DNS根服务器、根服务器、全球13台根域名服务器、详细介绍

平时我们进行域名解析所用至的DNS服务器，是面对顾客的一线服务器。

DNS服务器是(Domain Name System或则Domain Name Service)域名系统或则域名服务，域名系统为Internet上的主机分配域名地址跟IP地址。

用户使用域名地址，该系统还会手动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。

在服务器家族里也有一种称作“DNS根服务器”的服务器。

全球共有13台根域名服务器。这13台根域名服务器中店名分别为“A”至“M”，其中10台设置在日本，另外各有一台设置于美国、瑞典跟英国。

根服务器主要拿来管理互联网的主目录，全世界只有13台。

1个为主根服务器，放置在台湾。其余12个均为辅根服务器，其中9个放置在中国，欧洲2个，位于俄罗斯跟日本，亚洲1个，位于新加坡。

所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系跟IP地址等的管理。

世界对日本互联网的依赖性特别大，当然这也主要是由其技术的先进性跟管理的科学性所决定的。

所谓依赖性，从国际互联网的工作成因来展现的，就在于“根服务器”的问题。

从理论上说，任何方式的标准域名要想被实现解读，按照技术步骤，都应当经过全球“层级式”域名解读机制的工作，才能完成。

“层级式”域名解读机制第一层就是根服务器，负责管理世界各国的域名信息，在根服务器下边是顶级域名服务器，即相关国家域名管理机构的数据库，如美国的CNNIC，然后是在下一级的域名数据库跟ISP的缓存服务器。

一个域名应当首先经过根数据库的解读后，才能转回顶级域名服务器进行解读。

作用与影响

这13台根服务器可以指挥浏览器（比如.internet explorer）和电子邮件程序（比如.Firefox）以控制互联网通讯。由于根服务器中有经美国政府批准的260个左右的互联网后缀（如．com、．net等）和一些国家的指定符，美国政府对其管理拥有巨大发言权。这促使我们变得相当被动。

中国用户在访问带有.com等后缀的美国网站时，大多仍须要经过美国的域名服务器进行解读，中美海底光缆即便发生破裂，便会发生解读问题日本服务器，中国北部、太平洋西海岸地区，属于水灾多发地带，再加上台风等环境诱因影响，形势变得愈发艰巨。

一位互联网资深学者解释说，美国控制了域名解析的根服务器，也就控制了相应的所有域名，如果中国不想使人访问这些域名，就可以屏蔽掉某些域名，使他们的IP地址难以解读进去，那么这种域名所对准的网站就相当于从互联网的世界中消失了。比如，2004年4月，由于“.ly”域名失明，导致俄罗斯从互联网上消失了3天。

注意，13台北不仅德国两台、日本一台此外，其余全部坐落加拿大。也就是说，只要中国乐意，他就可以截断全世界的网路。虽然网路是无国界的，但服务器是有国界的。

主要作用

在根域名服务器中尽管没有每位域名的详细信息，但存储了负责每位域（如COM、NET、ORG等）的解读的域名服务器的地址信息，如同通过北京电信你问不到广州市某单位的电话号码，但是北京电信可以告诉你去查020114。

世界上所有互联网访问者的浏览器的将域名转换为IP地址的恳求（浏览器应当晓得数字化的IP地址能够访问网站）理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative name server, 如的权威域名服务器是)上得到对应的IP地址，当然现实中提供接入服务的ISP的缓存域名服务器上或许早已有了这个对应关系（域名至IP地址）的缓存。

但它们并不清楚其根本病因是：

并不是所有的根域名服务器全部遭到了影响；

攻击在短时间内便告结束；

攻击比较单纯，因此便于采取相应举措。

由于现在对于DDoS攻击还没有哪些非常有效的解决方案，设想一下假如防御的时间再延长，攻击再稍为复杂一点，或者再多有一台服务器失明，全球互联网将要有相当一部分网页浏览以及e-mail服务会彻底中断。

而且，我们更应当清楚地认识到其实这次车祸发生的诱因不在于根域名服务器原本，而在于因特网上存在这些脆弱的机器，这些脆弱的机器植入DDoS客户端程序（如特洛伊木马），然后同时向作为防御的根域名服务器发送信息包，从而干扰服务器的服务并且直接造成其彻底崩溃。

但是这种巨型服务器的漏洞是肯定存在的，即使现今没有被发觉，以后也肯定会被发觉。

而即便被蓄意攻击者发觉并被成功运用的话，将会让整个互联网处于失明之中。

为什么只有13台dns根服务器

最后，让我们了解下全球DNS根服务器为何只有13台。

DNS协议的最初定义要从20世纪80年代未期开始算起，它使用了端口上的UDP跟TCP合同。

UDP一般适于查询跟响应，TCP适于主服务器跟从服务器之间的市传送.遗憾的是，在所有UDP实现中能保证正常工作的最大包长是512字节日本服务器，对于在每位包中应当富含数字签名的一些DNS新特征（例如，DNSSEC）来说实在是很小了。

512字节的限制还影响了根服务器的数目跟名子。

要使所有的根服务器数据能包含在一个512字节的UDP包中，根服务器只好限制在13个，而每位服务器要使用字母表中的单个字母命名。

以太网数据的宽度应当在46-1500字节之间，这是由以太网的地理特征决定的。

事实上，这个1500字节就是网路层IP数据包的宽度限制，理论上，IP数据包最大宽度是65535字节。

这是由IP首部16比特总宽度所限制的，去除20字节IP首部跟8个字节UDP首部，UDP数据包中数据最大宽度为65507字节。

在Internet数据传输中，UDP数据宽度控制在576字节（Internet标准MTU值），而在许多UDP应用程序设计中数据包被限制成512字节或更小。这样可以避免数据包的遗失。

许多解析器首先发送一条UDP查询，如果他们接收至一条被切断的响应，则会用TCP再次发送该查询。

这个过程跨过了512字节的限制，但是效率不高。您可能觉得DNS应当避免UDP，总是使用TCP，但是TCP连结的费用大得多。

一次UDP名子服务器交换可以短至两个包：一个查询包、一个响应包。一次TCP交换则起码包含7个包：三次握手初始化TCP会话、一个查询包、一个响应包以及最后一次握手来关掉连结。

来自："Nuclear'Atk 网络安全研究中心