根域名服务器的重要性_对根域名服务器进行攻击

根域名服务器的故障事件

在2002年的10月21日美国东部时间下午4：45开始，这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次 *** 袭击。此次受到的攻击是DDoS攻击，超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丧失了对 *** 通信的处理能力，另外两台也紧随其后陷于瘫痪。

2002年10月21日的这次攻击对于普通用户来说可能根本感觉不到受到了什么影响。如果仅从此次事件的“后果”来分析，也许有人认为“不会所有的根域名服务器都受到攻击，因此可以放心”，或者“根域名服务器产生故障也与自己没有关系”，还为时尚早。但他们并不清楚其根本原因是：

并不是所有的根域名服务器全部受到了影响；攻击在短时间内便告结束；攻击比较单纯，因此易于采取相应措施。由于对于DDoS攻击还没有什么特别有效的解决方案，设想一下如果攻击的时间再延长，攻击再稍微复杂一点，或者再多有一台服务器瘫痪，全球互联网将会有相当一部分网页浏览以及e-mail服务会彻底中断。

而且，我们更应该清楚地认识到虽然此次事故发生的原因不在于根域名服务器本身，而在于因特网上存在很多脆弱的机器，这些脆弱的机器植入DDoS客户端程序（如特洛伊木马），然后同时向作为攻击的根域名服务器发送信息包，从而干扰服务器的服务甚至直接导致其彻底崩溃。但是这些巨型服务器的漏洞是肯定存在的，即使2002年没有被发现，2002以后也肯定会被发现。而一旦被恶意攻击者发现并被成功利用的话，将会使整个互联网处于瘫痪之中。 2014年1月21日下午15时左右开始，全球大量互联网域名的DNS解析出现问题，一些知名网站及所有不存在的域名，均被错误的解析指向65.49.2.178（Fremont， California， United States，Hurricane Electric）。中国DNS域名解析系统出现了大范围的访问故障，包括DNSPod在内的多家域名解析服务提供商予以确认，此次事故波及全国，有近三分之二的网站不同程度的出现了不同地区、不同 *** 环境下的访问故障，其中百度、新浪等知名网站也受到了影响。

什么是根域名服务器

全球共有13台根域名服务器。这13台根域名服务器中名字分别为“A”至“M”，其中10台设置在美国，另外各有一台设置于英国、瑞典和日本。。其余12个均为辅根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。所有根服务器均由美国 *** 授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。这13台根服务器可以指挥Firefox或InternetExplorer这样的Web浏览器和电子邮件程序控制互联网通信。由于根服务器中有经美国 *** 批准的260个左右的互联网后缀（如．com、．net等）和一些国家的指定符（如法国的．fr、挪威的．no等），自成立以来，美国 *** 每年花费近50多亿美元用于根服务器的维护和运行，承担了世界上最繁重的 *** 任务和最巨大的 *** 风险。因此可以实事求是地说：没有美国，互联网将是死灰一片。世界对美国互联网的依赖性非常大，当然这也主要是由其技术的先进性和管理的科学性所决定的。所谓依赖性，从国际互联网的工作机理来体现的，就在于“根服务器”的问题。从理论上说，任何形式的标准域名要想被实现解析，按照技术流程，都必须经过全球“层级式”域名解析体系的工作，才能完成。

“层级式”域名解析体系之一层就是根服务器，负责管理世界各国的域名信息，在根服务器下面是顶级域名服务器，即相关国家域名管理机构的数据库，如中国的CNNIC，然后是在下一级的域名数据库和ISP的缓存服务器。一个域名必须首先经过根数据库的解析后，才能转到顶级域名服务器进行解析。

*** *** 包括什么

*** *** 作为国家 *** 在 *** 空间中的自然延伸，大致可以从以下几个方面加以理解。

一是管辖权，指的是 *** 国家对本国 *** 加以管理的权力，比如通过设置准入许可限制未被授权的网站接入到 *** 中，对不服从管理的网站立刻停止服务，对 *** 空间和 *** 生态加强整顿等等。

二是独立权，就是本国的 *** 可以独立运行，无须受制于别国。目前，全球绝大多数顶级服务器都在美国境内，理论上，只要美国在根服务器上屏蔽该国家域名，就能让这个国家的顶级域名网站在 *** 上瞬间"消失"。在这个意义上，美国具有全球独一无二的制网权，有能力威慑他国的 *** 边疆和 *** *** 。各国的 *** 还无法实现独立存在。

三是防卫权，指的是 *** 国家具有对外来 *** 攻击和威胁进行防卫的权力。前面提到，全球13台域名根服务器中美国掌握10台，在这种情况下，就要针对根域名服务器被攻击、关停等紧急情况作出积极的预判和应对。目前，一些国家自主研制服务器，就是很好的防卫能力建设，一旦根服务器被关停，还能实现本国内部 *** 联通。此外，针对一国的 *** 舆论攻势， *** 国家也应该做好应对之策，必要时进行自我保护。总之，防卫权要求 *** 国家要拥有设置 *** 疆界、隔离境外 *** 进攻、抵抗和反击的能力。

四是平等权，指的是各国的 *** 之间可以平等地进行互联互通，不分高低贵贱。平等权要确保各国对 *** 系统具有平等的管理权，保证一国对本国互联网的管理不会伤及其他国家。现有的互联网相互依赖过强，互联网强势国家所制定的政策往往也会使弱势国家被迫接受。

黑客是怎样实施域名劫持攻击的

原理：

域名解析（DNS）的基本原理是把 *** 地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的 *** 地址（IP地址，比如216.239.53.99 这样的形式），以便计算机能够进一步通信，传递网址和内容等。

由于域名劫持往往只能在特定的被劫持的 *** 范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在 *** 设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌 ，可以把访问改为 ，从而绕开域名劫持。

过程：

由于域名劫持只能在特定的 *** 范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名 *** 到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下：

一、获取劫持域名注册信息：首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。

二、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。

三、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。

四、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获 *** 公司回馈的 *** 确认注册信息更改件，并进行回件确认，随后 *** 公司将再次回馈成功修改信件，此时攻击者成功劫持域名。

缺点：

它不是很稳定，在某些 *** 速度快的地方，真实的IP地址返回得比窃持软件提供的假地址要快，因为监测和返回这么巨大的数据流量也是要花费一定时间的。

在网上查询域名的正确IP非常容易。一个是利用海外的一些在线IP地址查询服务，可以查找到网站的真实IP地址。在Google上搜索"nslookup"，会找到更多类似的服务。

参考资料：全球互联网的13台DNS根服务器分布

47年之后，美国终于要放弃互联网霸权了么？

据新华社报道，美国同意将于10月1日把互联网域名管理权正式移交给互联网名称和编号分配公司简称（ICANN），不过，此举遭到美国部分国会议员的反对。有媒体认为，美国将域名管理权移交ICANN，是美国主动放弃互联网霸权。但笔者认为，美国此举是换汤不换药，本质上并未放弃全球互联网霸权。

根服务器非常重要

今天的互联网起源于1969年美国国防部高级研究开发的阿帕网，其开发目的主要是为了防止美国的军事系统在战争爆发时遭到打击而瘫痪。最初的阿帕网由美国西海岸的4个节点——加州大学洛杉矶分校、斯坦福研究院、加州大学圣巴巴拉分校、犹他大学构成，随后加入阿帕网的组织和机构越来越多。1983年，美国国防部将阿帕网向民用领域开放，逐渐发展成今天的互联网。

虽然互联网高高飘在云端，显得虚无缥缈，但实际上，互联网的正常运营必须有相应的软件和硬件作支撑，而根域名服务器就是支撑整个互联网运作重要的设备之一。

每一台电脑若要联入互联网，就必须有一个IP地址，IP地址由32位二进制数组成。由于数字型的IP地址很难记住，所以访问 *** 时经常使用域名来表示IP地址。由于IP地址才是互联网上计算机的真正标识，所以当用域名访问 *** 时，必须将域名翻译成IP地址后才能在互联网中找到对应的计算机。

把域名翻译成IP地址的软件称为“域名系统”(DNS)。由于人类设计互联网的时候缺乏前瞻性，用以分别不同设备的IP地址太少，于是不同国家和地区就会用自己的地址作为一种表示方式来增加地址，并形成一个分布式的域名数据库系统，该系统采用分级授权的域名管理机制，在这个分级授权结构中，最顶层的称为根域，随后是处于不同层级的子域。一个完整的主机域名是从最下面的子域到根域的名字由点“．”连接而成的字符串。例如，浙江省 *** 的域名是:，在这个域名中，cn为顶级域名；gov.cn为二级域名；zj.gov.cn为三级域名；为主机名。

之前说过，能否访问一个网站，关键在于域名能否被解析，找到域名对应的IP地址，而这个工作则由互联网中的域名服务器(DNS服务器)来完成。域名服务器是装有域名系统的主机，分为本地域名服务器和根域名服务器。本地域名服务器上存储着域名到IP地址对应关系的缓存数据，用于提供域名解析服务，而根域名服务器保存着cn、hk等属于国家及地区顶级域名。

域名解析过程从本地域名服务器开始的，如果本地域名服务器上有要查询的记录，就立即将查询到的主机IP地址返回给发出请求的客户端。如果本地域名服务器上没有该主机的记录，域名服务器就会向互联网上最顶层的根域名服务器发出查询请求，此时查询将沿着根域、二级域、三级域的顺序进行。某种程度上，根服务器类似于总邮局，如果本地邮局（本地域名服务器）无法完成投递工作，则将邮件上传到总邮局识别投递。因此，根域名服务器是互联网中至关重要的部分。

为何说美国掌握着互联网霸权

由于受到域名解析协议中数据包大小的限制，目前全球根服务器仅有13台，使用英文字母A至M来命名，其中主根服务器1台，位于美国，辅助根服务器12台。辅助根服务器中，9台位于美国，英国、瑞典、日本各有一台，以下为13台根服务器的位置：

A——INTERNI．NET(美国弗吉尼亚州)

B——美国信息科学研究所(美国加利弗尼亚州)

C——PSINet公司(美国弗吉尼亚州)

D——马里兰大学(美国马里兰州)

E——美国航空航天管理局(美国加利弗尼亚州)

F——因特网软件联盟(美国加利弗尼亚州)

G——美国国防部 *** 信息中心(美国弗吉尼亚州)

H——美国陆军研究所(美国马里兰州)

I——Autonomica公司(瑞典斯德哥尔摩)

J——威瑞信(VeriSign)公司(美国弗吉尼亚州)

K——RIPENCC(英国伦敦)

L——IANA(美国弗吉尼亚州)

M——WIDEProject(日本东京)

根域名服务器分布图

毫不夸张的说，根域名服务器就是互联网的命脉，如果这13台根域名服务器中的某一台或几台出现故障，或遭到黑客攻击而停止服务，则域名解析有可能无法进行，那些依靠这些域名系统支持的互联网应用和服务将停止工作。举例来说，2002年10月21日，13台根域名服务器遭受黑客攻击，导致9台根服务器丧失了对 *** 通信的处理能力， *** 出现局部瘫痪。2007年2月5日，3台根服务器遭受到黑客的攻击，其中包括运行“ORG”域名的根域名服务器和美国国防部运行的一个根域名服务器。2010年1月12日，由于美国负责百度域名解析的根服务器遭到了黑客攻击，百度首页出现大面积的访问故障，全国绝大多数地区均无法访问百度网站。2014年1月21日，由于解析全国所有通用顶级域的根服务器出现异常，百度、新浪、腾讯、京东等诸多网站的访问均受影响，众多网站出现无法访问的现象。

上述 *** 局部瘫痪仅仅是因为根服务器异常或黑客攻击所致，一旦作为根服务器主要管理者的美国出手，带来的影响将是异常巨大——凭借对根域名服务器的管理权，美国可以屏蔽掉某些国家的顶级域名，使这些域名无法得到解析。通过这种无声的较量，美国可以让一个国家在互联网中瞬间消失。举例来说，2003年伊拉克战争期间，美国 *** 就曾终止对伊拉克国家项级域名IQ的解析，致使所有以IQ为后缀的网站瞬间从互联网上消失。2004年4月，由于在顶级域名管理权问题上与美国发生分歧，利比亚顶级域名 *** 突然瘫痪，让利比亚在互联网世界里消失了4天。美国还于2008年曾切断过古巴、朝鲜、苏丹等国的MSN即时 *** 通讯，使这些国家的用户无法使用MSN。

正是因为美国牢牢掌控着主根服务器和9台辅助根服务器，所以美国始终手握全球互联网霸权，乃至于成为其强权政治的重要工具，根服务器也成为影响国家 *** 信息安全的重大隐患。

域名管理权移交ICANN并不意味着放弃互联网霸权

有媒体认为，美国同意将域名管理权移交ICANN，意味着美国主动放弃互联网霸权。但笔者认为，这种解读未免有失偏颇。首先，国际互联网名称和编号分配公司（ICANN）是一家负责全球互联网根服务器、域名体系和IP地址等的管理的机构，虽然是一个非营利性国际组织，但ICANN却是在美国商务部提议下成立的，而且美国商务部还拥有最终否决权。因此，即便不考虑一些国际机构在很多国际事务中对美国的无原则偏袒，这种由美国商务部倡议下成立，且拥有最终否决权的机构很难摆脱美国 *** 的控制。

更何况美国 *** 还有食言的先例——美国商务部曾经承诺，当ICANN满足一定条件时将放弃最终的否决权，并将最后的期限定为2006年。然而在2005年7月1日，美国 *** 宣布，美国商务部将继续与ICANN签订合约，将无限期保留对13台根域名服务器的管理权。因此，在现阶段仅仅是同意将域名管理权移交ICANN的情况下，很难保证美国 *** 不会故技重施。

虽然现在13台根域名服务器仍由美国 *** 授权的ICANN掌控，并且在理论上控制根服务器能截获、丢弃、篡改、伪造经过根服务器的信息，但中国并非一点反制的 *** 都没有。

?首先，经过根服务器的信息量并不是非常大，之前说过，如果本地域名服务器上有要查询的记录，就立即将查询到的主机IP地址返回给发出请求的客户端，只有在本地域名服务器上没有该主机的记录，域名服务器才会向互联网上最顶层的根域名服务器发出查询请求。

其次，信息是分段传递的，而且很多民用的信息也是加密的，信息加密手段还有防篡改的功能，特别是中国正在产业化的量子通信。虽然对美国屏蔽掉国家顶级域名的行为无能为力，但可以避免信息被篡改的情况。

最后，虽然COM、NET等域名均由国外公司负责管理，但CN下的域名由中国互联 *** 信息中心负责管理，中国互联 *** 信息中心在全国设置了多个负责CN域名解析的域名服务器，特别是内设置了根域名镜像服务器——即使在根域名服务器中止了对CN域名解析的情况下，也能保证部分CN下的域名在国内能正常访问。正是因为如此，如 *** 网站、国有银行网站大多使用CN域名。

笔者认为，只要还存在国家和利益纠纷，美国完全放弃手中互联网霸权的可能性就微乎其微，一些表面上移交域名管理权的做法很可能只是换个马甲而已。另外，对于美国的互联网霸权，中国也不必太过于在意，毕竟中国手中也握有一些反制的底牌。

出品：科普中国

*** ：铁流

监制：中国科学院计算机 *** 信息中心

“科普中国”是中国科协携同社会各方利用信息化手段开展科学传播的科学权威品牌。

本文由科普中国融合创作出品，转载请注明出处。

根域名服务器会被DDoS打垮么

2015.12 互联网 13 个根服务器遭到 DDoS 攻击；

没有打不跨的服务器，不过如果要打跨根域名服务器，那黑客的成本得非常高才行