就可以屏蔽掉這些域名，使它們的IP位址無法解析出來，那麼這些域名所指向的網站就相當于從網際網路的世界中消失了。比如，2004年4月，由于“.ly”域名癱瘓，導緻利比亞從網際網路上消失了3天。

注意，13台中除了歐洲兩台、日本一台之外，其餘全部位于美國。也就是說，隻要美國願意，他就可以切斷全世界的網絡。雖然網絡是無國界的，但伺服器是有國界的。

關于DNS根鏡像伺服器

指的就是DNS根伺服器的鏡像伺服器

鏡像伺服器(Mirror server)與主伺服器的服務内容都是一樣的，隻是放在一個不同的地方，分擔主機的負載。

簡單來說就是和照鏡子似的，能看，但不是原版的。在網上内容完全相同而且同步更新的兩個或多個伺服器，除主伺服器外，其餘的都被稱為鏡像伺服器。

分布地點

下表是這些機器的管理機關、設定地點及最新的IP位址：

主要作用

在根域名伺服器中雖然沒有每個域名的具體資訊，但儲存了負責每個域（如COM、NET、ORG等）的解析的域名伺服器的位址資訊，如同通過北京電信你問不到廣州市某機關的電話号碼，但是北京電信可以告訴你去查020114。

世界上所有網際網路通路者的浏覽器的将域名轉化為IP位址的請求（浏覽器必須知道數字化的IP位址才能通路網站）理論上都要經過根伺服器的指引後去該域名的權威域名伺服器(authoritative name server, 如haier.com的權威域名伺服器是dns1.hichina.com)上得到對應的IP位址，當然現實中提供接入服務的ISP的緩存域名伺服器上可能已經有了這個對應關系（域名到IP位址）的緩存。

根域名伺服器是架構網際網路所必須的基礎設施。

在國外，許多計算機科學家将根域名伺服器稱作“真理”（TRUTH），足見其重要性。

但是攻擊整個網際網路最有力、最直接，也是最緻命的方法恐怕就是攻擊根域名伺服器了。

早在1997年7月，這些域名伺服器之間自動傳遞了一份新的關于網際網路位址配置設定的總清單，然而這份清單實際上是空白的。

這一人為失誤導緻了網際網路出現最嚴重的局部服務中斷，造成數天之内網面無法通路，電子郵件也無法發送。

遭遇攻擊

在2002年的10月21日美國東部時間下午4:45開始，這13台伺服器又遭受到了有史以來最為嚴重的也是規模最為龐大的一次網絡襲擊。

此次受到的攻擊是DDoS攻擊，超過正常數量30至40倍的資料猛烈地向這些伺服器襲來并導緻其中的9台不能正常運作。7台喪失了對網絡通信的處理能力，另外兩台也緊随其後陷于癱瘓。

10月21日的這次攻擊對于普通使用者來說可能根本感覺不到受到了什麼影響。

如果僅從此次事件的“後果”來分析，也許有人認為“不會所有的根域名伺服器都受到攻擊，是以可以放心”，或者“根域名伺服器産生故障也與自己沒有關系”，還為時尚早。

但他們并不清楚其根本原因是：

并不是所有的根域名伺服器全部受到了影響；

攻擊在短時間内便告結束；

攻擊比較單純，是以易于采取相應措施。

由于目前對于DDoS攻擊還沒有什麼特别有效的解決方案，設想一下如果攻擊的時間再延長，攻擊再稍微複雜一點，或者再多有一台伺服器癱瘓，全球網際網路将會有相當一部分網頁浏覽以及e-mail服務會徹底中斷。

而且，我們更應該清楚地認識到雖然此次事故發生的原因不在于根域名伺服器本身，而在于網際網路上存在很多脆弱的機器，這些脆弱的機器植入DDoS用戶端程式（如特洛伊木馬），然後同時向作為攻擊的根域名伺服器發送資訊包，進而幹擾伺服器的服務甚至直接導緻其徹底崩潰。

但是這些巨型伺服器的漏洞是肯定存在的，即使現在沒有被發現，以後也肯定會被發現。

而一旦被惡意攻擊者發現并被成功利用的話，将會使整個網際網路處于癱瘓之中。

為什麼隻有13台dns根伺服器

最後，讓我們了解下全球DNS根伺服器為什麼隻有13台。

DNS協定的最初定義要從20世紀80年代未期開始算起，它使用了端口上的UDP和TCP協定。

UDP通常用于查詢和響應，TCP用于主伺服器和從伺服器之間的區傳送.遺憾的是，在所有UDP實作中能保證正常工作的最大包長是512位元組，對于在每個包中必須含有數字簽名的一些DNS新特性（例如，DNSSEC）來說實在是太小了。

512位元組的限制還影響了根伺服器的數量和名字。

要讓所有的根伺服器資料能包含在一個512位元組的UDP包中，根伺服器隻能限制在13個，而每個伺服器要使用字母表中的單個字母命名。

以太網資料的長度必須在46-1500位元組之間，這是由以太網的實體特性決定的。

事實上，這個1500位元組就是網絡層IP資料包的長度限制，理論上，IP資料包最大長度是65535位元組。

這是由IP首部16比特總長度所限制的，去除20位元組IP首部和8個位元組UDP首部，UDP資料包中資料最大長度為65507位元組。

在Internet資料傳輸中，UDP資料長度控制在576位元組（Internet标準MTU值），而在許多UDP應用程式設計中資料包被限制成512位元組或更小。這樣可以防止資料包的丢失。

許多解析器首先發送一條UDP查詢，如果它們接收到一條被截斷的響應，則會用TCP重新發送該查詢。

這個過程繞過了512位元組的限制，但是效率不高。您或許認為DNS應該避開UDP，總是使用TCP，但是TCP連接配接的開銷大得多。

一次UDP名字伺服器交換可以短到兩個包：一個查詢包、一個響應包。一次TCP交換則至少包含7個包：三次握手初始化TCP會話、一個查詢包、一個響應包以及最後一次握手來關閉連接配接。

來自："Nuclear'Atk 網絡安全研究中心