域名由“断网”事件引发的思考与研究.doc

由“断网”事件引发的思考与研究

2014年1月21日国内部分网络用户无法打开以c om和n et为后缀的网站。据国家互联网应急中心发布的公告称此次“断网”事件初步判断是由于国际顶级域名服务解析出现异常造成的。通过对域名服务器跟踪测试分析发现全球13个根服务器中至少有两个根域名服务器出现问题造成以com和net为后缀的网站域名被解析到65. 49. 2178这个无法访问的美国IP地址。粗略估算 国内有超过2亿的网络用户受到这次“断网”事件的影响。因根域名服务器出现异常导致的“断网”事件在全球已经发生过多次。由于全球仅有的13个根域名服务器都在国外且管理权掌握在美国手中我们无法对“断网”事件做到事前防范此次“断网”事件再次给我国的网络安全敲响了警钟。

一“断网”原因分析

在互联网中发生大而积“断网”事件主要有两种原因。一

是连接互联网的光缆被切断。 2006年12月27日受台湾地震的影响多条国际海底光缆被震断造成我国大陆到台湾地区、美国、欧洲等方向的通信和网络中断;二是域名服务器出现问题造成网络域名无法正确解析。这次和此前发生的多次“断网”事件大多都是由于域名服务器出现异常造成的。为什么域名服务器出现问题会造成大而积的“断网” 这要从互联网的运行机制说起。

(一)IP地址和域名

计算机必须被赋予一个唯一标识才能接入互联网这个标识就是“IP地址” 。 IP地址由32位二进制数组成例如 “百度”的IP地址表达成十进制形式是 202. 108. 22. 5。在浏览器地址栏中输入这个IP地址就能打开“百度”网站。但由于IP地址难以记住所以经常使用“域名”来访问互联网。例如“百度”的域名是www.baidu. com要打开“百度” 只要输入这个域名即可。

实际上 IP地址和域名表示的是互联网中的同一台计算机主机。不同的是一个IP地址可以用多个域名来表示所以 IP地址才是互联网中主机的唯一标识。因此当使用域名访问网络时只有

将域名成功翻译成正确的IP地址后才能在互联网中找到对应的主机。

把域名翻译成IP地址的软件称为“域名系统” 。域名系统是一个域名和IP地址相互映射的分布式数据库它采用分级授权的管理机制将主机域名分成不同的层级。在这个层级结构中最顶层的称为“根域” 随后是处于不同层级的“子域” 。完整的域名 由从最底层的子域到根域的名字用点连接而成的字串组成。

(二)域名解析和域名服务器

将域名翻译成IP地址的过程称为“域名解析” 。网络访问能否成功关键是域名能否被成功解析 即找到域名对应的IP地址。域名解析是通过互联网中的“域名服务器”来完成的。域名服务器是装有域名系统的主机它除负责管理域名数据外还接受来自互联网的域名查询请求。域名服务器分为本地域名服务器和根域名服务器。本地域名服务器上存储着域名到IP地址对应关系的缓存数据用于提供快速的域名解析服务。根域名服务器保存着通用顶级域名和国家及地区顶级域名的数据。常用的COM (商业/企业) 、 NET商业/网络)

等属于通用顶级域名而US(美国)  CN(中国)等属于国家及地区顶级域名。

由于受到域名解析协议中数据包大小的限制根域名服务器最多只能有13个。 目前这13个根域名服务器美国有10个英国、瑞典、 日本各有1个它们由美国商务部授权的互联网名称与数字地址分配机构统一管理。处于最上层的顶级域名由ICANN授权给某个域名注册机构进行具体管理例如C OM和NET域名的注册和管理机构是美国的威瑞信(Ver iSi gn)公司而CN域名的注册和管理机构是中国互联网络信息中心。

当用户输入一个域名时首先由本地域名服务器进行解析。如果本地域名服务器上保存了要查询的域名记录域名服务器就立即将查询到的IP地址返回给发出查询请求的客户端。如果本地域名服务器上没有要查询的记录域名服务器则向最顶层的根域名服务器发出查询请求[ca目39。此时如果找到了要查询的主机IP地址该地址将被传回给发出查询请求的客户端域名解析成功否则域名解析失败 网站无法打开。由此可见在域名解析过程中根域名服务器决定了某个二级域名下所有主机域名的解析如果根域名服务器出现问题就有可能使某个二级域名下的所有网站都无法打开造成大

而积的“断网” 。

二、与根域名服务器有关的“断网”事件

如果域名服务器出现异常域名解析就无法正常进行该域名服务器管理的域名所对应的网站就无法打开造成局部的网络服务中断。而如果根域名服务器出现异常就可能造成大而积的“断网” 。

1997年7月 由于在根域名服务器之间自动传递新的IP地址分配清单时误传了一份空白的IP地址分配表造成域名无法解析导致局部网络服务中断 网页无法打开 电子邮件无法发送。

2002年10月21日黑客采用被称为DDOS(分布式拒绝服务)的攻击手段在大约1个小时的时间内对13个根域名服务器进行了超过常规数量几十倍的数据攻击导致其中的9个无法正常运行造成部分网络服务中断。

2007年2月5日晚至少有3个根域名服务器遭到黑客的攻击其中包括Nausea公司的U1traDNS管理的“org”根域名服务器、美国国防部运行的一个根域名服务器以及互联网名称与数字地址分配机构(ICANN)下属的一个根域名服务器。这次黑客攻击事件使部分网络服务受到了影响。

2010年1月12日7时左右“百度”出现大而积的访问故障中国内地大部分地区和美国、欧洲等地都无法正常登陆“百度”网站直至中午12时访问才陆续恢复。事后调查发现黑客攻击了位于美国境内负责“百度”域名解析的根域名服务器篡改了“百度”域名注册信息。此次“断网”事件给百度造成的直接损失超过700万元人民币。

2013年8月25日凌晨负责CN授权的根域名服务器遭到大规模的分布式拒绝服务攻击导致域名服务器访问延迟或中断大部分CN域名解析受到影响造成大量以com结尾的网站无法打开。直到凌晨4点左右 CN根域名服务器的解析才部分恢复正常。

由于美国拥有全球13个根域名服务器中的1个主根域名服务

器和9个辅根域名服务器而且在1998年10月美国商务部组建了互联网名称与数字地址分配机构(ICANN) 负责根域名服务器的管理(包括IP地址的分配、协议标识符的指派、顶级域名的管理等) 。 出于国家利益的考虑凭借对根域名服务器的管理权美国可以随时屏蔽掉“敌对”国家的顶级域名使这些域名无法得到解析让一个国家在互联网中瞬间消失。

2002年当营运伊拉克国家顶级域名IQ的美国Into-Com公司向伊斯兰极端组织哈马斯提供资金后 ICANN收回了IQ域名的所有权。 2003年伊拉克战争期间美国政府授意I CANN终}f对顶级域名IQ的解析致使所有以IQ为后缀的网站无法打开。直到2005年I CANN才将I Q域名还给伊拉克电信管理机构-国家通信和媒体委员会。 2004年4月 由于在顶级域名管理权问题上与美国发生分歧美国关闭了利比亚顶级域名LY使得所有以LY为后缀的网站突然无法打开直到4天后这些网站才恢复正常。

三、从“断网”事件反思我国的网络安全

这次发生的“断网”事件再次给我国的网络安全敲响了警

钟。我国是互联网发展最快的国家之一 网络用户已位居世界第一。为了尽量减少“断网”事件给我们造成的影响我们必须进一步加强国内域名服务器的管理做好国家顶级域名CN下的二级域名注册做好下一代互联网技术条件下自主根域名服务器建设的技术储备建立行之有效的网络安全保障体系。

(一)进一步做好国家顶级域名CN下的二级域名注册

在目前的互联网域名体系下 C OM NET等顶级域名均由国外公司负责管理 网络安全无法得到保证。而CN下的域名由中国互联网络信息中心(CNN I C)负责管理。尽管注册CN下的域名无法彻底摆脱美国的控制但它至少可以规避一些来自外部风险。

一是可以提高域名访问的稳定性。在正常情况下 CN域名主要通过国内的域名服务器解析。由于中国互联网络信息中心在全国设置了多个负责CN域名解析的根域名镜像服务器这保证了访问CN域名下的网站更为稳定快捷。

二是可以提高网络的安全性。 由于COM  NET等域名由国外机构负责管理一旦他们不再为我们提供域名解析这类域名的网络服务将彻底中断。而CN在国内设置了多个根域名镜像服务器即使在根域名服务器中止CN域名解析这种极端情况发生时至少能保证大多数CN域名下注册的网站在国内能正常访问。

为了提高CN域名的影响力让更多的用户愿意使用CN域名一要加强CN域名的管理建立更加灵活、宽松的注册机制不断提升CN域名的竞争力;二要做好CN域名的宣传工作不断扩大CN的影响力;三要完善与域名相关的法律法规对于政府机关、金融证券、电子商务、交通运输等涉及国家安全的重要网站应要求他们使用CN域名。

(二)做好下一代互联网技术条件下自主根域名服务器建设的技术储备

按照域名解析流程在层级式域名解析体系中处于最顶层的是根域名服务器它负责管理世界各国的域名信息;根域名服务器下是顶级域名服务器存储着相关域名管理机构的数据库;再下一级