实际上, 两家机构建设的仅是域名根服务器的镜像服务器, 其在全世界范围内有近一千台. 目前, 在 IPv4 协议上, 全球 13 台根服务器都为美国, 欧洲, 日本所有, 中国尚无根服务器. 但中国有能力应对来自根服务器上的隐患, 让中国网民正常上网不受影响. 不过, 企业域名一旦出现问题可能出现 "断网" 现象.
当前, 中, 美, 日等国正在构建下一代互联网协议 Ipv6, 其中中国部署了 4 台根服务器. 在各国加快发展 Ipv6 的浪潮下, 中国此前似乎出现了 "掉队". 但自 2018 年底起, 国内的大规模服务网络开始明显向 Ipv6 迁移. 到今年 5 月, 中国 Ipv6 互联网用户已快速增长至超过 2 亿, 且有望成 Ipv6 最大用户市场.
域名根服务器 "三重奏"
2019 年 6 月 26 日, 工信部同意中国互联网络信息中心 (CNNIC) 设立域名根服务器 (F,I,K,L 根镜像服务器) 及域名根服务器运行机构, 负责运行, 维护和管理编号分别为 JX0001F,JX0002F,JX0003I,JX0004K,JX0005L,JX0006L 的域名根服务器.
工信部要求中国互联网络信息中心应严格遵守相关规定, 接受其管理和监督检查, 建立符合工信部要求的信息管理系统并与指定的管理系统对接, 保证域名根服务器安全, 可靠运行. 同时为用户提供安全, 方便的域名服务, 保障服务质量. 保护用户个人信息安全, 维护国家利益和用户权益.
值得一提的是, 除了中国互联网络信息中心的根域名服务器之外, 工信部还批复了域名国家工程研究中心 (ZDNS) 设立域名根服务器 (L 根镜像服务器) 及域名根服务器运行机构的申请, 后者将负责运行, 维护和管理编号分别为 JX0007L 的域名根服务器.
此前, 4 月 29 日, 中国互联网络信息中心, 浙江省互联网信息办公室, 浙江省经济和信息化厅在杭州举行了 F 根服务器浙江镜像节点上线发布会. 这意味着杭州成为除北京外, 全国唯一一个拥有一个以上根镜像服务器的城市, 这将提高南方地区的上网速度, 及稳定性与安全性.
6 月 28 日, 域名国家工程研究中心在中国科学院软件园宣布推出首款搭载国产龙芯 CPU 的域名服务器. 该服务器被认为是中国底层技术中硬件和软件两方面强强联合的成果, 将从底层保护互联网安全和稳定的核心.
龙芯中科总裁胡伟武指出, CPU 是信息产业的核心部件, 域名服务器是整个网络系统的核心部件, 二者强强联合将为信息产业的发展提供更强大的助力. 不管是龙芯中科做 CPU, 还是域名国家工程研究中心做域名服务器, 都是一个漫长的过程, 可能需要二三十年的积累才能出成果.
会上, 同步发布的还有国产域名管理软件 "红枫系统"2.0 版. 域名国家工程研究中心总经理邢志杰介绍, 2.0 版本在根区数据更新, 分发和加载等方面的功能和性能都得到了大幅提升, 全面兼容国际标准 RFC7706, 支持本地根区服务. 同时也探索了根服务器扩展能力, 突破全球 13 个根服务器的数量限制. ?
邢志杰表示, 红枫软件是域名国家工程研究中心采用全新架构设计, 花了 8 年时间打磨出来一套高性能, 智能化的基础软件, 在高性能解析, 多线路智能调度, 快速数据更新, 扩展性等多方面优于传统的域名管理软件 Bind. 达到国际领先水平, 并全面适配国产处理器.
根服务器影响几何?
根服务器 (RootServer) 是国际互联网最重要的战略基础设施之一, 负责互联网最顶级的域名解析 (如. com,.net,.org,.cn 等). 在互联网发展历史上, 美国利用先发优势主导的根服务器治理体系已延续近 30 年, 而由于第四版互联网协议(Ipv4) 的技术限制, 全球根服务器的数量长期以来一直被限定在 13 台. ?
据悉, 唯一主根服务器部署在美国, 另外 12 个辅根有 9 个在美国, 2 个在欧洲, 1 个在日本. 而现有根服务器的运营实行单边模式, 特别是关键的根区文件的生成和分发也由互联网数字分配机构 (IANA), 美国商务部下属的电信和信息管理局(NTIA) 和美国公司 Verisign 掌控.
工信部赛迪研究院互联网研究所副所长陆峰日前表示, 中方这次要建设的域名根服务器的镜像服务器, 与改变域名根服务器受制于人的局面并没有直接联系. 目前, 全世界域名根服务器的镜像服务器有近 1000 台, 几乎全球主要的运营商都有域名根服务器的镜像服务器.
陆峰提到, 在国内设立域名根服务器的镜像服务器最大好处是提高域名解析效率, 但镜像服务器的正常工作离不开域名根服务器. 应对域名根服务器受制于人的最好做法是优化域名解析协议, 推进国家级域名服务器 P2P 解析.
历史上, 美国主导的根服务器治理体系一方面造成了全球互联网关键资源管理和分配不均衡; 另一方面, 缺乏根服务器的国家抵御大规模 "分布式拒绝服务" 攻击能力不足, 在互联网安全上存在隐患.
比如 2003 年伊拉克战争时, 美国被质疑删除了伊拉克区域顶级域名. iq, 造成了伊拉克经济和对外交流等方面重创. 不过, 互联网名称与数字地址分配机构 (ICANN) 于 2005 年归还该域名时称, 伊拉克 "断网" 事件并非由美国控制根服务器导致, 只是顶级域名运行机构自身出现问题.
针对网络上流传的 "美国通过控制根服务器让中国断网", 域名国家工程研究中心主任毛伟曾表示, 全球互联网域名服务体系系统分为根, 顶级域名, 二级和二级以下域名, 以及权威和递归域名解析服务, 注册服务根服务器系统虽然可以在一定程度上影响境内和境外网络的互联互通, 但绝不影响中国境内网络的互联互通.
此外, 就算真的断 "根" 了, 也有应急方法来解决. 在境内, 可以采用根区数据备份并搭建应急根服务器来解决; 在全球层面, 可以用根镜像, Ipv6 环境下的根服务器数量扩展, 根服务器运行机构备选机制等方法来解决. 中国有技术能力保证网民正常使用互联网, 访问购物网站, 视频网站以及聊天, 支付等这些网络应用都不会有影响.
企业域名服务能力待提升
在互联网安全方面, 虽然不用担心根服务器被断的隐患, 但企业域名一旦出现问题将发生断网现象. 据了解, 域名服务通常包括两个大类, 一是域名注册服务, 另外一个就是域名安全运营服务. 两项服务分别潜在合规性和服务能力不足的风险.
近年来, 因域名故障导致的企业安全事件频发. 2014 年 12 月, 国内爆发规模最大的针对运营商网络的恶性 DdoS(分布式拒绝服务)攻击事件, 导致国内多个省份不断出现网页访问缓慢甚至无法访问的现象. 阿里巴巴宣称遭受互联网有史以来最大的 DDOS 攻击, 攻击共持续了 14 个小时, 攻击峰值流量达到每秒 453.8Gb.
此外, 国际方面, 2015 年 3 月, 苹果旗下 iTunes 商店, App Store 及多个互联网在线服务发生了全球性大面积故障, 中断时间长达 11 个小时; 2016 年 10 月, 美国域名管理服务商 Dyn DNS 遭遇大规模 DdoS 攻击, 导致美国大半个互联网断网. 其中受影响的包括 Twitter,Airbnb,GitHub,Reddit,Spotify 等知名企业.
图为域名国家工程研究中心主任毛伟
毛伟曾在 2018 中国网络安全年会上表示, 域名服务系统 (DNS) 是企业所有网络服务的入口和支撑企业网络安全, 稳定运行的关键基础设施, 无论是内部稳定性问题, 还是外部黑客攻击, 一旦域名服务发生故障, 将将影响基于网络的所有服务, 造成企业断网, 带来无法衡量的巨大损失和严重危害.
企业在域名服务上面临的威胁主要来源于, 域名注册地带来的合规风险和域名服务能力不足带来的安全风险. 首先, 域名的管理机构, 域名注册服务商通常为商业公司, 这些管理机构有能力删除, 锁定域名, 它们受所在国家法律法规管辖. 如果企业网站注册域名的管理机构或服务商是国外公司, 则存在触犯他国法律法规或其他原因而被关停的风险.
因此, 企业在注册域名时, 可以选择国内合规的注册局或注册商, 有能力的企业也可申请自己的顶级域名. 比如国内以 "BAT" 为代表的互联网公司和一些大企业, 已经申请了 ".baidu"".taobao" 的企业顶级域名, 将管理权控制在自己手中.
另一方面, 域名系统是企业网络重要的基础服务, 但国内大部分企业还在采用开源软件并加以简单配置的初级阶段. 域名系统长期处于缺乏运行规范管理, 专业人员维护状态, 配置错误, 性能不能充分发挥, 软件版本不能及时升级, 出现故障不能及时有效处理等情况普遍发生.
对此, 可以从内部, 外部同时开展相关措施. 在内部, 企业应避免人工失误, 避免程序出错, 网络加强灾备. 有条件的企业可以接入多家运营商网络, 避免网络出现阻塞时, 导致用户访问异常; 对于外控, 企业应加强自身安防能力, 防范攻击和劫持.
Ipv6 将重构国际互联网秩序
近年来, 随着互联网域名系统安全扩展 (DNSSEC), 多语种域名(IDN), 新顶级域(new gTLD) 等新技术的出现和应用, 域名系统正在影响着各行各业. 此外, 互联网在各种智能终端, 人工智能, 大数据, 云计算, 物联网等方向快速发展, IP 地址的需求量将呈爆炸式增长.
由此, 目前全球对承载互联网应用业务的关键基础设施和核心技术的扩展, 安全, 稳定提出了更高的要求. 现有根服务器系统无论从数量, 技术, 还是从运营模式都已经不能满足技术和产业发展需要. Ipv6 的发展和普及则是扭转现状的根本解决方案, 国际互联网根服务器体系由 Ipv4 向 Ipv6 演进成必然趋势.
据了解, Ipv4 地址总长度是 32 位, 这意味着全球最多只有 42.9 亿个地址. 而 Ipv6 的长度达到了 128 位, 总计增加了 340 万亿个 IP 地址. 2011 年 2 月, 最后一批 Ipv4 地址分配完毕, 2011 年 4 月, 亚太互联网络信息中心 (APNIC) 宣告 Ipv4 地址发罄. 而数据显示, 截至 2011 年 12 月底, 中国 Ipv4 地址数量为 3.30 亿, 而网民规模达到 5.13 亿.
目前, 中国网民数量达 8.29 亿, 但 Ipv4 地址并没有再增加, 相当于至少两人共享一个 IP 动态地址. 另一方面, 据估算, 中国未来 IP 地址需求总量将到 500 亿. 除了根服务器的相关影响, IP 地址匮乏也将成为制约中国互联网发展的严重问题. 而 Ipv6 将能满足中国新时代的发展需求.
2012 年 6 月 6 日, 国际互联网协会举行 "世界 Ipv6 启动纪念日",Ipv6 协议宣告正式启动. 下一代互联网国家工程中心主任刘东日前表示, 工程中心抓住历史机遇, 于 2013 年联合日本和美国相关运营机构和专业人士发起 "雪人计划", 提出以 Ipv6 为基础, 面向新兴应用, 自主可控的一整套根服务器解决方案和技术体系.
在与现有 Ipv4 根服务器体系架构兼容基础上,"雪人计划" 于 2016 年在美国, 日本, 印度, 俄罗斯, 德国, 法国等全球 16 个国家完成 25 台 Ipv6 根服务器架设, 其中 1 台主根和 3 台辅根部署在中国. 刘东表示, 这事实上让全球形成 13 个原有根加 25 个 Ipv6 根的新格局, 为建立多边, 民主, 透明的国际互联网治理体系打下坚实基础.
中国工程院院士吴建平表示, Ipv6 是中国参与全球互联网技术发展的重要契机. 我国制定了规模部署的行动计划, 要求 "从互联网应用, 网络基础设施, 应用基础设施, 网络安全, 关键前沿技术等五大领域深化 Ipv6 发展." 其中特别强调了要强化网络安全, 维护国家信息网络安全保障, 突破关键前沿技术, 构建自主创新的下一代互联网技术产业形态.
综合来看, Ipv6 的规模部署和应用不仅有助于我国在国际互联网体系获得更多的话语权, 也有利于我国在以下一代互联网为核心的网络空间中取得万物互联时代的发展主动权, 同时也巩固了网络安全,"国防" 力量.
中国 Ipv6 发展进度怎样?
自 2016 年起, 各国都在加快 Ipv6 的发展. 2017 年 11 月, 中共中央办公厅和国务院办公厅印发《推进互联网协议第六版 (Ipv6) 规模部署行动计划》, 提出到 2018 年末, Ipv6 活跃用户数达到 2 亿, 在互联网用户中的占比不低于 20%; 并要求在国内用户量排名前 50 位的商业网站及应用, 省部级以上政府和中央及省级新闻及广播电视媒体网站系统等全面支持 Ipv6.
来源: http://news.51cto.com/art/201907/599103.htm