根镜像服务器:定义、功能和安全问题
吴国发
初稿:2021年11月21日
修改:2024年05月15日
内容提要:本文介绍根镜像服务器的基本知识和分布,包括根镜像服务器的定义、技术、功能、优点、缺点、在中国和世界的分布等。根据根镜像服务器的定义和技术可知:中国的辅根镜像服务器对中国的互联网安全毫无帮助。
关键词:互联网 域名 根服务器 镜像服务器
(一)辅根镜像服务器不能保障互联网安全
从2019年6月工信部决定建立辅根镜像服务器以来,中国的“专家”和“权威人士”一直说:中国有6个辅根镜像服务器。因此,中国互联网不再受美国控制;中国互联网是安全的。
最近(2024年5月),又有“专家”发表关于辅根镜像服务器的文章,并再次宣称:由于中国有6个辅根镜像服务器,互联网安全得到了保障。
这种观点是完全错误的。
本文专门讨论辅根镜像服务器的问题。
全球的根域名服务器共有13个。根域名服务器的分布如下:
主根服务器(A)美国1个,设置在弗吉尼亚州的小城市杜勒斯。
辅根服务器(B至M)12个:9个部署在美国,2个在欧洲,放在荷兰(辅根服务器K)和瑞典(辅根服务器I);1个在亚洲,放在日本(辅根服务器M)。
全世界的辅根镜像服务器有1100多个。
(二)顶级域名与根域名服务器
每一个顶级域名,不管是通用顶级域名(gTLD),还是国家顶级域名(ccTLD),它们都有自己的域名服务器;而且有些顶级域名有多个根服务器。例如:
.com和.net的域名服务器是[a-m].gtld-servers.net,共13个;
.org的域名服务器是tld1.ultradns.net等6个;
.biz的域名服务器是[a-h].gtld.biz,共8个;
.info的域名服务器是tld1.ultradns.net等6个;
.cn的域名服务器是ns.cnc.ac.cn等6个;
.jp的域名服务器是[a-f].dns.jp共6个;
等等。
以“.com”和“.net”为后缀的网站最多。截至2021年6月,中国以“.com”为域名后缀的网站占中国网站总数的63.6%。
从上述信息可知,全球的.COM和.NET域名根服务器有13个,即a.gtld-servers.net,b.gtld-servers.net,c.gtld-servers.net,d.gtld-servers.net,e.gtld-servers.net,……,m.gtld-servers.net。这就是说,主根服务器A和辅根服务器B-M都提供.com和.net的域名解析服务。
(三)根镜像服务器的定义和技术
在根域名服务器设定的时候,使用任播(Anycast)技术,根服务器设置了多个镜像服务器。
任播技术是由互联网工程任务组(IETF)在其备忘录RFC3513确定的。RFC是Request ForComments的缩写,是由IETF发布的一系列备忘录。
RFC3513对任播(Anycast)技术的定义是:任播地址被分配给两个以上的接口 (一般指不同 IP 地址的节点),而发送到这个地址上的分组被路由到“最近”的接口。这里“最近”可以是指路由器跳数、服务器负载、服务器吞吐量、客户和服务器之间的往返时间 (RTT,RoundTrip Time)、链路的可用带宽等特征值 (metric) 决定。Anycast 采用将一个单播地址分配到处于 Internet 中多个不同物理位置的主机上。网站访问方并不关心提供服务的具体是哪一台主机。
根镜像服务器(MirrorServer)就像根服务器的镜子,存储的信息相同,服务的内容也相同,而且能够与根服务器同步更新信息。这就是根镜像服务器的定义。
用计算机技术的术语,根镜像服务器相当于“根虚拟服务器”。这里,“虚拟服务器”类似于“虚拟内存”,并不是真正“虚”的。“根虚拟服务器”在物理上是存在的,但不是“根服务器”,而在远离根服务器的地点。
【注:虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续的可用的内存(一个连续完整的地址空间)。实际上,它通常是被分隔成多个物理内存碎片,还有部分暂时存储在外部磁盘存储器上,在需要时进行数据交换。目前,大多数操作系统都使用了虚拟内存,如Windows家族的“虚拟内存”、Linux的“交换空间”等。】
主根服务器有6个镜像服务器,都在美国。9个辅根域名服务器在全球设置了多个镜像服务器。
9个辅根服务器初始设定的镜像服务器数量如下:
C,6;F,47;G,6;I,36;J,63;K,13;L,37;M,5。
上述事实表明,初始设定的辅根服务器L有37个镜像服务器。后来,辅根服务器L又在全球增加了很多镜像服务器,多达167个。
(四)根镜像服务器的功能和好处
辅根域名服务器的根镜像服务器的主要功能是代替辅根域名服务器提供其各种服务。
辅根域名服务器的根镜像服务器有下列三项基本好处:
第一,镜像服务器减轻辅根域名服务器的巨大浏览量和域名解析负担,使许多负担转移到辅根镜像服务器。
例如,假定你在北京,你在计算机上要访问美国广播电台网站www.ABC.com,(URL: https://abc.com)其辅根服务器是L,由位于弗吉尼亚州的IANA运营管理。【注:IANA(InternetAssigned Numbers Authority)是互联网数字(IP)地址分配机构的缩写】信息流程如下:
→你访问网站www.ABC.com的请求被位于弗吉尼亚州杜勒斯的主根服务器A收到;
→主根服务器A把你的请求发给同州(弗吉尼亚州)的辅根服务器L,弗吉尼亚州的辅根服务器L和北京的辅根镜像服务器L同时收到你的请求;
→北京的镜像服务器L对你的请求进行解析;
→北京的镜像服务器L把允许打开网站www.ABC.com的指令信息发到你的计算机;
→你打开了网站www.ABC.com。
第二,镜像服务器减少根域名服务器对访问网站请求的响应时间,即加快打开网站的速度。
如果没有镜像服务器,你访问网站www.ABC.com的流程如下:
→你访问网站www.ABC.com的请求被主根服务器A收到;
→A把你的请求转发给位于弗吉尼亚州的辅根服务器L;
→L对你的请求进行解析;
→L把允许打开网站www.ABC.com的指令信息发到你的计算机;
→你打开了网站www.ABC.com。
这里,“打开网站www.ABC.com的指令信息”数量大,传输距离长。而L的镜像服务器在北京,信息数量相同,但是传输距离短多了,因此,节省了时间。
第三,镜像服务器间接增强辅根域名服务器的安全性能,可以抵抗黑客针对辅根服务器所进行的分布式拒绝服务攻击(DDoS)。当黑客对辅根服务器进行DDoS攻击并使之瘫痪时,辅根镜像服务器能够正常工作。
假定弗吉尼亚州的辅根服务器L受到DDoS攻击而瘫痪,北京的镜像服务器L照常工作,你仍然能够打开网站www.ABC.com。
(五)工信部决定建立6个根镜像服务器
中国设立了6个域名根镜像服务器。
2019年6月24日,工信部发出文件,批准中国互联网信息中心(简称CNNIC)设立中国域名根服务器管理机构,将管理F、I、K、L根镜像服务器。根据工信部的公告,工信部同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构,负责运行、维护和管理编号分别为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器。
CNNIC是中国重要的网络基础设施建设者、运行者和管理者。CNNIC从2005年起,先后与瑞典Netnod公司(辅根服务器I)、美国互联网系统联盟(ISC)、互联网名称与数字地址分配公司(ICANN)、美国威瑞信公司(Verisign)、欧洲地区互联网注册网络协调中心(RIPENCC,辅根服务器K)等根服务器运行机构合作,成功引入设立了F、I、K、L根服务器的镜像服务器。
【Verisign的发音是“沃莱詹”。因此,把Verisign公司称为“威瑞信公司”是错误的;应该称为“沃莱詹公司”。】
注意:中国设立的是域名根镜像服务器,不是域名根服务器。
据了解,工信部此次批复同意中国互联网络信息中心(CNNIC)设立根镜像服务器的主要目的是增加技术能力和有关设备,向用户提供良好的网络基础资源服务。
CNNIC官网介绍,下一步,将在主管部门的指导下,进一步加强与全球各根服务器运行机构的协调沟通,继续增加引入根镜像服务器的数量,提升中国境内根镜像服务器的网络覆盖度和分布均衡性。
下面我们说明:中国的6个域名根镜像服务器根本不能保障互联网安全。
(六)全世界的根镜像服务器及其问题
2002年,互联网名称与数字地址分配公司(ICANN)开始联合全球各地的根服务器管理机构建设根镜像服务器。目前,全世界共有1100多个根镜像服务器。中国只有6个根镜像服务器,占全世界根镜像服务器总数的0.55%,而中国网站总数则占全世界的25%。全世界的L辅根域名服务器的镜像服务器高达167个,而我国只有2个,占1.2%。
中国和任何国家申请镜像服务器必须取得ICANN的审批。【注:ICANN(互联网名称与数字地址分配公司)不是国际机构,而是美国加利福尼亚州注册的民营公司】
中国镜像服务器的主要问题是:中国的辅根镜像服务器是根服务器F(在美国)、I(在瑞典)、K(在荷兰)、L(在美国)的镜像,100%受根服务器F、I、K、L的控制。因此,中国的辅根镜像服务器不安全。其他国家的辅根镜像服务器同样不安全,因为受制于美国。
那种认为“中国有6个辅根镜像服务器、中国互联网不再受美国控制”的观点是完全错误的,十分有害的。