以下文章來(lái)源于微月人話，作者衛(wèi) sir

　　自從美國(guó)宣布“清潔網(wǎng)絡(luò)”行動(dòng)后，很多懂點(diǎn)網(wǎng)絡(luò)的人，第一反應(yīng)是，美國(guó)人會(huì)下手根域名服務(wù)器嗎？

　　這種憂慮可不是一年兩年了。

　　2014 年 6 月 24 日的《人民日?qǐng)?bào)》上引用專家發(fā)言：“目前美國(guó)掌握著全球互聯(lián)網(wǎng) 13 臺(tái)域名根服務(wù)器中的 10 臺(tái)。理論上，只要在根服務(wù)器上屏蔽該國(guó)家域名，就能讓這個(gè)國(guó)家的國(guó)家頂級(jí)域名網(wǎng)站在網(wǎng)絡(luò)上瞬間“消失”。在這個(gè)意義上，美國(guó)具有全球獨(dú)一無(wú)二的制網(wǎng)權(quán)，有能力威懾他國(guó)的網(wǎng)絡(luò)邊疆和網(wǎng)絡(luò)主權(quán)。譬如，伊拉克戰(zhàn)爭(zhēng)期間，在美國(guó)政府授意下，伊拉克頂級(jí)域名“.iq”的申請(qǐng)和解析工作被終止，所有網(wǎng)址以“.iq”為后綴的網(wǎng)站從互聯(lián)網(wǎng)蒸發(fā)。”¹

　　《信息安全與通信保密》雜志 2014 年第 10 期的一篇文章寫道：“2004 年，由于與利比亞在頂級(jí)域名管理權(quán)問(wèn)題上發(fā)生爭(zhēng)執(zhí)，美國(guó)終止了利比亞的頂級(jí)域名 .LY 的解析服務(wù)，導(dǎo)致利比亞從網(wǎng)絡(luò)中消失 3 天。”²

　　對(duì)此，我們需要害怕嗎？我們需要什么樣的反制措施？

　　不是專家，還真回答不了這個(gè)問(wèn)題。

　　因?yàn)檫@需要了解 DNS 的工作原理，了解根域名的管理機(jī)制。

　　這里先給出簡(jiǎn)要回答：不排除這種可能性，但并不是沒(méi)有辦法。

　　一句話原因：雖然根不在我們手里，但我們有鏡像。

　　DNS 傻瓜書

　　先了解點(diǎn)基本概念，懂 DNS 的可以直接跳過(guò)本節(jié)。

　　1、DNS 是什么？

　　DNS 就是將域名轉(zhuǎn)換為 IP 的，因?yàn)槲覀內(nèi)祟惖挠洃浟μ睿居洸蛔?IP，而電腦通信又必須用 IP，所以人類發(fā)明了域名，讓我們可以記住 baidu.com、taobao.com 這種還算能記得住的域名。然后通過(guò) DNS，將這些域名轉(zhuǎn)換為電腦需要的 IP。

　　2、DNS 是怎么工作的？

　　每個(gè)電腦里面都設(shè)置了本地 DNS 服務(wù)器（簡(jiǎn)稱 LDNS），需要的時(shí)候，就向 LDNS 發(fā)出請(qǐng)求，LDNS 在網(wǎng)上問(wèn)權(quán)威域名服務(wù)器（簡(jiǎn)稱權(quán)威 DNS），有時(shí)候問(wèn)一家是不夠的，要問(wèn)一大圈下來(lái)，最后才能得到答案。

　　3、權(quán)威 DNS 是干什么的？

　　問(wèn)我一個(gè)域名，我告訴你 IP，如果我不知道，我告訴你誰(shuí)可能知道，你再去問(wèn)它。

　　4、什么是根域名服務(wù)器（簡(jiǎn)稱根 DNS）？

　　當(dāng) LDNS 啥都不知道的時(shí)候（也即沒(méi)有任何緩存），就去問(wèn)根 DNS，根能告訴 LDNS 下一步該問(wèn)誰(shuí)。

　　5、全世界有多少根 DNS？

　　13 個(gè)，其中 10 個(gè)在美國(guó)，英國(guó)和瑞典各 1 個(gè)，日本 1 個(gè)。

　　6、根 DNS 的名字和 IP 都是什么？

　　在這個(gè)網(wǎng)址：

　　https://www.internic.net/domain/named.root

　　打開可以看到，里面有 13 個(gè)根的名字和 IP，其名字從A.root-servers.net 到M.root-servers.net。

　　A 開頭那個(gè)簡(jiǎn)稱A根，是主根，其他 12 個(gè)（B、C、D、E、F、G、H、I、J、K、L、M）是輔根。

　　為什么根 DNS 只有 13 臺(tái)？

　　本節(jié)看不懂沒(méi)關(guān)系（一般人都看不懂），你只需要知道，由于歷史原因和技術(shù)原因，對(duì)于 IPv4 而言，根 DNS 只能有 13 個(gè) IP。

　　正宗答案是：DNS 主要使用 UDP 數(shù)據(jù)報(bào)傳送報(bào)文，不含前面的各種頭部，DNS 報(bào)文要求被控制在 512 字節(jié)之內(nèi)（ RFC1035 ），主要考慮是這個(gè)大小幾乎可以在互聯(lián)網(wǎng)上暢通無(wú)阻，不會(huì)因?yàn)槁窂街心硞€(gè) MTU 太小（ MTU 通常總會(huì) >= 576，見 RFC791 ）而導(dǎo)致 IP 分片，從而預(yù)防了各種不可預(yù)期的后果³。

　　而每一個(gè)根 DNS 在 DNS 報(bào)文中都要占用一定的字節(jié)數(shù)，比如根的名稱、TTL、IP 地址等。這樣，13 個(gè)根域名服務(wù)器基本上就把空間占差不多了，剩余的字節(jié)還要用于包裝 DNS 報(bào)頭以及其它協(xié)議參數(shù)，所以根域名服務(wù)器不易太多，13 個(gè)算是比較合適的數(shù)目。具體可以看一下“Why 13 DNS root servers?”這篇文章。⁴

　　真的只有 13 臺(tái)服務(wù)器嗎？

　　和很多人想象的完全不一樣，這 13 個(gè)根域名服務(wù)器，并不是只有 13 臺(tái)物理的服務(wù)器。

　　這 13 個(gè)根，只是一個(gè)邏輯上的概念，每個(gè)根 DNS，背后都有多臺(tái)真正的物理服務(wù)器在工作！

　　截至 2020 年 8 月 12 日，全球一共有 1097 個(gè)根服務(wù)器。每一個(gè)根都有若干個(gè)鏡像，分布在全球不同的地方。

這個(gè)數(shù)目在不斷上漲，去年 10 月 1 日新中國(guó)成立 70 周年閱兵的時(shí)候，我看了一下，是 1015 個(gè)服務(wù)器。

這 13 個(gè)根由 12 個(gè)獨(dú)立的機(jī)構(gòu)管理，比如A根和J根都是由 Verisign 公司管理，截至 2020 年 8 月 12 日，A根在全球各地有 53 個(gè)站點(diǎn)，J根有 185 個(gè)站點(diǎn)。L根由 ICANN 管理，全球有 167 個(gè)站點(diǎn)，其中北京 2 個(gè)，上海 1 個(gè)。

　　在 root-servers 網(wǎng)站上⁵，可以查到所有這些根服務(wù)器的分布，從網(wǎng)站展示的根鏡像服務(wù)器地圖上看（2020 年 8 月 12 日），北京有 5 個(gè)根鏡像服務(wù)器，上海 1 個(gè)，杭州 2 個(gè)，武漢 1 個(gè)、鄭州 1 個(gè)、西寧 1 個(gè)、貴陽(yáng) 1 個(gè)、廣州 1 個(gè)、香港 9 個(gè)，臺(tái)北 6 個(gè)。

　　包含港澳臺(tái)部分，我國(guó)一共有 28 個(gè)根鏡像。

　　我國(guó)境內(nèi)發(fā)出的對(duì)根 DNS 的請(qǐng)求，其實(shí)都由鏡像完成了。這一點(diǎn)后面會(huì)解釋。

　　現(xiàn)在，為了增長(zhǎng)知識(shí)，你該硬著頭皮看一些 DNS 細(xì)節(jié)了。

　　DNS 到底是怎么工作的？

　　對(duì)于 IT 從業(yè)者，希望你能理解并牢牢記住本節(jié)的內(nèi)容。

　　因?yàn)槟氵t早會(huì)遇到有關(guān) DNS 的困惑。

　　先介紹一下域名的級(jí)別：

　　.代表根域名， .com 這種是頂級(jí)域名，也叫一級(jí)域名，baidu.com 這種叫二級(jí)域名， www.baidu.com 這種叫三級(jí)域名，依次類推。

　　注：也有其他叫法的，反正你知道這個(gè)意思就可以了。

　　再介紹一下最常見的兩種域名服務(wù)器：

　　權(quán)威 DNS：負(fù)責(zé)對(duì)請(qǐng)求作出權(quán)威的回答。權(quán)威 DNS 中存儲(chǔ)著記錄，最常見的 3 種：A記錄（記錄某域名和其 IP 的對(duì)應(yīng)），NS 記錄（記錄某域名和負(fù)責(zé)解析該域的權(quán)威 DNS），CNAME 記錄（負(fù)責(zé)記錄某域名及其別名）。權(quán)威能直接回答的，就回A記錄；需要其他權(quán)威 DNS 回答的，就回 NS 記錄，然后 LDNS 再去找其他權(quán)威 DNS 問(wèn)；如果該記錄是別名類型的，就回 CNAME，LDNS 就會(huì)再去解析別名。

　　遞歸 DNS：通常就是 LDNS，它接受終端的域名查詢請(qǐng)求，負(fù)責(zé)在網(wǎng)上問(wèn)一圈后，將答案返回終端。

　　現(xiàn)在舉一個(gè)具體的例子：比如終端請(qǐng)求 www.baidu.com 這個(gè)域名的 IP。

　　在沒(méi)有緩存時(shí)，LDNS 會(huì)從根 DNS 問(wèn)起：

　　1、LDNS 問(wèn)根 DNS 說(shuō)：“www.baidu.com 的 IP 是多少啊？”。

　　2、根 DNS 說(shuō)：“我哪有時(shí)間管你這么細(xì)的問(wèn)題，你去問(wèn) com 頂級(jí)域的 DNS 吧，我只管到頂級(jí)域，喏，這些是 com 頂級(jí)域 DNS 的名字和 IP，你去問(wèn)它們吧”。（以 NS 記錄回應(yīng)）

　　3、LDNS 又忙問(wèn) com 的權(quán)威 DNS，com 權(quán)威 DNS 說(shuō)：“你問(wèn)的這是三級(jí)域名，我不管這么多，你去問(wèn) baidu.com 的權(quán)威 DNS 吧，它的名字是 ns.baidu.com，他的 IP 是 XXX（這里可能給出多個(gè)權(quán)威 DNS）”。

　　4、LDNS 繼續(xù)問(wèn) baidu.com 的權(quán)威 DNS，這次痛快，因?yàn)?www.baidu.com 正是它管的，它可能直接給出A記錄，也可能給出 CNAME 記錄，如果是前者，就直接得到 IP，如果是后者，就需要對(duì)別名再做查詢。

　　5、最終，LDNS 得到 www.baidu.com 的 IP，并將其返回給終端。

　　細(xì)心的人會(huì)問(wèn)，在第 1 步中，LDNS 問(wèn)根 DNS 的時(shí)候，他是怎么知道根 DNS 的 IP 的？

　　這 13 個(gè) IP 通常是預(yù)先配置在 LDNS 里面的。在 LDNS 初始化 DNS 緩存或者緩存失效的時(shí)候，LDNS 向自己被預(yù)先配置的這些 IP 中的一個(gè)，發(fā)起對(duì)根的查詢（也即詢問(wèn).的 NS 記錄），獲得最新的根 DNS 的信息⁶。

對(duì)于 DNS 服務(wù)器軟件而言，這 13 個(gè) IP，配置在根提示文件（root hints file）中，可能是 named.cache 或 root.ca 或 root.hints 等等之類的文件。

　　上面就是各種教科書中都會(huì)講到的 DNS 查詢過(guò)程，但實(shí)際上，沒(méi)有這么麻煩，因?yàn)楦鱾€(gè)層面都是有緩存的。

　　實(shí)際 DNS 查詢的過(guò)程，是這樣的：

　　舉個(gè)例子，比如用戶在瀏覽器中輸入這個(gè)域名：123.abc.qq.com.cn

　　1、瀏覽器會(huì)先看自身有沒(méi)有對(duì)這個(gè)域名的緩存，如果有，就直接返回，如果沒(méi)有，就去問(wèn)操作系統(tǒng)，操作系統(tǒng)也會(huì)去看自己的緩存，如果有，就直接返回，如果沒(méi)有，再去 hosts 文件看，也沒(méi)有，才會(huì)去問(wèn) LDNS。

　　2、LDNS 會(huì)去先看看自己有沒(méi)有 123.abc.qq.com.cn 的A記錄，要有就直接返回，要沒(méi)有，就去看有沒(méi)有 abc.qq.com.cn 的 NS 記錄，如果有，就去問(wèn)它要答案，如果沒(méi)有，就去看有無(wú) qq.com.cn 的 NS 的記錄，如果有，就去問(wèn)它，沒(méi)有就去看有無(wú) com.cn 的 DNS，還沒(méi)有就去看有無(wú) cn 的 DNS，如果連 cn 的 NS 記錄都沒(méi)有，才去問(wèn)根。

　　所以，有了緩存以后，教科書上那種從根問(wèn)起的情況，實(shí)際上很少發(fā)生。

　　只有在各處都沒(méi)有緩存的時(shí)候，我們才會(huì)問(wèn)根。

　　根鏡像起什么作用？

　　根鏡像承擔(dān)起和根一樣的功能。

　　根 DNS 中，最重要的文件就是根區(qū)文件（Root Zone file）。所有頂級(jí)域名記錄都存在根區(qū)文件中。

　　輔根從主根同步數(shù)據(jù)，根鏡像從根同步數(shù)據(jù)。最終，所有根和鏡像都有著同樣的根區(qū)文件。

　　而且最有意思的是，根鏡像和根有著同樣的 IP。

　　我們知道，全球有一千多個(gè)根鏡像，但是大多數(shù)人不知道，它們一起共享 13 個(gè) IP！ 對(duì)的。因?yàn)橹挥?13 個(gè)根。

　　這是如何做到的？答案是任播（Anycast，又譯泛播）技術(shù)。

　　不關(guān)心技術(shù)細(xì)節(jié)的，請(qǐng)直接看本節(jié)的最后一句。

　　任播最初由 RFC1546 提出，主要用在 DNS 根服務(wù)器上。

任播是指在 IP 網(wǎng)絡(luò)上通過(guò)一個(gè) IP 地址標(biāo)識(shí)一組提供特定服務(wù)的主機(jī)，服務(wù)訪問(wèn)方并不關(guān)心提供服務(wù)具體是哪一臺(tái)主機(jī)提供的，訪問(wèn)該地址的報(bào)文可以被 IP 網(wǎng)絡(luò)路由到“最近”的一個(gè)（最好也只是一個(gè)，別送到多個(gè)）服務(wù)器上。這里“最近”可以是指路由器跳數(shù)、服務(wù)器負(fù)載、服務(wù)器吞吐量、客戶和服務(wù)器之間的往返時(shí)間（ RTT，round trip time ）、鏈路的可用帶寬等特征值。

　　這樣，一方面，用戶可以就近訪問(wèn)；另一方面，即便部分根出現(xiàn)故障也沒(méi)事。

　　有些同學(xué)可能聯(lián)想到負(fù)載均衡，沒(méi)錯(cuò)，大致上就是這個(gè)意思。

　　對(duì)于中國(guó)用戶來(lái)說(shuō)，對(duì)根的請(qǐng)求，一般不會(huì)跑到美國(guó)去，而是通過(guò)任播技術(shù)路由到中國(guó)境內(nèi)的根鏡像上。

　　根 DNS 是怎么管理的？

　　根 DNS 目前由 12 家機(jī)構(gòu)管理。A根是主根，由美國(guó)公司 Verisign 管理。

　　根 DNS 中最重要的文件，根區(qū)文件，由 ICANN 管理。

　　ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）是成立于 1998 年的一家注冊(cè)在美國(guó)的非營(yíng)利性組織。

　　根 DNS 管理的歷史變遷過(guò)程還是比較復(fù)雜的。這里簡(jiǎn)要說(shuō)一下。

　　DNS 最初的技術(shù)開發(fā)者與管理者是美國(guó)南加州大學(xué)的 Jon Postel 博士，他掌管互聯(lián)網(wǎng)初期根 DNS 的管理和分配。

　　1988 年，美國(guó)政府要求 Jon Postel 采取更安全和更合理的措施來(lái)保證互聯(lián)網(wǎng)核心資源的分配和管理⁷。于是，大名鼎鼎的 IANA（The Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）被組建，并在 DARPA 和南加州大學(xué)信息科學(xué)研究所（ISI）的合同下管理。

IANA 負(fù)責(zé)互聯(lián)網(wǎng)全局編號(hào)和編碼的管理與協(xié)調(diào)，之所以需要這么個(gè)機(jī)構(gòu)，是因?yàn)榛ヂ?lián)網(wǎng)協(xié)議的值或參數(shù)，必須是全球唯一的，否則無(wú)法互聯(lián)互通，比如 HTTP 協(xié)議默認(rèn)都在 80 端口等待用戶請(qǐng)求，而 404 編碼則一致代表"未找到頁(yè)面”。IANA 主要職責(zé)包括 IP 地址段的分配、協(xié)議代碼和編號(hào)的分配（如協(xié)議號(hào)、端口號(hào)）、自治系統(tǒng)編號(hào) (ASN) 分配、DNS 根區(qū)管理（包括通用頂級(jí)域名 gTLD 以及國(guó)家和地區(qū)頂級(jí)域名 ccTLD 管理）等。⁸

　　1998 年 ICANN 成立之后，美國(guó)商務(wù)部以合同形式，委托 ICANN 承擔(dān) IANA 日常運(yùn)行，IANA 從 ISI 轉(zhuǎn)移到 ICANN 之下。

　　對(duì)于頂級(jí)域名的管理，ICANN 的政策是，每個(gè)頂級(jí)域名（像 com、cn、org 這種頂級(jí)域名，目前有 1000 多個(gè)）都找一個(gè)托管商，該域名的所有事項(xiàng)都由托管商負(fù)責(zé)。

　　.cn 域名的托管商是中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC），它決定 .cn 域名的各種政策。

　　.com、.net 、.name、.gov 這四個(gè)頂級(jí)域名都由 Verisign 公司托管。

　　Verisign 和 ICANN 還是鬧過(guò)幾次不愉快的。⁹

2003 年，Verisign 推出了一項(xiàng)新業(yè)務(wù) Site Finder，用戶訪問(wèn)沒(méi)有注冊(cè)過(guò)的 .com 或 .net 域名，都會(huì)被導(dǎo)向 Verisign 的網(wǎng)站。這意味著，它事實(shí)上擁有了所有沒(méi)有注冊(cè)過(guò)的 .com 和 .net 域名。幾天之內(nèi)，Verisign 就擠入了全世界的前 10 大網(wǎng)站。

ICANN 要求 Verisign 立刻停止該業(yè)務(wù)，否則將終止域名托管合同。Verisign 屈服了，停止了這項(xiàng)業(yè)務(wù)，但是接著就把 ICANN 告上了法庭，要求法庭厘請(qǐng)兩者之間的合同，ICANN 到底有沒(méi)有權(quán)力干涉它的業(yè)務(wù)。

2006 年底，他們達(dá)成了庭外和解。ICANN 同意延長(zhǎng) Verisign 的頂級(jí)域名托管合同，并且同意 Verisign 向消費(fèi)者收取的單個(gè)域名注冊(cè)費(fèi)的上限，從 6 美元提高到了 7.85 美元。這個(gè)費(fèi)用標(biāo)準(zhǔn)，一直沿用到了今天，你去注冊(cè)一個(gè) .com 或 .net 域名，所交的錢有 0.18 美元是 ICANN 收取的管理費(fèi)，7.85 美元是 Verisign 收取的托管費(fèi)，其余的錢就是域名零售商的費(fèi)用。

　　雖然是 ICANN 運(yùn)營(yíng)著 IANA，但畢竟是在美國(guó)政府的合同管理之下，全球各國(guó)以及民間人士頗有微詞，一致認(rèn)為美國(guó)政府應(yīng)該徹底退出。

　　2014 年 3 月 14 日，美國(guó)商務(wù)部國(guó)家通訊與信息管理局（NTIA）宣布愿意將 IANA 的管理權(quán)完全移交給 ICANN，并要求 ICANN 制定移交計(jì)劃。NTIA 尤其強(qiáng)調(diào)，移交計(jì)劃要強(qiáng)化多利益相關(guān)方模式，不能以政府間組織或政府領(lǐng)導(dǎo)的組織取代當(dāng)前 NTIA 扮演的角色。

　　2016 年 3 月 17 日，ICANN 向 NTIA 提交了移交計(jì)劃。2016 年 6 月 9 日，NTIA 公布審核意見，表示 ICANN 提交的移交計(jì)劃滿足了此前設(shè)定的條件。

　　2016 年 8 月 16 日，NTIA 宣布不再延期現(xiàn)有合同。

　　雖然遇到一些阻撓¹⁰，最終，2016 年 10 月 1 日，ICANN 和美國(guó)商務(wù)部之間關(guān)于 IANA 職能的合同到期且不再續(xù)約，ICANN 徹底成為獨(dú)立的非營(yíng)利機(jī)構(gòu)。IANA 部門的員工和其他的相關(guān)資源都被轉(zhuǎn)移到 ICANN 新設(shè)立的附屬機(jī)構(gòu) PTI（Public Technical Identifiers，公共技術(shù)標(biāo)識(shí)符）中。

　　ICANN 使用全球多利益相關(guān)方治理模型（global multistakeholder governance model）進(jìn)行管理。PTI 董事會(huì)共 5 席，3 席由 ICANN 委派，2 席由全球互聯(lián)網(wǎng)社群代表組成提名委員會(huì)產(chǎn)生。2017 年 2 月，ICANN 發(fā)布 PTI 董事競(jìng)選公告，經(jīng)半年多輪面試及背景調(diào)查，提名委員會(huì)于 2017 年 10 月 26 日宣布我國(guó)北龍中網(wǎng)的王偉與另一歐洲代表中選。又經(jīng)一個(gè)半月的利益沖突審查，2017 年 12 月 13 日 ICANN 董事會(huì)正式確認(rèn)王偉當(dāng)選。¹¹

　　我國(guó)的根鏡像由誰(shuí)管理？

　　從目前我所找到的資料看，自 2003 年以來(lái)，我國(guó)在不斷引進(jìn)根鏡像，尤其是去年，根鏡像個(gè)數(shù)增速很快。

　　2003 年，中國(guó)電信引入了國(guó)內(nèi)第一個(gè)根鏡像節(jié)點(diǎn)（F根）。

　　2005 年，I根服務(wù)器運(yùn)行機(jī)構(gòu)在 CNNIC 設(shè)立了中國(guó)第二個(gè)根鏡像（I根）。

　　2006 年，中國(guó)聯(lián)通(原中國(guó)網(wǎng)通)與美國(guó) VeriSign 公司合作， 在國(guó)內(nèi)正式開通J根鏡像服務(wù)器，同時(shí)引入了全球最大的兩個(gè)頂級(jí)域名 “.COM”和“.NET”鏡像節(jié)點(diǎn)；引進(jìn)這些鏡像的主要目的是提高根域名和頂級(jí)域名的解析性能。

　　2014 年，世紀(jì)互聯(lián)與 ICANN 合作在中國(guó)增設(shè)L根域名服務(wù)器鏡像。

　　2019 年 6 月 24 日，工信部批準(zhǔn) CNNIC 設(shè)立六臺(tái)域名根鏡像服務(wù)器（F、I、K、L）。這六臺(tái)域名根服務(wù)器編號(hào)為 JX0001F、JX0002F、JX0003I、JX0004K、JX0005L 和 JX0006L¹²，并批準(zhǔn)互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）設(shè)立L根鏡像服務(wù)器 JX0007L¹³。

　　2019 年 11 月 6 日，工信部批復(fù)同意中國(guó)信息通信研究院設(shè)立L根鏡像服務(wù)器，編號(hào)分別為 JX0008L、JX0009L。

　　2019 年 12 月 5 日，工信部批復(fù)同意中國(guó)信息通信研究院設(shè)立域名根服務(wù)器（K根鏡像服務(wù)器），編號(hào)為 JX0010K。

　　2019 年 12 月 9 日，工信部批復(fù)同意 CNNIC 設(shè)立域名根服務(wù)器（J、K根鏡像服務(wù)器），編號(hào)分別為 JX0011J、JX0012K。

　　從工信部的批文中可以了解到，相關(guān)單位負(fù)責(zé)根鏡像的運(yùn)行、維護(hù)和管理工作，維護(hù)國(guó)家利益和用戶權(quán)益，并接受工信部的管理和監(jiān)督檢查。

工信部在給 CNNIC 的批文中寫道：“你中心應(yīng)嚴(yán)格遵守《互聯(lián)網(wǎng)域名管理辦法》《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》及相關(guān)法律法規(guī)、行政規(guī)章及行業(yè)管理規(guī)定，接受我部的管理和監(jiān)督檢查，建立符合我部要求的信息管理系統(tǒng)并與我部指定的管理系統(tǒng)對(duì)接，保證域名根服務(wù)器安全、可靠運(yùn)行，為用戶提供安全、方便的域名服務(wù)，保障服務(wù)質(zhì)量，保護(hù)用戶個(gè)人信息安全，維護(hù)國(guó)家利益和用戶權(quán)益。”

　　美國(guó)能對(duì)根 DNS 做什么手腳？

　　雖然 ICANN 是一個(gè)獨(dú)立的非營(yíng)利性機(jī)構(gòu)，但如果美國(guó)政府動(dòng)用強(qiáng)制力量，A根（主根）的內(nèi)容仍然存在被篡改的可能。

　　也就是根區(qū)文件可以被篡改。

　　會(huì)怎么篡改？

　　我們先看看根區(qū)文件長(zhǎng)什么樣。

　　從 ICANN 官網(wǎng)上可以下載根區(qū)文件：

　　https://www.iana.org/domains/root/files

該文件保存所有頂級(jí)域名的信息，目前大小為 2.2M，2 萬(wàn)余行。

每當(dāng)有頂級(jí)域名的變動(dòng)時(shí)，該文件就會(huì)更新。

　　我們可以看到，和 cn 域名解析相關(guān)的記錄也就那么幾十行。

　　如果刪除和 cn 相關(guān)的那些行，很快，就會(huì)同步到所有的根中。

　　然后，在所有的緩存都過(guò)期之后，全球所有人都訪問(wèn)不了 .cn 后綴的網(wǎng)站。

　　如何應(yīng)對(duì)？

　　因?yàn)槲覀兙S護(hù)著根鏡像，所以我們控制著鏡像中的內(nèi)容。

　　而中國(guó)境內(nèi)的對(duì)根的訪問(wèn)，通過(guò)我們的運(yùn)營(yíng)商，都會(huì)落到對(duì)我國(guó)根鏡像的訪問(wèn)上。

　　我們可以不同步關(guān)于 cn 的修改。

　　就這么簡(jiǎn)單。

　　可以簡(jiǎn)單寫個(gè)程序，每次同步完立刻加上 cn 記錄。

　　也可以自己搭個(gè)主根，完全不和美國(guó)的根同步。（相當(dāng)于另立中央了）

　　當(dāng)然，世界各地不在我們管理之下的根和根鏡像，如果不加行動(dòng)，仍然會(huì)同步這些刪除。

　　那么，除了中國(guó)自己，其他國(guó)家的人都無(wú)法訪問(wèn) .cn 網(wǎng)站。

　　但是，這些國(guó)家很快就會(huì)有響應(yīng)，凡是想訪問(wèn) .cn 網(wǎng)站的國(guó)家，都會(huì)把 cn 記錄加回去，并拒絕同步美國(guó)刪去的這幾行。

　　最終，只有美國(guó)人，訪問(wèn)不了 .cn 網(wǎng)站。

　　綜上分析，我認(rèn)為美國(guó)這么做的可能性不大，因?yàn)檫@一招過(guò)于低劣，將會(huì)讓美國(guó)政府完全顏面掃地，并失去今后在互聯(lián)網(wǎng)領(lǐng)域的任何話語(yǔ)權(quán)。而 ICANN 也將失去公信力，整個(gè)互聯(lián)網(wǎng)世界，會(huì)推選使用新的機(jī)構(gòu)和新的主根。

　　因?yàn)榛ヂ?lián)網(wǎng)世界的一貫準(zhǔn)則就是：如有封禁，就繞過(guò)它。

　　后記

　　最后，我們看看本文開頭所提的兩個(gè)斷網(wǎng)事件是怎么回事：

　　關(guān)于伊拉克域名事件，可以看看清華大學(xué)段海新教授的文章：“伊拉克域名 .IQ 被美國(guó)刪除的背后以及早期的根域名管理”，里面把整個(gè)事件的來(lái)龍去脈說(shuō)的很清楚。主要原因是 .iq 域名的前任管理者于 2002 年被關(guān)進(jìn)監(jiān)獄，新任管理者（NCMC）于 2005 年才提出申請(qǐng)，而 IANA 當(dāng)時(shí)還考慮征求新舊代理雙方對(duì)新授權(quán)的一致認(rèn)可，所以才出現(xiàn)了所謂的“申請(qǐng)和解析工作被終止”。

　　關(guān)于利比亞域名事件，可以看看此文：“利比亞國(guó)家頂級(jí)域名（.LY）中止服務(wù)始末”，事實(shí)情況是參與運(yùn)營(yíng) .LY 的兩家機(jī)構(gòu)因爭(zhēng)奪歸屬權(quán)而內(nèi)斗的結(jié)果（其中一方關(guān)閉了 .LY 域名服務(wù)器的解析）。經(jīng)過(guò)這番變亂，2004 年 10 月，ICANN 批準(zhǔn)將 .LY 授予利比亞郵電總公司，.LY 事件算是塵埃落定。

　　本文中提到的風(fēng)險(xiǎn)和應(yīng)對(duì)，主要是我個(gè)人的分析，下面看看業(yè)內(nèi)專家的說(shuō)法。

　　中國(guó)工程院院士、清華大學(xué)計(jì)算機(jī)系主任吳建平在 2019 年的一次訪談¹⁴中表示，DNS 根域名服務(wù)器不是互聯(lián)網(wǎng)的“核按鈕”。全球互聯(lián)網(wǎng)根域名服務(wù)器運(yùn)行者，不可能同時(shí)關(guān)閉所有的根服務(wù)器，包括影子服務(wù)器。

　　互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）主任毛偉表示¹⁵：互聯(lián)網(wǎng)專家一直都在不斷完善域名根系統(tǒng)安全保障機(jī)制，就算真的斷“根”了，也有應(yīng)急方法來(lái)解決。在境內(nèi)，可以采用根區(qū)數(shù)據(jù)備份并搭建應(yīng)急根服務(wù)器來(lái)解決；在全球?qū)用妫梢杂酶R像、IPv6 環(huán)境下的根服務(wù)器數(shù)量擴(kuò)展、根服務(wù)器運(yùn)行機(jī)構(gòu)備選機(jī)制等方法來(lái)解決。

　　現(xiàn)在，了解了這么多，關(guān)于根域名服務(wù)器，你是不是放心了很多。

　　參考文獻(xiàn)：

---

1. 從網(wǎng)絡(luò)大國(guó)走向網(wǎng)絡(luò)強(qiáng)國(guó)(http://opinion.people.com.cn/n/2014/0624/c1003-25189448.html)

2. 美國(guó)網(wǎng)絡(luò)霸權(quán)淺析(http://www.wanfangdata.com.cn/details/detail.do?_type=perio&id=xxaqytxbm201410030)

3. 為什么域名根服務(wù)器只能有 13 臺(tái)呢？(https://www.zhihu.com/question/22587247)

4. Why 13 DNS root servers?(https://miek.nl/2013/november/10/why-13-dns-root-servers/)

5. https://root-servers.org

6. Initializing a DNS Resolver with Priming Queries (https://tools.ietf.org/html/draft-ietf-dnsop-resolver-priming-11)

7. 薛虹：互聯(lián)網(wǎng)全球治理的新篇章(https://zhuanlan.zhihu.com/p/23042167)

8. ICANN: IANA 職能(https://www.icann.org/zh/system/files/files/iana-functions-18dec15-zh.pdf)

9. 阮一峰：根域名的知識(shí)

10. 徐培喜：IANA 職能管理權(quán)移交誰(shuí)是贏家

11. 北龍中網(wǎng)王偉任職 PTI 董事我國(guó)專家就任國(guó)際互聯(lián)網(wǎng)治理關(guān)鍵崗位(http://news.sina.com.cn/c/2017-12-25/doc-ifypwzxq6350205.shtml)

12. 工業(yè)和信息化部關(guān)于同意中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心設(shè)立域名根服務(wù)器（F、I、K、L根鏡像服務(wù)器）及域名根服務(wù)器運(yùn)行機(jī)構(gòu)的批復(fù)(http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015545/content.html)

13. 工業(yè)和信息化部關(guān)于同意互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心有限公司設(shè)立域名根服務(wù)器（L根鏡像服務(wù)器）及域名根服務(wù)器運(yùn)行機(jī)構(gòu)的批復(fù)(http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015527/content.html)

14. 中國(guó)工程院院士吳建平：DNS 根服務(wù)器不是互聯(lián)網(wǎng)的核按鈕！

15. ZDNS 毛偉：互聯(lián)網(wǎng)根并不能讓中國(guó)斷網(wǎng)，更應(yīng)重視企業(yè)域名服務(wù)風(fēng)險(xiǎn)

總結(jié)

以上是生活随笔為你收集整理的美国如果把根域名服务器封了，中国会从网络上消失？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。