IPv6時代正快速來臨,在IPv4時代,人們一直困惑的“中國缺乏DNS根服務器”的情況是否因此有了改善?一些報道中所說的中國已經部署了IPv6的1臺主根,3臺輔根的根服務器又是怎麼回事呢?
就這些問題,記者採訪了國內最早的互聯網加速服務提供商藍汛ChinaCache的技術專家、資深架構師王立鷗。
域名服務器如同“黃頁”
在以前的書信時代,人們寫信時要在信封上寫明收信地址和寄信地址,“××市××路××號××室”,這樣信件才會按照收信地址送到對方的手中,對方也會知道是誰、從哪裡郵寄過來的。也就是說,每個單位、每戶人家都有自己的“門牌號”,從而方便信息傳遞。
以前也經常碰到這種情況,自己只知道對方單位的名稱,但不知道對方的具體地址、郵編信息。這個時候,人們經常通過翻厚厚的“中國黃頁”來進行查詢,找到具體的地址。
互聯網時代其實也是如此,每個網站都有自己的“郵政編碼”,但這是用一長串數字(IP地址, IPv4時代是32位,IPv6時代是128位)來表示的,普通人根本無法記住。所以網站都採用了比較容易讓人記住的網址,比如說baidu.com,qq.com,amazon.com等等。
王立鷗介紹說,人們在瀏覽器中輸入網址後,比如說amazon.com,訪問的網址中域名的部分會被瀏覽器發往DNS服務器做解析,然後服務器再將用戶所訪問網站的IP地址傳送回來。瀏覽器拿到網站的IP地址後,再發出自己的請求,然後就可以登錄。這樣一個域名和IP地址之間相互查詢轉換的服務操作的技術體系就叫做DNS(Domain Name System)。
由此可見,域名服務器的查詢轉換工作是非常重要的,它如同是“域名的黃頁”,如果不能通過它找到網站對應的IP地址,用戶自然上不了網。
然而,域名服務的查詢不是一次操作完成的,代理我們用戶進行查詢的DNS服務器(通常就是運營商的DNS服務器)只是進行代理查詢和緩存,採用的是一個迭代的過程。這個過程,和我們管理地理地址的邏輯是一樣的,如同從國家->省->市一樣,從根服務器開始查詢,一直查到目標訪問的域名服務器。這樣,從域名管理的角度看, 每個層級就只管自己那一段的域名管理,相互不干涉了。
中國沒有根服務器是誤解
IPv4是第一個被廣泛使用的IP協議,現在全世界正處於從IPv4向IPv6升級的階段。一些自媒體之基於中國沒有全球根域名服務器,如果一旦被“卡住脖子”,斷掉了根服務器的訪問途徑,無法進行域名解析,就可能被斷網了。這就如同沒有“中國黃頁”,人們寫信時查詢不到對方的地址,自然也就無法通信了。
現在,比較常見的說法是:全球有13個根服務器(1個主根服務器+12個輔根服務器),其中主根服務器和9個輔根服務器都在美國,另外英國、瑞典和日本各有一個輔根服務器。也就是說,中國沒有根服務器。
對於這種觀點,王立鷗認為這是一個片面的理解,“互聯網非常早的時期,是這樣,但現在根本不是這樣。中國沒有根服務器的說法是不對的。”
“北京至少有四個根服務器鏡像:I、J、F、L根服務器。根服務器實際上是個集群,比如I服務器,在北京有I服務器,在美國和歐洲也有I服務器,它們用的是同一個IP地址。”王立鷗介紹說,根服務器通過anycast協議來實現尋址,“anycast協議的好處是,當用戶要訪問一個IP地址的時候,系統會先看離用戶最近的有這個IP地址的服務器在哪。比如中國用戶在訪問I服務器,那麼數據包沒必要跑到其他地方,處理包在北京就能實現。”所有的鏡像之間的內容是嚴格同步的。不存在單獨系統管理者私自修改內容的可能性。
王立鷗還舉例表示,以前南美地區互聯網訪問的根服務器鏡像都在美國邁阿密,後來南美本地流量增多以後,在本地也設置了根服務器鏡像。
“而且,很多大的運營商都將根服務器的內容映射過來,從而直接從自己的系統中進行域名解析,在進行解析操作時候,直接從自己的映射的鏡像來進行查詢解析,從而提高給自己服務的用戶的整個解析請求的速度。”王立鷗說道。
另外,根服務器是由不同的企業和非盈利組織來運營的。比如說,L服務器是由ICANN負責運營的,ICANN的中文名稱是互聯網名稱與數字地址分配機構,是一家非營利社團。2016年10月,美國商務部下屬機構國家電信和信息局把互聯網域名管理權(IANA)完全交給ICANN,這標誌著互聯網邁出走向全球共治的重要一步。
中國逐步獲得純IPv6根服務器的運行和管理經驗
考慮到我國互聯網的安全性,由於所有的13個根的運營者都非中國的企業和組織,而由於IPv4的DNS數據包的容量限制,又沒有可能再添加新的根的信息。因此,在IPv4的環境下,要想解決自主可控的根服務器,幾無可能。
如果說,IPv6相對於IPv4在DNS域名解析的變化,那就是IPv6時代,和DNSSEC越來越廣泛的運用,使得承載DNS請求和響應的UDP協議數據包不再成為限制根服務器數量的限制。
我國“互聯網工程中心”聯合日本WIDE機構(現國際互聯網M根運營者)和互聯網域名工程中心(ZDNS)等共同發起了“雪人計劃”, 其官網是 www.yeti-dns.org。從這個項目的主頁上,Yeti DNS Project 的標題下,可以看到一個副標題:“--A Live IPv6-only Root DNS Server System Testbed”即在線的純IPv6 DNS根服務器系統測試床。
雪人計劃(Yeti DNS Project)的安排是2015年6月底前,面向全球招募25個根服務器運營志願單位,共同對IPv6根服務器運營、域名系統安全擴展密鑰簽名和密鑰輪轉等方面進行測試驗證。由於雪人的服務器不是真正的根服務器,因此,就不可能得到zone更新的通知信息(RFC1996)。雪人服務器通過無需鑑權的輪詢方式從13個根當中的F根來獲取zone文件和更新。雪人計劃一共是3個DM(distribution master)分別是BII(中國),WIDE(日本)和TISF(美國)。
雪人計劃的關閉時間是2018年底。
雖然,雪人計劃目前看沒有帶給我們獨立的根服務器,但是,雪人計劃成功地幫助我們掌握了DNS根服務器的運行和管理技術。體現了我國在IPv6時代管理和服務DNS根服務器的不斷進步的技術能力。這個對於快速鋪開的IPv6網絡的中國因特網具有極大的安全意義。
閱讀更多 騰正科技 的文章
