以下文章來源于微月人話，作者衛(wèi) sir

　　自從美國宣布“清潔網(wǎng)絡(luò)”行動(dòng)后，很多懂點(diǎn)網(wǎng)絡(luò)的人，第一反應(yīng)是，美國人會(huì)下手根域名服務(wù)器嗎？

　　這種憂慮可不是一年兩年了。

　　2014 年 6 月 24 日的《人民日報(bào)》上引用專家發(fā)言：“目前美國掌握著全球互聯(lián)網(wǎng) 13 臺(tái)域名根服務(wù)器中的 10 臺(tái)。理論上，只要在根服務(wù)器上屏蔽該國家域名，就能讓這個(gè)國家的國家頂級(jí)域名網(wǎng)站在網(wǎng)絡(luò)上瞬間“消失”。在這個(gè)意義上，美國具有全球獨(dú)一無二的制網(wǎng)權(quán)，有能力威懾他國的網(wǎng)絡(luò)邊疆和網(wǎng)絡(luò)主權(quán)。譬如，伊拉克戰(zhàn)爭期間，在美國政府授意下，伊拉克頂級(jí)域名“.iq”的申請和解析工作被終止，所有網(wǎng)址以“.iq”為后綴的網(wǎng)站從互聯(lián)網(wǎng)蒸發(fā)。”¹

　　《信息安全與通信保密》雜志 2014 年第 10 期的一篇文章寫道：“2004 年，由于與利比亞在頂級(jí)域名管理權(quán)問題上發(fā)生爭執(zhí)，美國終止了利比亞的頂級(jí)域名 .LY 的解析服務(wù)，導(dǎo)致利比亞從網(wǎng)絡(luò)中消失 3 天。”²

　　對此，我們需要害怕嗎？我們需要什么樣的反制措施？

　　不是專家，還真回答不了這個(gè)問題。

　　因?yàn)檫@需要了解 DNS 的工作原理，了解根域名的管理機(jī)制。

　　這里先給出簡要回答：不排除這種可能性，但并不是沒有辦法。

　　一句話原因：雖然根不在我們手里，但我們有鏡像。

　　DNS 傻瓜書

　　先了解點(diǎn)基本概念，懂 DNS 的可以直接跳過本節(jié)。

　　1、DNS 是什么？

　　DNS 就是將域名轉(zhuǎn)換為 IP 的，因?yàn)槲覀內(nèi)祟惖挠洃浟μ睿居洸蛔?IP，而電腦通信又必須用 IP，所以人類發(fā)明了域名，讓我們可以記住 baidu.com、taobao.com 這種還算能記得住的域名。然后通過 DNS，將這些域名轉(zhuǎn)換為電腦需要的 IP。

　　2、DNS 是怎么工作的？

　　每個(gè)電腦里面都設(shè)置了本地 DNS 服務(wù)器（簡稱 LDNS），需要的時(shí)候，就向 LDNS 發(fā)出請求，LDNS 在網(wǎng)上問權(quán)威域名服務(wù)器（簡稱權(quán)威 DNS），有時(shí)候問一家是不夠的，要問一大圈下來，最后才能得到答案。

　　3、權(quán)威 DNS 是干什么的？

　　問我一個(gè)域名，我告訴你 IP，如果我不知道，我告訴你誰可能知道，你再去問它。

　　4、什么是根域名服務(wù)器（簡稱根 DNS）？

　　當(dāng) LDNS 啥都不知道的時(shí)候（也即沒有任何緩存），就去問根 DNS，根能告訴 LDNS 下一步該問誰。

　　5、全世界有多少根 DNS？

　　13 個(gè)，其中 10 個(gè)在美國，英國和瑞典各 1 個(gè)，日本 1 個(gè)。

　　6、根 DNS 的名字和 IP 都是什么？

　　在這個(gè)網(wǎng)址：

　　https://www.internic.net/domain/named.root

　　打開可以看到，里面有 13 個(gè)根的名字和 IP，其名字從A.root-servers.net 到M.root-servers.net。

　　A 開頭那個(gè)簡稱A根，是主根，其他 12 個(gè)（B、C、D、E、F、G、H、I、J、K、L、M）是輔根。

　　為什么根 DNS 只有 13 臺(tái)？

　　本節(jié)看不懂沒關(guān)系（一般人都看不懂），你只需要知道，由于歷史原因和技術(shù)原因，對于 IPv4 而言，根 DNS 只能有 13 個(gè) IP。

　　正宗答案是：DNS 主要使用 UDP 數(shù)據(jù)報(bào)傳送報(bào)文，不含前面的各種頭部，DNS 報(bào)文要求被控制在 512 字節(jié)之內(nèi)（ RFC1035 ），主要考慮是這個(gè)大小幾乎可以在互聯(lián)網(wǎng)上暢通無阻，不會(huì)因?yàn)槁窂街心硞€(gè) MTU 太小（ MTU 通常總會(huì) >= 576，見 RFC791 ）而導(dǎo)致 IP 分片，從而預(yù)防了各種不可預(yù)期的后果³。

　　而每一個(gè)根 DNS 在 DNS 報(bào)文中都要占用一定的字節(jié)數(shù)，比如根的名稱、TTL、IP 地址等。這樣，13 個(gè)根域名服務(wù)器基本上就把空間占差不多了，剩余的字節(jié)還要用于包裝 DNS 報(bào)頭以及其它協(xié)議參數(shù)，所以根域名服務(wù)器不易太多，13 個(gè)算是比較合適的數(shù)目。具體可以看一下“Why 13 DNS root servers?”這篇文章。⁴

　　真的只有 13 臺(tái)服務(wù)器嗎？

　　和很多人想象的完全不一樣，這 13 個(gè)根域名服務(wù)器，并不是只有 13 臺(tái)物理的服務(wù)器。

　　這 13 個(gè)根，只是一個(gè)邏輯上的概念，每個(gè)根 DNS，背后都有多臺(tái)真正的物理服務(wù)器在工作！

　　截至 2020 年 8 月 12 日，全球一共有 1097 個(gè)根服務(wù)器。每一個(gè)根都有若干個(gè)鏡像，分布在全球不同的地方。

這個(gè)數(shù)目在不斷上漲，去年 10 月 1 日新中國成立 70 周年閱兵的時(shí)候，我看了一下，是 1015 個(gè)服務(wù)器。

這 13 個(gè)根由 12 個(gè)獨(dú)立的機(jī)構(gòu)管理，比如A根和J根都是由 Verisign 公司管理，截至 2020 年 8 月 12 日，A根在全球各地有 53 個(gè)站點(diǎn)，J根有 185 個(gè)站點(diǎn)。L根由 ICANN 管理，全球有 167 個(gè)站點(diǎn)，其中北京 2 個(gè)，上海 1 個(gè)。

　　在 root-servers 網(wǎng)站上⁵，可以查到所有這些根服務(wù)器的分布，從網(wǎng)站展示的根鏡像服務(wù)器地圖上看（2020 年 8 月 12 日），北京有 5 個(gè)根鏡像服務(wù)器，上海 1 個(gè)，杭州 2 個(gè)，武漢 1 個(gè)、鄭州 1 個(gè)、西寧 1 個(gè)、貴陽 1 個(gè)、廣州 1 個(gè)、香港 9 個(gè)，臺(tái)北 6 個(gè)。

　　包含港澳臺(tái)部分，我國一共有 28 個(gè)根鏡像。

　　我國境內(nèi)發(fā)出的對根 DNS 的請求，其實(shí)都由鏡像完成了。這一點(diǎn)后面會(huì)解釋。

　　現(xiàn)在，為了增長知識(shí)，你該硬著頭皮看一些 DNS 細(xì)節(jié)了。

　　DNS 到底是怎么工作的？

　　對于 IT 從業(yè)者，希望你能理解并牢牢記住本節(jié)的內(nèi)容。

　　因?yàn)槟氵t早會(huì)遇到有關(guān) DNS 的困惑。

　　先介紹一下域名的級(jí)別：

　　.代表根域名， .com 這種是頂級(jí)域名，也叫一級(jí)域名，baidu.com 這種叫二級(jí)域名， www.baidu.com 這種叫三級(jí)域名，依次類推。

　　注：也有其他叫法的，反正你知道這個(gè)意思就可以了。

　　再介紹一下最常見的兩種域名服務(wù)器：

　　權(quán)威 DNS：負(fù)責(zé)對請求作出權(quán)威的回答。權(quán)威 DNS 中存儲(chǔ)著記錄，最常見的 3 種：A記錄（記錄某域名和其 IP 的對應(yīng)），NS 記錄（記錄某域名和負(fù)責(zé)解析該域的權(quán)威 DNS），CNAME 記錄（負(fù)責(zé)記錄某域名及其別名）。權(quán)威能直接回答的，就回A記錄；需要其他權(quán)威 DNS 回答的，就回 NS 記錄，然后 LDNS 再去找其他權(quán)威 DNS 問；如果該記錄是別名類型的，就回 CNAME，LDNS 就會(huì)再去解析別名。

　　遞歸 DNS：通常就是 LDNS，它接受終端的域名查詢請求，負(fù)責(zé)在網(wǎng)上問一圈后，將答案返回終端。

　　現(xiàn)在舉一個(gè)具體的例子：比如終端請求 www.baidu.com 這個(gè)域名的 IP。

　　在沒有緩存時(shí)，LDNS 會(huì)從根 DNS 問起：

　　1、LDNS 問根 DNS 說：“www.baidu.com 的 IP 是多少啊？”。

　　2、根 DNS 說：“我哪有時(shí)間管你這么細(xì)的問題，你去問 com 頂級(jí)域的 DNS 吧，我只管到頂級(jí)域，喏，這些是 com 頂級(jí)域 DNS 的名字和 IP，你去問它們吧”。（以 NS 記錄回應(yīng)）

　　3、LDNS 又忙問 com 的權(quán)威 DNS，com 權(quán)威 DNS 說：“你問的這是三級(jí)域名，我不管這么多，你去問 baidu.com 的權(quán)威 DNS 吧，它的名字是 ns.baidu.com，他的 IP 是 XXX（這里可能給出多個(gè)權(quán)威 DNS）”。

　　4、LDNS 繼續(xù)問 baidu.com 的權(quán)威 DNS，這次痛快，因?yàn)?www.baidu.com 正是它管的，它可能直接給出A記錄，也可能給出 CNAME 記錄，如果是前者，就直接得到 IP，如果是后者，就需要對別名再做查詢。

　　5、最終，LDNS 得到 www.baidu.com 的 IP，并將其返回給終端。

　　細(xì)心的人會(huì)問，在第 1 步中，LDNS 問根 DNS 的時(shí)候，他是怎么知道根 DNS 的 IP 的？

　　這 13 個(gè) IP 通常是預(yù)先配置在 LDNS 里面的。在 LDNS 初始化 DNS 緩存或者緩存失效的時(shí)候，LDNS 向自己被預(yù)先配置的這些 IP 中的一個(gè)，發(fā)起對根的查詢（也即詢問.的 NS 記錄），獲得最新的根 DNS 的信息⁶。

對于 DNS 服務(wù)器軟件而言，這 13 個(gè) IP，配置在根提示文件（root hints file）中，可能是 named.cache 或 root.ca 或 root.hints 等等之類的文件。

　　上面就是各種教科書中都會(huì)講到的 DNS 查詢過程，但實(shí)際上，沒有這么麻煩，因?yàn)楦鱾€(gè)層面都是有緩存的。

　　實(shí)際 DNS 查詢的過程，是這樣的：

　　舉個(gè)例子，比如用戶在瀏覽器中輸入這個(gè)域名：123.abc.qq.com.cn

　　1、瀏覽器會(huì)先看自身有沒有對這個(gè)域名的緩存，如果有，就直接返回，如果沒有，就去問操作系統(tǒng)，操作系統(tǒng)也會(huì)去看自己的緩存，如果有，就直接返回，如果沒有，再去 hosts 文件看，也沒有，才會(huì)去問 LDNS。

　　2、LDNS 會(huì)去先看看自己有沒有 123.abc.qq.com.cn 的A記錄，要有就直接返回，要沒有，就去看有沒有 abc.qq.com.cn 的 NS 記錄，如果有，就去問它要答案，如果沒有，就去看有無 qq.com.cn 的 NS 的記錄，如果有，就去問它，沒有就去看有無 com.cn 的 DNS，還沒有就去看有無 cn 的 DNS，如果連 cn 的 NS 記錄都沒有，才去問根。

　　所以，有了緩存以后，教科書上那種從根問起的情況，實(shí)際上很少發(fā)生。

　　只有在各處都沒有緩存的時(shí)候，我們才會(huì)問根。

　　根鏡像起什么作用？

　　根鏡像承擔(dān)起和根一樣的功能。

　　根 DNS 中，最重要的文件就是根區(qū)文件（Root Zone file）。所有頂級(jí)域名記錄都存在根區(qū)文件中。

　　輔根從主根同步數(shù)據(jù)，根鏡像從根同步數(shù)據(jù)。最終，所有根和鏡像都有著同樣的根區(qū)文件。

　　而且最有意思的是，根鏡像和根有著同樣的 IP。

　　我們知道，全球有一千多個(gè)根鏡像，但是大多數(shù)人不知道，它們一起共享 13 個(gè) IP！ 對的。因?yàn)橹挥?13 個(gè)根。

　　這是如何做到的？答案是任播（Anycast，又譯泛播）技術(shù)。

　　不關(guān)心技術(shù)細(xì)節(jié)的，請直接看本節(jié)的最后一句。

　　任播最初由 RFC1546 提出，主要用在 DNS 根服務(wù)器上。

任播是指在 IP 網(wǎng)絡(luò)上通過一個(gè) IP 地址標(biāo)識(shí)一組提供特定服務(wù)的主機(jī)，服務(wù)訪問方并不關(guān)心提供服務(wù)具體是哪一臺(tái)主機(jī)提供的，訪問該地址的報(bào)文可以被 IP 網(wǎng)絡(luò)路由到“最近”的一個(gè)（最好也只是一個(gè)，別送到多個(gè)）服務(wù)器上。這里“最近”可以是指路由器跳數(shù)、服務(wù)器負(fù)載、服務(wù)器吞吐量、客戶和服務(wù)器之間的往返時(shí)間（ RTT，round trip time ）、鏈路的可用帶寬等特征值。

　　這樣，一方面，用戶可以就近訪問；另一方面，即便部分根出現(xiàn)故障也沒事。

　　有些同學(xué)可能聯(lián)想到負(fù)載均衡，沒錯(cuò)，大致上就是這個(gè)意思。

　　對于中國用戶來說，對根的請求，一般不會(huì)跑到美國去，而是通過任播技術(shù)路由到中國境內(nèi)的根鏡像上。

　　根 DNS 是怎么管理的？

　　根 DNS 目前由 12 家機(jī)構(gòu)管理。A根是主根，由美國公司 Verisign 管理。

　　根 DNS 中最重要的文件，根區(qū)文件，由 ICANN 管理。

　　ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）是成立于 1998 年的一家注冊在美國的非營利性組織。

　　根 DNS 管理的歷史變遷過程還是比較復(fù)雜的。這里簡要說一下。

　　DNS 最初的技術(shù)開發(fā)者與管理者是美國南加州大學(xué)的 Jon Postel 博士，他掌管互聯(lián)網(wǎng)初期根 DNS 的管理和分配。

　　1988 年，美國政府要求 Jon Postel 采取更安全和更合理的措施來保證互聯(lián)網(wǎng)核心資源的分配和管理⁷。于是，大名鼎鼎的 IANA（The Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）被組建，并在 DARPA 和南加州大學(xué)信息科學(xué)研究所（ISI）的合同下管理。

IANA 負(fù)責(zé)互聯(lián)網(wǎng)全局編號(hào)和編碼的管理與協(xié)調(diào)，之所以需要這么個(gè)機(jī)構(gòu)，是因?yàn)榛ヂ?lián)網(wǎng)協(xié)議的值或參數(shù)，必須是全球唯一的，否則無法互聯(lián)互通，比如 HTTP 協(xié)議默認(rèn)都在 80 端口等待用戶請求，而 404 編碼則一致代表"未找到頁面”。IANA 主要職責(zé)包括 IP 地址段的分配、協(xié)議代碼和編號(hào)的分配（如協(xié)議號(hào)、端口號(hào)）、自治系統(tǒng)編號(hào) (ASN) 分配、DNS 根區(qū)管理（包括通用頂級(jí)域名 gTLD 以及國家和地區(qū)頂級(jí)域名 ccTLD 管理）等。⁸

　　1998 年 ICANN 成立之后，美國商務(wù)部以合同形式，委托 ICANN 承擔(dān) IANA 日常運(yùn)行，IANA 從 ISI 轉(zhuǎn)移到 ICANN 之下。

　　對于頂級(jí)域名的管理，ICANN 的政策是，每個(gè)頂級(jí)域名（像 com、cn、org 這種頂級(jí)域名，目前有 1000 多個(gè)）都找一個(gè)托管商，該域名的所有事項(xiàng)都由托管商負(fù)責(zé)。

　　.cn 域名的托管商是中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC），它決定 .cn 域名的各種政策。

　　.com、.net 、.name、.gov 這四個(gè)頂級(jí)域名都由 Verisign 公司托管。

　　Verisign 和 ICANN 還是鬧過幾次不愉快的。⁹

2003 年，Verisign 推出了一項(xiàng)新業(yè)務(wù) Site Finder，用戶訪問沒有注冊過的 .com 或 .net 域名，都會(huì)被導(dǎo)向 Verisign 的網(wǎng)站。這意味著，它事實(shí)上擁有了所有沒有注冊過的 .com 和 .net 域名。幾天之內(nèi)，Verisign 就擠入了全世界的前 10 大網(wǎng)站。

ICANN 要求 Verisign 立刻停止該業(yè)務(wù)，否則將終止域名托管合同。Verisign 屈服了，停止了這項(xiàng)業(yè)務(wù)，但是接著就把 ICANN 告上了法庭，要求法庭厘請兩者之間的合同，ICANN 到底有沒有權(quán)力干涉它的業(yè)務(wù)。

2006 年底，他們達(dá)成了庭外和解。ICANN 同意延長 Verisign 的頂級(jí)域名托管合同，并且同意 Verisign 向消費(fèi)者收取的單個(gè)域名注冊費(fèi)的上限，從 6 美元提高到了 7.85 美元。這個(gè)費(fèi)用標(biāo)準(zhǔn)，一直沿用到了今天，你去注冊一個(gè) .com 或 .net 域名，所交的錢有 0.18 美元是 ICANN 收取的管理費(fèi)，7.85 美元是 Verisign 收取的托管費(fèi)，其余的錢就是域名零售商的費(fèi)用。

　　雖然是 ICANN 運(yùn)營著 IANA，但畢竟是在美國政府的合同管理之下，全球各國以及民間人士頗有微詞，一致認(rèn)為美國政府應(yīng)該徹底退出。

　　2014 年 3 月 14 日，美國商務(wù)部國家通訊與信息管理局（NTIA）宣布愿意將 IANA 的管理權(quán)完全移交給 ICANN，并要求 ICANN 制定移交計(jì)劃。NTIA 尤其強(qiáng)調(diào)，移交計(jì)劃要強(qiáng)化多利益相關(guān)方模式，不能以政府間組織或政府領(lǐng)導(dǎo)的組織取代當(dāng)前 NTIA 扮演的角色。

　　2016 年 3 月 17 日，ICANN 向 NTIA 提交了移交計(jì)劃。2016 年 6 月 9 日，NTIA 公布審核意見，表示 ICANN 提交的移交計(jì)劃滿足了此前設(shè)定的條件。

　　2016 年 8 月 16 日，NTIA 宣布不再延期現(xiàn)有合同。

　　雖然遇到一些阻撓¹⁰，最終，2016 年 10 月 1 日，ICANN 和美國商務(wù)部之間關(guān)于 IANA 職能的合同到期且不再續(xù)約，ICANN 徹底成為獨(dú)立的非營利機(jī)構(gòu)。IANA 部門的員工和其他的相關(guān)資源都被轉(zhuǎn)移到 ICANN 新設(shè)立的附屬機(jī)構(gòu) PTI（Public Technical Identifiers，公共技術(shù)標(biāo)識(shí)符）中。

　　ICANN 使用全球多利益相關(guān)方治理模型（global multistakeholder governance model）進(jìn)行管理。PTI 董事會(huì)共 5 席，3 席由 ICANN 委派，2 席由全球互聯(lián)網(wǎng)社群代表組成提名委員會(huì)產(chǎn)生。2017 年 2 月，ICANN 發(fā)布 PTI 董事競選公告，經(jīng)半年多輪面試及背景調(diào)查，提名委員會(huì)于 2017 年 10 月 26 日宣布我國北龍中網(wǎng)的王偉與另一歐洲代表中選。又經(jīng)一個(gè)半月的利益沖突審查，2017 年 12 月 13 日 ICANN 董事會(huì)正式確認(rèn)王偉當(dāng)選。¹¹

　　我國的根鏡像由誰管理？

　　從目前我所找到的資料看，自 2003 年以來，我國在不斷引進(jìn)根鏡像，尤其是去年，根鏡像個(gè)數(shù)增速很快。

　　2003 年，中國電信引入了國內(nèi)第一個(gè)根鏡像節(jié)點(diǎn)（F根）。

　　2005 年，I根服務(wù)器運(yùn)行機(jī)構(gòu)在 CNNIC 設(shè)立了中國第二個(gè)根鏡像（I根）。

　　2006 年，中國聯(lián)通(原中國網(wǎng)通)與美國 VeriSign 公司合作， 在國內(nèi)正式開通J根鏡像服務(wù)器，同時(shí)引入了全球最大的兩個(gè)頂級(jí)域名 “.COM”和“.NET”鏡像節(jié)點(diǎn)；引進(jìn)這些鏡像的主要目的是提高根域名和頂級(jí)域名的解析性能。

　　2014 年，世紀(jì)互聯(lián)與 ICANN 合作在中國增設(shè)L根域名服務(wù)器鏡像。

　　2019 年 6 月 24 日，工信部批準(zhǔn) CNNIC 設(shè)立六臺(tái)域名根鏡像服務(wù)器（F、I、K、L）。這六臺(tái)域名根服務(wù)器編號(hào)為 JX0001F、JX0002F、JX0003I、JX0004K、JX0005L 和 JX0006L¹²，并批準(zhǔn)互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）設(shè)立L根鏡像服務(wù)器 JX0007L¹³。

　　2019 年 11 月 6 日，工信部批復(fù)同意中國信息通信研究院設(shè)立L根鏡像服務(wù)器，編號(hào)分別為 JX0008L、JX0009L。

　　2019 年 12 月 5 日，工信部批復(fù)同意中國信息通信研究院設(shè)立域名根服務(wù)器（K根鏡像服務(wù)器），編號(hào)為 JX0010K。

　　2019 年 12 月 9 日，工信部批復(fù)同意 CNNIC 設(shè)立域名根服務(wù)器（J、K根鏡像服務(wù)器），編號(hào)分別為 JX0011J、JX0012K。

　　從工信部的批文中可以了解到，相關(guān)單位負(fù)責(zé)根鏡像的運(yùn)行、維護(hù)和管理工作，維護(hù)國家利益和用戶權(quán)益，并接受工信部的管理和監(jiān)督檢查。

工信部在給 CNNIC 的批文中寫道：“你中心應(yīng)嚴(yán)格遵守《互聯(lián)網(wǎng)域名管理辦法》《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》及相關(guān)法律法規(guī)、行政規(guī)章及行業(yè)管理規(guī)定，接受我部的管理和監(jiān)督檢查，建立符合我部要求的信息管理系統(tǒng)并與我部指定的管理系統(tǒng)對接，保證域名根服務(wù)器安全、可靠運(yùn)行，為用戶提供安全、方便的域名服務(wù)，保障服務(wù)質(zhì)量，保護(hù)用戶個(gè)人信息安全，維護(hù)國家利益和用戶權(quán)益。”

　　美國能對根 DNS 做什么手腳？

　　雖然 ICANN 是一個(gè)獨(dú)立的非營利性機(jī)構(gòu)，但如果美國政府動(dòng)用強(qiáng)制力量，A根（主根）的內(nèi)容仍然存在被篡改的可能。

　　也就是根區(qū)文件可以被篡改。

　　會(huì)怎么篡改？

　　我們先看看根區(qū)文件長什么樣。

　　從 ICANN 官網(wǎng)上可以下載根區(qū)文件：

　　https://www.iana.org/domains/root/files

該文件保存所有頂級(jí)域名的信息，目前大小為 2.2M，2 萬余行。

每當(dāng)有頂級(jí)域名的變動(dòng)時(shí)，該文件就會(huì)更新。

　　我們可以看到，和 cn 域名解析相關(guān)的記錄也就那么幾十行。

　　如果刪除和 cn 相關(guān)的那些行，很快，就會(huì)同步到所有的根中。

　　然后，在所有的緩存都過期之后，全球所有人都訪問不了 .cn 后綴的網(wǎng)站。

　　如何應(yīng)對？

　　因?yàn)槲覀兙S護(hù)著根鏡像，所以我們控制著鏡像中的內(nèi)容。

　　而中國境內(nèi)的對根的訪問，通過我們的運(yùn)營商，都會(huì)落到對我國根鏡像的訪問上。

　　我們可以不同步關(guān)于 cn 的修改。

　　就這么簡單。

　　可以簡單寫個(gè)程序，每次同步完立刻加上 cn 記錄。

　　也可以自己搭個(gè)主根，完全不和美國的根同步。（相當(dāng)于另立中央了）

　　當(dāng)然，世界各地不在我們管理之下的根和根鏡像，如果不加行動(dòng)，仍然會(huì)同步這些刪除。

　　那么，除了中國自己，其他國家的人都無法訪問 .cn 網(wǎng)站。

　　但是，這些國家很快就會(huì)有響應(yīng)，凡是想訪問 .cn 網(wǎng)站的國家，都會(huì)把 cn 記錄加回去，并拒絕同步美國刪去的這幾行。

　　最終，只有美國人，訪問不了 .cn 網(wǎng)站。

　　綜上分析，我認(rèn)為美國這么做的可能性不大，因?yàn)檫@一招過于低劣，將會(huì)讓美國政府完全顏面掃地，并失去今后在互聯(lián)網(wǎng)領(lǐng)域的任何話語權(quán)。而 ICANN 也將失去公信力，整個(gè)互聯(lián)網(wǎng)世界，會(huì)推選使用新的機(jī)構(gòu)和新的主根。

　　因?yàn)榛ヂ?lián)網(wǎng)世界的一貫準(zhǔn)則就是：如有封禁，就繞過它。

　　后記

　　最后，我們看看本文開頭所提的兩個(gè)斷網(wǎng)事件是怎么回事：

　　關(guān)于伊拉克域名事件，可以看看清華大學(xué)段海新教授的文章：“伊拉克域名 .IQ 被美國刪除的背后以及早期的根域名管理”，里面把整個(gè)事件的來龍去脈說的很清楚。主要原因是 .iq 域名的前任管理者于 2002 年被關(guān)進(jìn)監(jiān)獄，新任管理者（NCMC）于 2005 年才提出申請，而 IANA 當(dāng)時(shí)還考慮征求新舊代理雙方對新授權(quán)的一致認(rèn)可，所以才出現(xiàn)了所謂的“申請和解析工作被終止”。

　　關(guān)于利比亞域名事件，可以看看此文：“利比亞國家頂級(jí)域名（.LY）中止服務(wù)始末”，事實(shí)情況是參與運(yùn)營 .LY 的兩家機(jī)構(gòu)因爭奪歸屬權(quán)而內(nèi)斗的結(jié)果（其中一方關(guān)閉了 .LY 域名服務(wù)器的解析）。經(jīng)過這番變亂，2004 年 10 月，ICANN 批準(zhǔn)將 .LY 授予利比亞郵電總公司，.LY 事件算是塵埃落定。

　　本文中提到的風(fēng)險(xiǎn)和應(yīng)對，主要是我個(gè)人的分析，下面看看業(yè)內(nèi)專家的說法。

　　中國工程院院士、清華大學(xué)計(jì)算機(jī)系主任吳建平在 2019 年的一次訪談¹⁴中表示，DNS 根域名服務(wù)器不是互聯(lián)網(wǎng)的“核按鈕”。全球互聯(lián)網(wǎng)根域名服務(wù)器運(yùn)行者，不可能同時(shí)關(guān)閉所有的根服務(wù)器，包括影子服務(wù)器。

　　互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）主任毛偉表示¹⁵：互聯(lián)網(wǎng)專家一直都在不斷完善域名根系統(tǒng)安全保障機(jī)制，就算真的斷“根”了，也有應(yīng)急方法來解決。在境內(nèi)，可以采用根區(qū)數(shù)據(jù)備份并搭建應(yīng)急根服務(wù)器來解決；在全球?qū)用妫梢杂酶R像、IPv6 環(huán)境下的根服務(wù)器數(shù)量擴(kuò)展、根服務(wù)器運(yùn)行機(jī)構(gòu)備選機(jī)制等方法來解決。

　　現(xiàn)在，了解了這么多，關(guān)于根域名服務(wù)器，你是不是放心了很多。

　　參考文獻(xiàn)：

---

1. 從網(wǎng)絡(luò)大國走向網(wǎng)絡(luò)強(qiáng)國(http://opinion.people.com.cn/n/2014/0624/c1003-25189448.html)

2. 美國網(wǎng)絡(luò)霸權(quán)淺析(http://www.wanfangdata.com.cn/details/detail.do?_type=perio&id=xxaqytxbm201410030)

3. 為什么域名根服務(wù)器只能有 13 臺(tái)呢？(https://www.zhihu.com/question/22587247)

4. Why 13 DNS root servers?(https://miek.nl/2013/november/10/why-13-dns-root-servers/)

5. https://root-servers.org

6. Initializing a DNS Resolver with Priming Queries (https://tools.ietf.org/html/draft-ietf-dnsop-resolver-priming-11)

7. 薛虹：互聯(lián)網(wǎng)全球治理的新篇章(https://zhuanlan.zhihu.com/p/23042167)

8. ICANN: IANA 職能(https://www.icann.org/zh/system/files/files/iana-functions-18dec15-zh.pdf)

9. 阮一峰：根域名的知識(shí)

10. 徐培喜：IANA 職能管理權(quán)移交誰是贏家

11. 北龍中網(wǎng)王偉任職 PTI 董事我國專家就任國際互聯(lián)網(wǎng)治理關(guān)鍵崗位(http://news.sina.com.cn/c/2017-12-25/doc-ifypwzxq6350205.shtml)

12. 工業(yè)和信息化部關(guān)于同意中國互聯(lián)網(wǎng)絡(luò)信息中心設(shè)立域名根服務(wù)器（F、I、K、L根鏡像服務(wù)器）及域名根服務(wù)器運(yùn)行機(jī)構(gòu)的批復(fù)(http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015545/content.html)

13. 工業(yè)和信息化部關(guān)于同意互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心有限公司設(shè)立域名根服務(wù)器（L根鏡像服務(wù)器）及域名根服務(wù)器運(yùn)行機(jī)構(gòu)的批復(fù)(http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015527/content.html)

14. 中國工程院院士吳建平：DNS 根服務(wù)器不是互聯(lián)網(wǎng)的核按鈕！

15. ZDNS 毛偉：互聯(lián)網(wǎng)根并不能讓中國斷網(wǎng)，更應(yīng)重視企業(yè)域名服務(wù)風(fēng)險(xiǎn)

總結(jié)

以上是生活随笔為你收集整理的美国如果把根域名服务器封了，中国会从网络上消失？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。