由“断网”事件引发的思考与研究
由“断网”事件引发的思考与研究
201X年1月21日国内部分网络用户无法打开以和net为后缀的网站。据国家互联网应急中心发布的公告称此次断网事件初步判断是由于国际顶级域名服务解析出现异常造成的。通过对域名服务器跟踪测试分析发现全球13个根服务器中至少有两个根域名服务器出现问题造成以和net为后缀的网站域名被解析到6
5. 49. 2178这个无法访问的美国IP地址。粗略估算 国内有超过2亿的网络用户受到这次断网事件的影响。因根域名服务器出现异常导致的断网事件在全球已经发生过多次。 由于全球仅有的13个根域名服务器都在国外且管理权掌握在美国手中我们无法对断网事件做到事前防范此次断网事件再次给我国的网络安全敲响了警钟。 一断网原因分析在互联网中发生大而积断网事件主要有两种原因。
一是连接互联网的光缆被切断。 201X年12月27日受台湾地震的影响多条国际海底光缆被震断造成我国大陆到台湾地区、美国、欧洲等方向的通信和网络中断;
二是域名服务器出现问题造成网络域名无法正确解析。这次和此前发生的多次断网事件大多都是由于域名服务器出现异常造成的。为什么域名服务器出现问题会造成大而积的断网这要从互联网的运行机制说起。
(一)IP地址和域名计算机必须被赋予一个唯一标识才能接入互联网这个标识就是IP地址。 IP地址由32位二进制数组成例如百度的IP地址表达成十进制形式是 20
2. 10
8. 2
2. 5。在浏览器地址栏中输入这个IP地址就能打开百度网站。但由于IP地址难以记住所以经常使用域名来访问互联网。例如百度的域名是 . baidu. 要打开百度只要输入这个域名即可。 实际上 IP地址和域名表示的是互联网中的同一台计算机主机。不同的是一个IP地址可以用多个域名来表示所以 IP地址
才是互联网中主机的唯一标识。因此当使用域名访问网络时只有将域名成功翻译成正确的IP地址后才能在互联网中找到对应的主机。把域名翻译成IP地址的软件称为域名系统。域名系统是一个域名和IP地址相互映射的分布式数据库它采用分级授权的管理机制将主机域名分成不同的层级。在这个层级结构中最顶层的称为根域随后是处于不同层级的子域。完整的域名 由从最底层的子域到根域的名字用点连接而成的字串组成。
(二)域名解析和域名服务器将域名翻译成IP地址的过程称为域名解析。 网络访问能否成功关键是域名能否被成功解析 即找到域名对应的IP地址。域名解析是通过互联网中的域名服务器来完成的。域名服务器是装有域名系统的主机它除负责管理域名数据外还接受来自互联网的域名查询请求。域名服务器分为本地域名服务器和根域名服务器。本地域名服务器上存储着域名到IP地址对应关系的缓存数据用于提供快速的域名解析服务。根域名服务器保存着通用顶级域名和国家及地区顶级域名的数据。常用的C OM(商业/企业) 、NET商业/网络)等属于通用顶级域名而U S(美国) CN(中国)等属于国家及地区顶级域名。 由于受到域名解析协议中数据包大小的限制根域名服务器最多只能有13个。 目前这13个根域名服务器美国有10个英国、瑞典、 日本各有1个它们由美国商务部授权的互联网名称与数字地址分配机构统一管理。处于最上层的顶级域名由I CANN授权给某个域名注册机构进行具体管理例如C OM和NET域名的注册和管理机构是美国的威瑞信(Ver iS ign)公司而CN域名的注册和管理机构是中国互联网络信息中心。 当用户输入一个域名时首先由本地域名服务器进行解析。如果本地域名服务器上保存了要查询的域名记录域名服务器就立即将查询到的IP地址返回给发出查询请求的客户端。如果本地域名服务器上没有要查询的记录域名服务器则向最顶层的根域名服务器发出查询请求[ca目39。此时如果找到了要查询的主机IP地址该地址将被传回给发出查询请求的客户端域名解析成功否则域名解析失败网站无法打开。由此可见在域名解析过程中根域名服务器决定了某个二级域名下所有主机域名的解析如果根域名服务器出现问题就有可能使某个二级域名下
的所有网站都无法打开造成大而积的断网。
二、与根域名服务器有关的断网事件如果域名服务器出现异常域名解析就无法正常进行该域名服务器管理的域名所对应的网站就无法打开造成局部的网络服务中断。而如果根域名服务器出现异常就可能造成大而积的断网。 1997年7月 由于在根域名服务器之间自动传递新的IP地址分配清单时误传了一份空白的IP地址分配表造成域名无法解析导致局部网络服务中断网页无法打开电子邮件无法发送。 201X年10月21日黑客采用被称为DDOS(分布式拒绝服务)的攻击手段在大约1个小时的时间内对13个根域名服务器进行了超过常规数量几十倍的数据攻击导致其中的9个无法正常运行造成部分网络服务中断。 201X年2月5日晚至少有3个根域名服务器遭到黑客的攻击其中包括Nausea公司的U1traDNS管理的org根域名服务器、美国国防部运行的一个根域名服务器以及互联网名称与数字地址分配机构(ICANN)下属的一个根域名服务器。这次黑客攻击事件使部分网络服务受到了影响。 201X年1月12日7时左右百度出现大而积的访问故障 中国内地大部分地区和美国、欧洲等地都无法正常登陆百度网站直至中午12时访问才陆续恢复。事后调查发现黑客攻击了位于美国境内负责百度域名解析的根域名服务器篡改了百度域名注册信息。此次断网事件给百度造成的直接损失超过700万元人民币。 201X年8月25日凌晨负责CN授权的根域名服务器遭到大规模的分布式拒绝服务攻击导致域名服务器访问延迟或中断大部分CN域名解析受到影响造成大量以结尾的网站无法打开。直到凌晨4点左右 CN根域名服务器的解析才部分恢复正常。 由于美国拥有全球13个根域名服务器中的1个主根域名服务器和9个辅根域名服务器而且在1998年10月美国商务部组建了互联网名称与数字地址分配机构(ICANN) 负责根域名服务器的管理(包括IP地址的分配、协议标识符的指派、顶级域名的管理等) 。出于国家利益的考虑凭借对根域名服务器的管理权美国可以随时屏蔽掉敌对国家的顶级域名使这些域名无法得到解析让一个国家在互联网中瞬间消失。 201X年当营运伊拉克国家顶级域名IQ的美国Into-Com公司向伊斯兰极端组织哈马斯提供资金
后 ICANN收回了IQ域名的所有权。 201 X年伊拉克战争期间美国政府授意ICANN终}f对顶级域名IQ的解析致使所有以IQ为后缀的网站无法打开。直到201X年 ICANN才将IQ域名还给伊拉克电信管理机构国家通信和媒体委员会。 201X年4月 由于在顶级域名管理权问题上与美国发生分歧美国关闭了利比亚顶级域名LY使得所有以LY为后缀的网站突然无法打开直到4天后这些网站才恢复正常。
三、从断网事件反思我国的网络安全这次发生的断网事件再次给我国的网络安全敲响了警钟。我国是互联网发展最快的国家之
一网络用户已位居世界第一。为了尽量减少断网事件给我们造成的影响我们必须进一步加强国内域名服务器的管理做好国家顶级域名CN下的二级域名注册做好下一代互联网技术条件下自主根域名服务器建设的技术储备建立行之有效的网络安全保障体系。
(一)进一步做好国家顶级域名CN下的二级域名注册在目前的互联网域名体系下 COM NET等顶级域名均由国外公司负责管理 网络安全无法得到保证。而CN下的域名由中国互联网络信息中心(CNN I C)负责管理。尽管注册CN下的域名无法彻底摆脱美国的控制但它至少可以规避一些来自外部风险。
一是可以提高域名访问的稳定性。在正常情况下 CN域名主要通过国内的域名服务器解析。由于中国互联网络信息中心在全国设置了多个负责CN域名解析的根域名镜像服务器这保证了访问CN域名下的网站更为稳定快捷。
二是可以提高网络的安全性。由于C OM NET等域名由国外机构负责管理一旦他们不再为我们提供域名解析这类域名的网络服务将彻底中断。而CN在国内设置了多个根域名镜像服务器即使在根域名服务器中止CN域名解析这种极端情况发生时至少能保证大多数CN域名下注册的网站在国内能正常访问。 为了提高CN域名的影响力让更多的用户愿意使用CN域名一要加强CN域名的管理建立更加灵活、宽松的注册机制不断提升CN域名的竞争力;二要做好CN域名的宣传工作不断扩大CN的影响力;三要完善与域名相关的法律法规对于政府机关、金融证券、电子商务、交通运输等涉及国
家安全的重要网站应要求他们使用CN域名。
(二)做好下一代互联网技术条件下自主根域名服务器建设的技术储备按照域名解析流程在层级式域名解析体系中处于最顶层的是根域名服务器它负责管理世界各国的域名信息;根域名服务器下是顶级域名服务器存储着相关域名管理机构的数据库;再下一级是域名数据库和互联网服务提供商的缓存服务器。尽管根域名服务器中没有存储域名的完整信息但其中储存了负责每个顶级域名的解析域名服务器的地址信息。所以理论上无论是C OM形式的域名还是CN形式的域名都必须经过根域名服务器才能顺利地实现域名的解析。 正是因为根域名服务器在互联网中具有十分重要地位所以美国始终不肯放弃对根域名服务器的管理权。在I CANN成立初期美国商务部曾经承诺当ICANN满足一定条件时将放弃对互联网最终的否决权。然而 201X年7月1日美国政府宣布美国商务部将继续与ICANN签订合约将无限期保留对13个根域名服务器的管理权。所以要彻底摆脱美国对互联网的控制最终出路就是建立自己的根域名服务器。然而在现行的网络运行机制下这是无法做到的这只能寄托于下一代互联网技术IPV6 。 IPV6是指互联网通信协定第6版它是替代当前IPV4的下一代互联网协议版本。 目前使用的IPV4互联网通信协议最大的问题是IP地址严重不足这已成为制约互联网发展的最大瓶颈。而I PV6可提供更多的IP地址彻底解决IP地址数量不足的问题。为满足IPV6的技术要求根域名服务器也将随之扩充和调整这为我们建立自己的完全独立的根域名服务器提供了难得的契机。 令人欣慰的是我国政府和科技界的有识之士已经看到了建立自主独立的根域名服务器的重要性相关部门和机构已经开始着手这方而的规划和研究。例如中科院计算机网络信息中心已经开始了基于IPV6根域名服务器的研究建立了I PV6试验网解决了IPV6环境下设置根域名服务器的一系列关键技术。建立IPV6根域名服务器将为我国规模化部署I PV6网络域名系统提供有力的技术支撑对保障国家网络安全具有十分重要的作用。
Hostodo 算是比较小众的海外主机商,这次九月份开学季有提供促销活动。不过如果我们有熟悉的朋友应该知道,这个服务商家也是比较时间久的,而且商家推进活动比较稳,每个月都有部分活动。目前有提供机房可选斯波坎、拉斯维加斯和迈阿密。从机房的地理位置和实际的速度,中文业务速度应该不是优化直连的,但是有需要海外业务的话一般有人选择。以前一直也持有他们家的年付12美元的机器,后来用不到就取消未续约。第一、开...
舍利云怎么样?舍利云推出了6核16G超大带宽316G高性能SSD和CPU,支持全球范围,原价516,折后价200元一月。原价80美元,现价30美元,支持地区:日本,新加坡,荷兰,法国,英国,澳大利亚,加拿大,韩国,美国纽约,美国硅谷,美国洛杉矶,美国亚特兰大,美国迈阿密州,美国西雅图,美国芝加哥,美国达拉斯。舍利云是vps云服务器的销售商家,其产品主要的特色是适合seo和建站,性价比方面非常不错,...
六一云互联六一云互联为西安六一网络科技有限公司的旗下产品。是一个正规持有IDC/ISP/CDN的国内公司,成立于2018年,主要销售海外高防高速大带宽云服务器/CDN,并以高质量.稳定性.售后相应快.支持退款等特点受很多用户的支持!近期公司也推出了很多给力的抽奖和折扣活动如:新用户免费抽奖,最大可获得500元,湖北新购六折续费八折折上折,全场八折等等最新活动:1.湖北100G高防:新购六折续费八折...