作者：衛(wèi)劍釩

自從美國宣布 “清潔網(wǎng)絡(luò)” 行動后，很多懂點網(wǎng)絡(luò)的人，第一反應(yīng)是，美國人會下手根域名服務(wù)器嗎？

這種憂慮可不是一年兩年了。

2014 年 6 月 24 日的《人民日報》上引用專家發(fā)言：“目前美國掌握著全球互聯(lián)網(wǎng) 13 臺域名根服務(wù)器中的 10 臺。理論上，只要在根服務(wù)器上屏蔽該國家域名，就能讓這個國家的國家頂級域名網(wǎng)站在網(wǎng)絡(luò)上瞬間 “消失”。在這個意義上，美國具有全球獨一無二的制網(wǎng)權(quán)，有能力威懾他國的網(wǎng)絡(luò)邊疆和網(wǎng)絡(luò)主權(quán)。譬如，伊拉克戰(zhàn)爭期間，在美國政府授意下，伊拉克頂級域名 “.iq” 的申請和解析工作被終止，所有網(wǎng)址以 “.iq” 為后綴的網(wǎng)站從互聯(lián)網(wǎng)蒸發(fā)。”¹

《信息安全與通信保密》雜志 2014 年第 10 期的一篇文章寫道：“2004 年，由于與利比亞在頂級域名管理權(quán)問題上發(fā)生爭執(zhí)，美國終止了利比亞的頂級域名.LY 的解析服務(wù)，導(dǎo)致利比亞從網(wǎng)絡(luò)中消失 3 天。”²

對此，我們需要害怕嗎？我們需要什么樣的反制措施？

不是專家，還真回答不了這個問題。

因為這需要了解 DNS 的工作原理，了解根域名的管理機制。

這里先給出簡要回答：不排除這種可能性，但并不是沒有辦法。

一句話原因：雖然根不在我們手里，但我們有鏡像。

DNS 傻瓜書

先了解點基本概念，懂 DNS 的可以直接跳過本節(jié)。

1、DNS 是什么？

DNS 就是將域名轉(zhuǎn)換為 IP 的，因為我們?nèi)祟惖挠洃浟μ睿居洸蛔?IP，而電腦通信又必須用 IP，所以人類發(fā)明了域名，讓我們可以記住 baidu.com、taobao.com 這種還算能記得住的域名。然后通過 DNS，將這些域名轉(zhuǎn)換為電腦需要的 IP。

2、DNS 是怎么工作的？

每個電腦里面都設(shè)置了本地 DNS 服務(wù)器（簡稱?LDNS），需要的時候，就向 LDNS 發(fā)出請求，LDNS 在網(wǎng)上問權(quán)威域名服務(wù)器（簡稱?權(quán)威 DNS），有時候問一家是不夠的，要問一大圈下來，最后才能得到答案。

3、權(quán)威 DNS 是干什么的？

問我一個域名，我告訴你 IP，如果我不知道，我告訴你誰可能知道，你再去問它。

4、什么是根域名服務(wù)器（簡稱根 DNS）？

當(dāng) LDNS 啥都不知道的時候（也即沒有任何緩存），就去問根 DNS，根能告訴 LDNS 下一步該問誰。

5、全世界有多少根 DNS？

13 個，其中 10 個在美國，英國和瑞典各 1 個，日本 1 個。

6、根 DNS 的名字和 IP 都是什么？

在這個網(wǎng)址：

https://www.internic.net/domain/named.root

打開可以看到，里面有 13 個根的名字和 IP，其名字從 A.root-servers.net 到 M.root-servers.net。

A 開頭那個簡稱 A 根，是主根，其他 12 個（B、C、D、E、F、G、H、I、J、K、L、M）是輔根。

為什么根 DNS 只有 13 臺？

本節(jié)看不懂沒關(guān)系（一般人都看不懂），你只需要知道，由于歷史原因和技術(shù)原因，對于 IPv4 而言，根 DNS 只能有 13 個 IP。

正宗答案是：DNS 主要使用 UDP 數(shù)據(jù)報傳送報文，不含前面的各種頭部，DNS 報文要求被控制在 512 字節(jié)之內(nèi)（ RFC1035 ），主要考慮是這個大小幾乎可以在互聯(lián)網(wǎng)上暢通無阻，不會因為路徑中某個 MTU 太小（ MTU 通常總會 >= 576，見 RFC791 ）而導(dǎo)致 IP 分片，從而預(yù)防了各種不可預(yù)期的后果^?3。

而每一個根 DNS 在 DNS 報文中都要占用一定的字節(jié)數(shù)，比如根的名稱、TTL、IP 地址等。這樣，13 個根域名服務(wù)器基本上就把空間占差不多了，剩余的字節(jié)還要用于包裝 DNS 報頭以及其它協(xié)議參數(shù)，所以根域名服務(wù)器不易太多，13 個算是比較合適的數(shù)目。具體可以看一下 “Why 13 DNS root servers?” 這篇文章。⁴

真的只有 13 臺服務(wù)器嗎？

和很多人想象的完全不一樣，這 13 個根域名服務(wù)器，并不是只有 13 臺物理的服務(wù)器。

這 13 個根，只是一個邏輯上的概念，每個根 DNS，背后都有多臺真正的物理服務(wù)器在工作！

截至 2020 年 8 月 12 日，全球一共有 1097 個根服務(wù)器。每一個根都有若干個鏡像，分布在全球不同的地方。

這個數(shù)目在不斷上漲，去年 10 月 1 日新中國成立 70 周年閱兵的時候，我看了一下，是 1015 個服務(wù)器。

這 13 個根由 12 個獨立的機構(gòu)管理，比如 A 根和 J 根都是由 Verisign 公司管理，截至 2020 年 8 月 12 日，A 根在全球各地有 53 個站點，J 根有 185 個站點。L 根由 ICANN 管理，全球有 167 個站點，其中北京 2 個，上海 1 個。

在 root-servers 網(wǎng)站上^?5，可以查到所有這些根服務(wù)器的分布，從網(wǎng)站展示的根鏡像服務(wù)器地圖上看（2020 年 8 月 12 日），北京有 5 個根鏡像服務(wù)器，上海 1 個，杭州 2 個，武漢 1 個、鄭州 1 個、西寧 1 個、貴陽 1 個、廣州 1 個、香港 9 個，臺北 6 個。

包含港澳臺部分，我國一共有 28 個根鏡像。

我國境內(nèi)發(fā)出的對根 DNS 的請求，其實都由鏡像完成了。這一點后面會解釋。

現(xiàn)在，為了增長知識，你該硬著頭皮看一些 DNS 細(xì)節(jié)了。

DNS 到底是怎么工作的？

對于 IT 從業(yè)者，希望你能理解并牢牢記住本節(jié)的內(nèi)容。

因為你遲早會遇到有關(guān) DNS 的困惑。

先介紹一下域名的級別：

. 代表根域名， .com 這種是頂級域名，也叫一級域名，baidu.com 這種叫二級域名， www.baidu.com 這種叫三級域名，依次類推。

注：也有其他叫法的，反正你知道這個意思就可以了。

再介紹一下最常見的兩種域名服務(wù)器：

權(quán)威 DNS：負(fù)責(zé)對請求作出權(quán)威的回答。權(quán)威 DNS 中存儲著記錄，最常見的 3 種：A 記錄（記錄某域名和其 IP 的對應(yīng)），NS 記錄（記錄某域名和負(fù)責(zé)解析該域的權(quán)威 DNS），CNAME 記錄（負(fù)責(zé)記錄某域名及其別名）。權(quán)威能直接回答的，就回 A 記錄；需要其他權(quán)威 DNS 回答的，就回 NS 記錄，然后 LDNS 再去找其他權(quán)威 DNS 問；如果該記錄是別名類型的，就回 CNAME，LDNS 就會再去解析別名。

遞歸 DNS：通常就是 LDNS，它接受終端的域名查詢請求，負(fù)責(zé)在網(wǎng)上問一圈后，將答案返回終端。

現(xiàn)在舉一個具體的例子：比如終端請求 www.baidu.com 這個域名的 IP。

在沒有緩存時，LDNS 會從根 DNS 問起：

1、LDNS 問根 DNS 說：“www.baidu.com 的 IP 是多少啊？”。

2、根 DNS 說：“我哪有時間管你這么細(xì)的問題，你去問 com 頂級域的 DNS 吧，我只管到頂級域，喏，這些是 com 頂級域 DNS 的名字和 IP，你去問它們吧”。（以 NS 記錄回應(yīng)）

3、LDNS 又忙問 com 的權(quán)威 DNS，com 權(quán)威 DNS 說：“你問的這是三級域名，我不管這么多，你去問 baidu.com 的權(quán)威 DNS 吧，它的名字是 ns.baidu.com，他的 IP 是 XXX（這里可能給出多個權(quán)威 DNS）”。

4、LDNS 繼續(xù)問 baidu.com 的權(quán)威 DNS，這次痛快，因為 www.baidu.com 正是它管的，它可能直接給出 A 記錄，也可能給出 CNAME 記錄，如果是前者，就直接得到 IP，如果是后者，就需要對別名再做查詢。

5、最終，LDNS 得到 www.baidu.com 的 IP，并將其返回給終端。

細(xì)心的人會問，在第 1 步中，LDNS 問根 DNS 的時候，他是怎么知道根 DNS 的 IP 的？

這 13 個 IP 通常是預(yù)先配置在 LDNS 里面的。在 LDNS 初始化 DNS 緩存或者緩存失效的時候，LDNS 向自己被預(yù)先配置的這些 IP 中的一個，發(fā)起對根的查詢（也即詢問。的 NS 記錄），獲得最新的根 DNS 的信息^?6。

對于 DNS 服務(wù)器軟件而言，這 13 個 IP，配置在根提示文件（root hints file）中，可能是 named.cache 或 root.ca 或 root.hints 等等之類的文件。

上面就是各種教科書中都會講到的 DNS 查詢過程，但實際上，沒有這么麻煩，因為各個層面都是有緩存的。

實際 DNS 查詢的過程，是這樣的：

舉個例子，比如用戶在瀏覽器中輸入這個域名：123.abc.qq.com.cn

1、瀏覽器會先看自身有沒有對這個域名的緩存，如果有，就直接返回，如果沒有，就去問操作系統(tǒng)，操作系統(tǒng)也會去看自己的緩存，如果有，就直接返回，如果沒有，再去 hosts 文件看，也沒有，才會去問 LDNS。

2、LDNS 會去先看看自己有沒有 123.abc.qq.com.cn 的 A 記錄，要有就直接返回，要沒有，就去看有沒有 abc.qq.com.cn 的 NS 記錄，如果有，就去問它要答案，如果沒有，就去看有無 qq.com.cn 的 NS 的記錄，如果有，就去問它，沒有就去看有無 com.cn 的 DNS，還沒有就去看有無 cn 的 DNS，如果連 cn 的 NS 記錄都沒有，才去問根。

所以，有了緩存以后，教科書上那種從根問起的情況，實際上很少發(fā)生。

只有在各處都沒有緩存的時候，我們才會問根。

根鏡像起什么作用？

根鏡像承擔(dān)起和根一樣的功能。

根 DNS 中，最重要的文件就是根區(qū)文件（Root Zone file）。所有頂級域名記錄都存在根區(qū)文件中。

輔根從主根同步數(shù)據(jù)，根鏡像從根同步數(shù)據(jù)。最終，所有根和鏡像都有著同樣的根區(qū)文件。

而且最有意思的是，根鏡像和根有著同樣的 IP。

我們知道，全球有一千多個根鏡像，但是大多數(shù)人不知道，它們一起共享 13 個 IP！? 對的。因為只有 13 個根。

這是如何做到的？答案是任播（Anycast，又譯泛播）技術(shù)。

不關(guān)心技術(shù)細(xì)節(jié)的，請直接看本節(jié)的最后一句。

任播最初由 RFC1546 提出，主要用在 DNS 根服務(wù)器上。

任播是指在 IP 網(wǎng)絡(luò)上通過一個 IP 地址標(biāo)識一組提供特定服務(wù)的主機，服務(wù)訪問方并不關(guān)心提供服務(wù)具體是哪一臺主機提供的，訪問該地址的報文可以被 IP 網(wǎng)絡(luò)路由到 “最近” 的一個（最好也只是一個，別送到多個）服務(wù)器上。這里 “最近” 可以是指路由器跳數(shù)、服務(wù)器負(fù)載、服務(wù)器吞吐量、客戶和服務(wù)器之間的往返時間（ RTT，round trip time ）、鏈路的可用帶寬等特征值。

這樣，一方面，用戶可以就近訪問；另一方面，即便部分根出現(xiàn)故障也沒事。

有些同學(xué)可能聯(lián)想到負(fù)載均衡，沒錯，大致上就是這個意思。

對于中國用戶來說，對根的請求，一般不會跑到美國去，而是通過任播技術(shù)路由到中國境內(nèi)的根鏡像上。

根 DNS 是怎么管理的？

根 DNS 目前由 12 家機構(gòu)管理。A 根是主根，由美國公司 Verisign 管理。

根 DNS 中最重要的文件，根區(qū)文件，由 ICANN 管理。

ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)）是成立于 1998 年的一家注冊在美國的非營利性組織。

根 DNS 管理的歷史變遷過程還是比較復(fù)雜的。這里簡要說一下。

DNS 最初的技術(shù)開發(fā)者與管理者是美國南加州大學(xué)的 Jon Postel 博士，他掌管互聯(lián)網(wǎng)初期根 DNS 的管理和分配。

1988 年，美國政府要求 Jon Postel 采取更安全和更合理的措施來保證互聯(lián)網(wǎng)核心資源的分配和管理^?7。于是，大名鼎鼎的 IANA（The Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機構(gòu)）被組建，并在 DARPA 和南加州大學(xué)信息科學(xué)研究所（ISI）的合同下管理。

IANA 負(fù)責(zé)互聯(lián)網(wǎng)全局編號和編碼的管理與協(xié)調(diào)，之所以需要這么個機構(gòu)，是因為互聯(lián)網(wǎng)協(xié)議的值或參數(shù)，必須是全球唯一的，否則無法互聯(lián)互通，比如 HTTP 協(xié)議默認(rèn)都在 80 端口等待用戶請求，而 404 編碼則一致代表 " 未找到頁面”。IANA 主要職責(zé)包括 IP 地址段的分配、協(xié)議代碼和編號的分配（如協(xié)議號、端口號）、自治系統(tǒng)編號 (ASN) 分配、DNS 根區(qū)管理（包括通用頂級域名 gTLD 以及國家和地區(qū)頂級域名 ccTLD 管理）等。⁸

1998 年 ICANN 成立之后，美國商務(wù)部以合同形式，委托 ICANN 承擔(dān) IANA 日常運行，IANA 從 ISI 轉(zhuǎn)移到 ICANN 之下。

對于頂級域名的管理，ICANN 的政策是，每個頂級域名（像 com、cn、org 這種頂級域名，目前有 1000 多個）都找一個托管商，該域名的所有事項都由托管商負(fù)責(zé)。

.cn 域名的托管商是中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC），它決定.cn 域名的各種政策。

.com、.net 、.name、.gov 這四個頂級域名都由 Verisign 公司托管。

Verisign 和 ICANN 還是鬧過幾次不愉快的。⁹

2003 年，Verisign 推出了一項新業(yè)務(wù) Site Finder，用戶訪問沒有注冊過的.com 或.net 域名，都會被導(dǎo)向 Verisign 的網(wǎng)站。這意味著，它事實上擁有了所有沒有注冊過的.com 和.net 域名。幾天之內(nèi)，Verisign 就擠入了全世界的前 10 大網(wǎng)站。

ICANN 要求 Verisign 立刻停止該業(yè)務(wù)，否則將終止域名托管合同。Verisign 屈服了，停止了這項業(yè)務(wù)，但是接著就把 ICANN 告上了法庭，要求法庭厘請兩者之間的合同，ICANN 到底有沒有權(quán)力干涉它的業(yè)務(wù)。

2006 年底，他們達(dá)成了庭外和解。ICANN 同意延長 Verisign 的頂級域名托管合同，并且同意 Verisign 向消費者收取的單個域名注冊費的上限，從 6 美元提高到了 7.85 美元。這個費用標(biāo)準(zhǔn)，一直沿用到了今天，你去注冊一個.com 或.net 域名，所交的錢有 0.18 美元是 ICANN 收取的管理費，7.85 美元是 Verisign 收取的托管費，其余的錢就是域名零售商的費用。

雖然是 ICANN 運營著 IANA，但畢竟是在美國政府的合同管理之下，全球各國以及民間人士頗有微詞，一致認(rèn)為美國政府應(yīng)該徹底退出。

2014 年 3 月 14 日，美國商務(wù)部國家通訊與信息管理局（NTIA）宣布愿意將 IANA 的管理權(quán)完全移交給 ICANN，并要求 ICANN 制定移交計劃。NTIA 尤其強調(diào)，移交計劃要強化多利益相關(guān)方模式，不能以政府間組織或政府領(lǐng)導(dǎo)的組織取代當(dāng)前 NTIA 扮演的角色。

2016 年 3 月 17 日，ICANN 向 NTIA 提交了移交計劃。2016 年 6 月 9 日，NTIA 公布審核意見，表示 ICANN 提交的移交計劃滿足了此前設(shè)定的條件。

2016 年 8 月 16 日，NTIA 宣布不再延期現(xiàn)有合同。

雖然遇到一些阻撓^?10，最終，2016 年 10 月 1 日，ICANN 和美國商務(wù)部之間關(guān)于 IANA 職能的合同到期且不再續(xù)約，ICANN 徹底成為獨立的非營利機構(gòu)。IANA 部門的員工和其他的相關(guān)資源都被轉(zhuǎn)移到 ICANN 新設(shè)立的附屬機構(gòu) PTI（Public Technical Identifiers，公共技術(shù)標(biāo)識符）中。

ICANN 使用全球多利益相關(guān)方治理模型（global multistakeholder governance model）進(jìn)行管理。PTI 董事會共 5 席，3 席由 ICANN 委派，2 席由全球互聯(lián)網(wǎng)社群代表組成提名委員會產(chǎn)生。2017 年 2 月，ICANN 發(fā)布 PTI 董事競選公告，經(jīng)半年多輪面試及背景調(diào)查，提名委員會于 2017 年 10 月 26 日宣布我國北龍中網(wǎng)的王偉與另一歐洲代表中選。又經(jīng)一個半月的利益沖突審查，2017 年 12 月 13 日 ICANN 董事會正式確認(rèn)王偉當(dāng)選。^?11

我國的根鏡像由誰管理？

從目前我所找到的資料看，自 2003 年以來，我國在不斷引進(jìn)根鏡像，尤其是去年，根鏡像個數(shù)增速很快。

2003 年，中國電信引入了國內(nèi)第一個根鏡像節(jié)點（F 根）。

2005 年，I 根服務(wù)器運行機構(gòu)在 CNNIC 設(shè)立了中國第二個根鏡像（I 根）。

2006 年，中國聯(lián)通 (原中國網(wǎng)通) 與美國 VeriSign 公司合作， 在國內(nèi)正式開通 J 根鏡像服務(wù)器，同時引入了全球最大的兩個頂級域名 “.COM” 和 “.NET” 鏡像節(jié)點；引進(jìn)這些鏡像的主要目的是提高根域名和頂級域名的解析性能。

2014 年，世紀(jì)互聯(lián)與 ICANN 合作在中國增設(shè) L 根域名服務(wù)器鏡像。

2019 年 6 月 24 日，工信部批準(zhǔn) CNNIC 設(shè)立六臺域名根鏡像服務(wù)器（F、I、K、L）。這六臺域名根服務(wù)器編號為 JX0001F、JX0002F、JX0003I、JX0004K、JX0005L 和 JX0006L¹²，并批準(zhǔn)互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）設(shè)立 L 根鏡像服務(wù)器 JX0007L¹³。

2019 年 11 月 6 日，工信部批復(fù)同意中國信息通信研究院設(shè)立 L 根鏡像服務(wù)器，編號分別為 JX0008L、JX0009L。

2019 年 12 月 5 日，工信部批復(fù)同意中國信息通信研究院設(shè)立域名根服務(wù)器（K 根鏡像服務(wù)器），編號為 JX0010K。

2019 年 12 月 9 日，工信部批復(fù)同意 CNNIC 設(shè)立域名根服務(wù)器（J、K 根鏡像服務(wù)器），編號分別為 JX0011J、JX0012K。

從工信部的批文中可以了解到，相關(guān)單位負(fù)責(zé)根鏡像的運行、維護(hù)和管理工作，維護(hù)國家利益和用戶權(quán)益，并接受工信部的管理和監(jiān)督檢查。

工信部在給 CNNIC 的批文中寫道：“你中心應(yīng)嚴(yán)格遵守《互聯(lián)網(wǎng)域名管理辦法》《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》及相關(guān)法律法規(guī)、行政規(guī)章及行業(yè)管理規(guī)定，接受我部的管理和監(jiān)督檢查，建立符合我部要求的信息管理系統(tǒng)并與我部指定的管理系統(tǒng)對接，保證域名根服務(wù)器安全、可靠運行，為用戶提供安全、方便的域名服務(wù)，保障服務(wù)質(zhì)量，保護(hù)用戶個人信息安全，維護(hù)國家利益和用戶權(quán)益。”

美國能對根 DNS 做什么手腳？

雖然 ICANN 是一個獨立的非營利性機構(gòu)，但如果美國政府動用強制力量，A 根（主根）的內(nèi)容仍然存在被篡改的可能。

也就是根區(qū)文件可以被篡改。

會怎么篡改？

我們先看看根區(qū)文件長什么樣。

從 ICANN 官網(wǎng)上可以下載根區(qū)文件：

https://www.iana.org/domains/root/files

該文件保存所有頂級域名的信息，目前大小為 2.2M，2 萬余行。

每當(dāng)有頂級域名的變動時，該文件就會更新。

我們可以看到，和 cn 域名解析相關(guān)的記錄也就那么幾十行。

如果刪除和 cn 相關(guān)的那些行，很快，就會同步到所有的根中。

然后，在所有的緩存都過期之后，全球所有人都訪問不了.cn 后綴的網(wǎng)站。

如何應(yīng)對？

因為我們維護(hù)著根鏡像，所以我們控制著鏡像中的內(nèi)容。

而中國境內(nèi)的對根的訪問，通過我們的運營商，都會落到對我國根鏡像的訪問上。

我們可以不同步關(guān)于 cn 的修改。

就這么簡單。

可以簡單寫個程序，每次同步完立刻加上 cn 記錄。

也可以自己搭個主根，完全不和美國的根同步。（相當(dāng)于另立中央了）

當(dāng)然，世界各地不在我們管理之下的根和根鏡像，如果不加行動，仍然會同步這些刪除。

那么，除了中國自己，其他國家的人都無法訪問.cn 網(wǎng)站。

但是，這些國家很快就會有響應(yīng)，凡是想訪問.cn 網(wǎng)站的國家，都會把 cn 記錄加回去，并拒絕同步美國刪去的這幾行。

最終，只有美國人，訪問不了.cn 網(wǎng)站。

綜上分析，我認(rèn)為美國這么做的可能性不大，因為這一招過于低劣，將會讓美國政府完全顏面掃地，并失去今后在互聯(lián)網(wǎng)領(lǐng)域的任何話語權(quán)。而 ICANN 也將失去公信力，整個互聯(lián)網(wǎng)世界，會推選使用新的機構(gòu)和新的主根。

因為互聯(lián)網(wǎng)世界的一貫準(zhǔn)則就是：如有封禁，就繞過它。

后記

最后，我們看看本文開頭所提的兩個斷網(wǎng)事件是怎么回事：

關(guān)于伊拉克域名事件，可以看看清華大學(xué)段海新教授的文章：“伊拉克域名.IQ 被美國刪除的背后以及早期的根域名管理”，里面把整個事件的來龍去脈說的很清楚。主要原因是.iq 域名的前任管理者于 2002 年被關(guān)進(jìn)監(jiān)獄，新任管理者（NCMC）于 2005 年才提出申請，而 IANA 當(dāng)時還考慮征求新舊代理雙方對新授權(quán)的一致認(rèn)可，所以才出現(xiàn)了所謂的 “申請和解析工作被終止”。

關(guān)于利比亞域名事件，可以看看此文：“利比亞國家頂級域名（.LY）中止服務(wù)始末”，事實情況是參與運營.LY 的兩家機構(gòu)因爭奪歸屬權(quán)而內(nèi)斗的結(jié)果（其中一方關(guān)閉了.LY 域名服務(wù)器的解析）。經(jīng)過這番變亂，2004 年 10 月，ICANN 批準(zhǔn)將.LY 授予利比亞郵電總公司，.LY 事件算是塵埃落定。

本文中提到的風(fēng)險和應(yīng)對，主要是我個人的分析，下面看看業(yè)內(nèi)專家的說法。

中國工程院院士、清華大學(xué)計算機系主任吳建平在 2019 年的一次訪談^?14?中表示，DNS 根域名服務(wù)器不是互聯(lián)網(wǎng)的 “核按鈕”。全球互聯(lián)網(wǎng)根域名服務(wù)器運行者，不可能同時關(guān)閉所有的根服務(wù)器，包括影子服務(wù)器。

互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）主任毛偉表示^?15：互聯(lián)網(wǎng)專家一直都在不斷完善域名根系統(tǒng)安全保障機制，就算真的斷 “根” 了，也有應(yīng)急方法來解決。在境內(nèi)，可以采用根區(qū)數(shù)據(jù)備份并搭建應(yīng)急根服務(wù)器來解決；在全球?qū)用妫梢杂酶R像、IPv6 環(huán)境下的根服務(wù)器數(shù)量擴展、根服務(wù)器運行機構(gòu)備選機制等方法來解決。

現(xiàn)在，了解了這么多，關(guān)于根域名服務(wù)器，你是不是放心了很多。

參考文獻(xiàn)：

---

1. 從網(wǎng)絡(luò)大國走向網(wǎng)絡(luò)強國 (http://opinion.people.com.cn/n/2014/0624/c1003-25189448.html)?

2. 美國網(wǎng)絡(luò)霸權(quán)淺析 (http://www.wanfangdata.com.cn/details/detail.do?_type=perio&id=xxaqytxbm201410030)?

3. 為什么域名根服務(wù)器只能有 13 臺呢？(https://www.zhihu.com/question/22587247)?

4. Why 13 DNS root servers?(https://miek.nl/2013/november/10/why-13-dns-root-servers/)?

5. https://root-servers.org?

6. Initializing a DNS Resolver with Priming Queries(https://tools.ietf.org/html/draft-ietf-dnsop-resolver-priming-11)?

7. 薛虹：互聯(lián)網(wǎng)全球治理的新篇章 (https://zhuanlan.zhihu.com/p/23042167)?

8. ICANN: IANA 職能 (https://www.icann.org/zh/system/files/files/iana-functions-18dec15-zh.pdf)?

9. 阮一峰：根域名的知識?

10. 徐培喜：IANA 職能管理權(quán)移交誰是贏家?

11. 北龍中網(wǎng)王偉任職 PTI 董事 我國專家就任國際互聯(lián)網(wǎng)治理關(guān)鍵崗位 (http://news.sina.com.cn/c/2017-12-25/doc-ifypwzxq6350205.shtml)?

12. 工業(yè)和信息化部關(guān)于同意中國互聯(lián)網(wǎng)絡(luò)信息中心設(shè)立域名根服務(wù)器（F、I、K、L 根鏡像服務(wù)器）及域名根服務(wù)器運行機構(gòu)的批復(fù) (http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015545/content.html)?

13. 工業(yè)和信息化部關(guān)于同意互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心有限公司設(shè)立域名根服務(wù)器（L 根鏡像服務(wù)器）及域名根服務(wù)器運行機構(gòu)的批復(fù) (http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015527/content.html)?

14. 中國工程院院士吳建平：DNS 根服務(wù)器不是互聯(lián)網(wǎng)的核按鈕！?

15. ZDNS 毛偉：互聯(lián)網(wǎng)根并不能讓中國斷網(wǎng)，更應(yīng)重視企業(yè)域名服務(wù)風(fēng)險

完

純原創(chuàng)小號來襲，帥地申請了個小號，我會在這個公眾號分享讀者問過我的問題，并且給予最真實的回答，同時也會分享自己學(xué)習(xí)方法、掙錢經(jīng)歷、工作經(jīng)歷、個人經(jīng)歷、沙雕日常，我相信，我的經(jīng)歷與想法，一定可以給你帶來一些幫助！目前是一周1～2更，掃一掃進(jìn)入帥地的原創(chuàng)私密沙雕小號
讀者福利
《程序員內(nèi)功修煉》第二版強勢來襲，匯總了高質(zhì)量的算法、計算機基礎(chǔ)文章并且每一篇文章，要嘛是漫畫講解，要嘛是對話講解，一步步引導(dǎo)，要嘛是圖形并茂，例如講解樹的文章
例如漫畫文章
例如講解算法思想的文章
等等，如果你想學(xué)習(xí)算法，學(xué)習(xí)計算機基礎(chǔ)，那么我決定這份 PDF，一定會讓你有所幫助。當(dāng)然，如果一是一位有那么點迷茫的在校生，相信我的個人經(jīng)歷，可以給你打一份雞血，讓你更好著去尋找自己的目標(biāo)。
如何獲取
很簡單，在我的微信公眾號?帥地玩編程?回復(fù)?程序員內(nèi)功修煉?即可獲取《程序員內(nèi)功修煉》第一版和第二版的 PDF。