自從美國宣布“清潔網(wǎng)絡(luò)”行動(dòng)后，很多懂點(diǎn)網(wǎng)絡(luò)的人，第一反應(yīng)是，美國人會(huì)下手根域名服務(wù)器嗎？

這種憂慮可不是一年兩年了。

2014年6月24日的《人民日報(bào)》上引用專家發(fā)言：“目前美國掌握著全球互聯(lián)網(wǎng)13臺域名根服務(wù)器中的10臺。理論上，只要在根服務(wù)器上屏蔽該國家域名，就能讓這個(gè)國家的國家頂級域名網(wǎng)站在網(wǎng)絡(luò)上瞬間“消失”。在這個(gè)意義上，美國具有全球獨(dú)一無二的制網(wǎng)權(quán)，有能力威懾他國的網(wǎng)絡(luò)邊疆和網(wǎng)絡(luò)主權(quán)。譬如，伊拉克戰(zhàn)爭期間，在美國政府授意下，伊拉克頂級域名“.iq”的申請和解析工作被終止，所有網(wǎng)址以“.iq”為后綴的網(wǎng)站從互聯(lián)網(wǎng)蒸發(fā)。”1

《信息安全與通信保密》雜志2014年第10期的一篇文章寫道：“2004年，由于與利比亞在頂級域名管理權(quán)問題上發(fā)生爭執(zhí)，美國終止了利比亞的頂級域名.LY的解析服務(wù)，導(dǎo)致利比亞從網(wǎng)絡(luò)中消失3天。”2

對此，我們需要害怕嗎？我們需要什么樣的反制措施？

不是專家，還真回答不了這個(gè)問題。

因?yàn)檫@需要了解DNS的工作原理，了解根域名的管理機(jī)制。

這里先給出簡要回答：不排除這種可能性，但并不是沒有辦法。

一句話原因：雖然根不在我們手里，但我們有鏡像。

DNS傻瓜書

先了解點(diǎn)基本概念，懂DNS的可以直接跳過本節(jié)。

1、DNS是什么？

DNS就是將域名轉(zhuǎn)換為IP的，因?yàn)槲覀內(nèi)祟惖挠洃浟μ睿居洸蛔P，而電腦通信又必須用IP，所以人類發(fā)明了域名，讓我們可以記住baidu.com、taobao.com這種還算能記得住的域名。然后通過DNS，將這些域名轉(zhuǎn)換為電腦需要的IP。

2、DNS是怎么工作的？

每個(gè)電腦里面都設(shè)置了本地DNS服務(wù)器（簡稱LDNS），需要的時(shí)候，就向LDNS發(fā)出請求，LDNS在網(wǎng)上問權(quán)威域名服務(wù)器（簡稱權(quán)威DNS），有時(shí)候問一家是不夠的，要問一大圈下來，最后才能得到答案。

3、權(quán)威DNS是干什么的？

問我一個(gè)域名，我告訴你IP，如果我不知道，我告訴你誰可能知道，你再去問它。

4、什么是根域名服務(wù)器（簡稱根DNS）？

當(dāng)LDNS啥都不知道的時(shí)候（也即沒有任何緩存），就去問根DNS，根能告訴LDNS下一步該問誰。

5、全世界有多少根DNS？

13個(gè)，其中10個(gè)在美國，英國和瑞典各1個(gè)，日本1個(gè)。

6、根DNS的名字和IP都是什么？

在這個(gè)網(wǎng)址：

https://www.internic.net/domain/named.root

打開可以看到，里面有13個(gè)根的名字和IP，其名字從A.root-servers.net到M.root-servers.net。

A開頭那個(gè)簡稱A根，是主根，其他12個(gè)（B、C、D、E、F、G、H、I、J、K、L、M）是輔根。

為什么根DNS只有13臺？

本節(jié)看不懂沒關(guān)系（一般人都看不懂），你只需要知道，由于歷史原因和技術(shù)原因，對于IPv4而言，根DNS只能有13個(gè)IP。

正宗答案是：DNS主要使用UDP數(shù)據(jù)報(bào)傳送報(bào)文，不含前面的各種頭部，DNS報(bào)文要求被控制在512字節(jié)之內(nèi)（ RFC1035 ），主要考慮是這個(gè)大小幾乎可以在互聯(lián)網(wǎng)上暢通無阻，不會(huì)因?yàn)槁窂街心硞€(gè)MTU太小（ MTU 通常總會(huì) >= 576，見 RFC791 ）而導(dǎo)致IP分片，從而預(yù)防了各種不可預(yù)期的后果3。

而每一個(gè)根DNS在DNS報(bào)文中都要占用一定的字節(jié)數(shù)，比如根的名稱、TTL、IP地址等。這樣，13個(gè)根域名服務(wù)器基本上就把空間占差不多了，剩余的字節(jié)還要用于包裝DNS報(bào)頭以及其它協(xié)議參數(shù)，所以根域名服務(wù)器不易太多，13個(gè)算是比較合適的數(shù)目。具體可以看一下“Why 13 DNS root servers?”這篇文章。4

真的只有13臺服務(wù)器嗎？

和很多人想象的完全不一樣，這13個(gè)根域名服務(wù)器，并不是只有13臺物理的服務(wù)器。

這13個(gè)根，只是一個(gè)邏輯上的概念，每個(gè)根DNS，背后都有多臺真正的物理服務(wù)器在工作！

截至2020年8月12日，全球一共有1097個(gè)根服務(wù)器。每一個(gè)根都有若干個(gè)鏡像，分布在全球不同的地方。

這個(gè)數(shù)目在不斷上漲，去年10月1日新中國成立70周年閱兵的時(shí)候，我看了一下，是1015個(gè)服務(wù)器。

這13個(gè)根由12個(gè)獨(dú)立的機(jī)構(gòu)管理，比如A根和J根都是由Verisign公司管理，截至2020年8月12日，A根在全球各地有53個(gè)站點(diǎn)，J根有185個(gè)站點(diǎn)。L根由ICANN管理，全球有167個(gè)站點(diǎn)，其中北京2個(gè)，上海1個(gè)。

在root-servers網(wǎng)站上5，可以查到所有這些根服務(wù)器的分布，從網(wǎng)站展示的根鏡像服務(wù)器地圖上看（2020年8月12日），北京有 5 個(gè)根鏡像服務(wù)器，上海 1 個(gè)，杭州 2 個(gè)，武漢1個(gè)、鄭州1個(gè)、西寧1個(gè)、貴陽1個(gè)、廣州1個(gè)、香港 9 個(gè)，臺北 6 個(gè)。

包含港澳臺部分，我國一共有28個(gè)根鏡像。

我國境內(nèi)發(fā)出的對根DNS的請求，其實(shí)都由鏡像完成了。這一點(diǎn)后面會(huì)解釋。

現(xiàn)在，為了增長知識，你該硬著頭皮看一些DNS細(xì)節(jié)了。

DNS到底是怎么工作的？

對于IT從業(yè)者，希望你能理解并牢牢記住本節(jié)的內(nèi)容。

因?yàn)槟氵t早會(huì)遇到有關(guān)DNS的困惑。

先介紹一下域名的級別：

.代表根域名， .com這種是頂級域名，也叫一級域名，baidu.com這種叫二級域名， www.baidu.com這種叫三級域名，依次類推。

注：也有其他叫法的，反正你知道這個(gè)意思就可以了。

再介紹一下最常見的兩種域名服務(wù)器：

權(quán)威DNS：負(fù)責(zé)對請求作出權(quán)威的回答。權(quán)威DNS中存儲(chǔ)著記錄，最常見的3種：A記錄（記錄某域名和其IP的對應(yīng)），NS記錄（記錄某域名和負(fù)責(zé)解析該域的權(quán)威DNS），CNAME記錄（負(fù)責(zé)記錄某域名及其別名）。權(quán)威能直接回答的，就回A記錄；需要其他權(quán)威DNS回答的，就回NS記錄，然后LDNS再去找其他權(quán)威DNS問；如果該記錄是別名類型的，就回CNAME，LDNS就會(huì)再去解析別名。

遞歸DNS：通常就是LDNS，它接受終端的域名查詢請求，負(fù)責(zé)在網(wǎng)上問一圈后，將答案返回終端。

現(xiàn)在舉一個(gè)具體的例子：比如終端請求www.baidu.com這個(gè)域名的IP。

在沒有緩存時(shí)，LDNS會(huì)從根DNS問起：

1、LDNS問根DNS說：“www.baidu.com的IP是多少啊？”。

2、根DNS說：“我哪有時(shí)間管你這么細(xì)的問題，你去問com頂級域的DNS吧，我只管到頂級域，喏，這些是com頂級域DNS的名字和IP，你去問它們吧”。（以NS記錄回應(yīng)）

3、LDNS又忙問com的權(quán)威DNS，com權(quán)威DNS說：“你問的這是三級域名，我不管這么多，你去問baidu.com的權(quán)威DNS吧，它的名字是ns.baidu.com，他的IP是XXX（這里可能給出多個(gè)權(quán)威DNS）”。

4、LDNS繼續(xù)問baidu.com的權(quán)威DNS，這次痛快，因?yàn)閣ww.baidu.com正是它管的，它可能直接給出A記錄，也可能給出CNAME記錄，如果是前者，就直接得到IP，如果是后者，就需要對別名再做查詢。

5、最終，LDNS得到www.baidu.com的IP，并將其返回給終端。

細(xì)心的人會(huì)問，在第1步中，LDNS問根DNS的時(shí)候，他是怎么知道根DNS的IP的？

這13個(gè)IP通常是預(yù)先配置在LDNS里面的。在LDNS初始化DNS緩存或者緩存失效的時(shí)候，LDNS向自己被預(yù)先配置的這些IP中的一個(gè)，發(fā)起對根的查詢（也即詢問.的NS記錄），獲得最新的根DNS的信息6。

對于DNS服務(wù)器軟件而言，這13個(gè)IP，配置在根提示文件（root hints file）中，可能是named.cache或root.ca或root.hints等等之類的文件。

上面就是各種教科書中都會(huì)講到的DNS查詢過程，但實(shí)際上，沒有這么麻煩，因?yàn)楦鱾€(gè)層面都是有緩存的。

實(shí)際DNS查詢的過程，是這樣的：

舉個(gè)例子，比如用戶在瀏覽器中輸入這個(gè)域名：123.abc.qq.com.cn

1、瀏覽器會(huì)先看自身有沒有對這個(gè)域名的緩存，如果有，就直接返回，如果沒有，就去問操作系統(tǒng)，操作系統(tǒng)也會(huì)去看自己的緩存，如果有，就直接返回，如果沒有，再去hosts文件看，也沒有，才會(huì)去問LDNS。

2、LDNS會(huì)去先看看自己有沒有123.abc.qq.com.cn的A記錄，要有就直接返回，要沒有，就去看有沒有abc.qq.com.cn的NS記錄，如果有，就去問它要答案，如果沒有，就去看有無qq.com.cn的NS的記錄，如果有，就去問它，沒有就去看有無com.cn的DNS，還沒有就去看有無cn的DNS，如果連cn的NS記錄都沒有，才去問根。

所以，有了緩存以后，教科書上那種從根問起的情況，實(shí)際上很少發(fā)生。

只有在各處都沒有緩存的時(shí)候，我們才會(huì)問根。

根鏡像起什么作用？

根鏡像承擔(dān)起和根一樣的功能。

根DNS中，最重要的文件就是根區(qū)文件（Root Zone file）。所有頂級域名記錄都存在根區(qū)文件中。

輔根從主根同步數(shù)據(jù)，根鏡像從根同步數(shù)據(jù)。最終，所有根和鏡像都有著同樣的根區(qū)文件。

而且最有意思的是，根鏡像和根有著同樣的IP。

我們知道，全球有一千多個(gè)根鏡像，但是大多數(shù)人不知道，它們一起共享13個(gè)IP！對的。因?yàn)橹挥?3個(gè)根。

這是如何做到的？答案是任播（Anycast，又譯泛播）技術(shù)。

不關(guān)心技術(shù)細(xì)節(jié)的，請直接看本節(jié)的最后一句。

任播最初由RFC1546提出，主要用在DNS根服務(wù)器上。

任播是指在IP網(wǎng)絡(luò)上通過一個(gè)IP地址標(biāo)識一組提供特定服務(wù)的主機(jī)，服務(wù)訪問方并不關(guān)心提供服務(wù)具體是哪一臺主機(jī)提供的，訪問該地址的報(bào)文可以被IP網(wǎng)絡(luò)路由到“最近”的一個(gè)（最好也只是一個(gè)，別送到多個(gè)）服務(wù)器上。這里“最近”可以是指路由器跳數(shù)、服務(wù)器負(fù)載、服務(wù)器吞吐量、客戶和服務(wù)器之間的往返時(shí)間（ RTT，round trip time ）、鏈路的可用帶寬等特征值。

這樣，一方面，用戶可以就近訪問；另一方面，即便部分根出現(xiàn)故障也沒事。

有些同學(xué)可能聯(lián)想到負(fù)載均衡，沒錯(cuò)，大致上就是這個(gè)意思。

對于中國用戶來說，對根的請求，一般不會(huì)跑到美國去，而是通過任播技術(shù)路由到中國境內(nèi)的根鏡像上。

根DNS是怎么管理的？

根DNS目前由12家機(jī)構(gòu)管理。A根是主根，由美國公司Verisign管理。

根DNS中最重要的文件，根區(qū)文件，由ICANN管理。

ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）是成立于1998年的一家注冊在美國的非營利性組織。

根DNS管理的歷史變遷過程還是比較復(fù)雜的。這里簡要說一下。

DNS最初的技術(shù)開發(fā)者與管理者是美國南加州大學(xué)的Jon Postel博士，他掌管互聯(lián)網(wǎng)初期根DNS的管理和分配。

1988年，美國政府要求Jon Postel采取更安全和更合理的措施來保證互聯(lián)網(wǎng)核心資源的分配和管理7。于是，大名鼎鼎的IANA（The Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）被組建，并在DARPA和南加州大學(xué)信息科學(xué)研究所（ISI）的合同下管理。

IANA負(fù)責(zé)互聯(lián)網(wǎng)全局編號和編碼的管理與協(xié)調(diào)，之所以需要這么個(gè)機(jī)構(gòu)，是因?yàn)榛ヂ?lián)網(wǎng)協(xié)議的值或參數(shù)，必須是全球唯一的，否則無法互聯(lián)互通，比如HTTP協(xié)議默認(rèn)都在80端口等待用戶請求，而404編碼則一致代表"未找到頁面”。IANA主要職責(zé)包括IP地址段的分配、協(xié)議代碼和編號的分配（如協(xié)議號、端口號）、自治系統(tǒng)編號 (ASN) 分配、DNS根區(qū)管理（包括通用頂級域名gTLD以及國家和地區(qū)頂級域名ccTLD管理）等。8

1998年ICANN成立之后，美國商務(wù)部以合同形式，委托ICANN承擔(dān)IANA日常運(yùn)行，IANA從ISI轉(zhuǎn)移到ICANN之下。

對于頂級域名的管理，ICANN的政策是，每個(gè)頂級域名（像com、cn、org這種頂級域名，目前有1000多個(gè)）都找一個(gè)托管商，該域名的所有事項(xiàng)都由托管商負(fù)責(zé)。

.cn域名的托管商是中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC），它決定.cn域名的各種政策。

.com、.net 、.name、.gov這四個(gè)頂級域名都由Verisign公司托管。

Verisign和ICANN還是鬧過幾次不愉快的。9

2003年，Verisign 推出了一項(xiàng)新業(yè)務(wù) Site Finder，用戶訪問沒有注冊過的.com或.net域名，都會(huì)被導(dǎo)向 Verisign 的網(wǎng)站。這意味著，它事實(shí)上擁有了所有沒有注冊過的.com和.net域名。幾天之內(nèi)，Verisign 就擠入了全世界的前10大網(wǎng)站。

ICANN 要求 Verisign 立刻停止該業(yè)務(wù)，否則將終止域名托管合同。Verisign 屈服了，停止了這項(xiàng)業(yè)務(wù)，但是接著就把 ICANN 告上了法庭，要求法庭厘請兩者之間的合同，ICANN 到底有沒有權(quán)力干涉它的業(yè)務(wù)。

2006年底，他們達(dá)成了庭外和解。ICANN 同意延長 Verisign 的頂級域名托管合同，并且同意 Verisign 向消費(fèi)者收取的單個(gè)域名注冊費(fèi)的上限，從6美元提高到了7.85美元。這個(gè)費(fèi)用標(biāo)準(zhǔn)，一直沿用到了今天，你去注冊一個(gè).com或.net域名，所交的錢有0.18美元是 ICANN 收取的管理費(fèi)，7.85美元是 Verisign 收取的托管費(fèi)，其余的錢就是域名零售商的費(fèi)用。

雖然是ICANN運(yùn)營著IANA，但畢竟是在美國政府的合同管理之下，全球各國以及民間人士頗有微詞，一致認(rèn)為美國政府應(yīng)該徹底退出。

2014年3月14日，美國商務(wù)部國家通訊與信息管理局（NTIA）宣布愿意將IANA的管理權(quán)完全移交給ICANN，并要求ICANN制定移交計(jì)劃。NTIA尤其強(qiáng)調(diào)，移交計(jì)劃要強(qiáng)化多利益相關(guān)方模式，不能以政府間組織或政府領(lǐng)導(dǎo)的組織取代當(dāng)前NTIA扮演的角色。

2016年3月17日，ICANN向NTIA提交了移交計(jì)劃。2016年6月9日，NTIA公布審核意見，表示ICANN提交的移交計(jì)劃滿足了此前設(shè)定的條件。

2016年8月16日，NTIA宣布不再延期現(xiàn)有合同。

雖然遇到一些阻撓10，最終，2016年10月1日，ICANN和美國商務(wù)部之間關(guān)于IANA職能的合同到期且不再續(xù)約，ICANN徹底成為獨(dú)立的非營利機(jī)構(gòu)。IANA部門的員工和其他的相關(guān)資源都被轉(zhuǎn)移到ICANN新設(shè)立的附屬機(jī)構(gòu)PTI（Public Technical Identifiers，公共技術(shù)標(biāo)識符）中。

ICANN使用全球多利益相關(guān)方治理模型（global multistakeholder governance model）進(jìn)行管理。PTI董事會(huì)共5席，3席由ICANN委派，2席由全球互聯(lián)網(wǎng)社群代表組成提名委員會(huì)產(chǎn)生。2017年2月，ICANN發(fā)布PTI董事競選公告，經(jīng)半年多輪面試及背景調(diào)查，提名委員會(huì)于2017年10月26日宣布我國北龍中網(wǎng)的王偉與另一歐洲代表中選。又經(jīng)一個(gè)半月的利益沖突審查，2017年12月13日ICANN董事會(huì)正式確認(rèn)王偉當(dāng)選。11

我國的根鏡像由誰管理？

從目前我所找到的資料看，自2003年以來，我國在不斷引進(jìn)根鏡像，尤其是去年，根鏡像個(gè)數(shù)增速很快。

2003年，中國電信引入了國內(nèi)第一個(gè)根鏡像節(jié)點(diǎn)（F根）。

2005年，I根服務(wù)器運(yùn)行機(jī)構(gòu)在 CNNIC 設(shè)立了中國第二個(gè)根鏡像（I根）。

2006年，中國聯(lián)通(原中國網(wǎng)通)與美國 VeriSign 公司合作， 在國內(nèi)正式開通J根鏡像服務(wù)器，同時(shí)引入了全球最大的兩個(gè)頂級域名 “.COM”和“.NET”鏡像節(jié)點(diǎn)；引進(jìn)這些鏡像的主要目的是提高根域名和頂級域名的解析性能。

2014年，世紀(jì)互聯(lián)與ICANN合作在中國增設(shè)L根域名服務(wù)器鏡像。

2019年6月24日，工信部批準(zhǔn)CNNIC設(shè)立六臺域名根鏡像服務(wù)器（F、I、K、L）。這六臺域名根服務(wù)器編號為 JX0001F、JX0002F、JX0003I、JX0004K、JX0005L 和 JX0006L12，并批準(zhǔn)互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）設(shè)立L根鏡像服務(wù)器JX0007L13。

2019年11月6日，工信部批復(fù)同意中國信息通信研究院設(shè)立L根鏡像服務(wù)器，編號分別為JX0008L、JX0009L。

2019年12月5日，工信部批復(fù)同意中國信息通信研究院設(shè)立域名根服務(wù)器（K根鏡像服務(wù)器），編號為JX0010K。

2019年12月9日，工信部批復(fù)同意CNNIC設(shè)立域名根服務(wù)器（J、K根鏡像服務(wù)器），編號分別為JX0011J、JX0012K。

從工信部的批文中可以了解到，相關(guān)單位負(fù)責(zé)根鏡像的運(yùn)行、維護(hù)和管理工作，維護(hù)國家利益和用戶權(quán)益，并接受工信部的管理和監(jiān)督檢查。

工信部在給CNNIC的批文中寫道：“你中心應(yīng)嚴(yán)格遵守《互聯(lián)網(wǎng)域名管理辦法》《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》及相關(guān)法律法規(guī)、行政規(guī)章及行業(yè)管理規(guī)定，接受我部的管理和監(jiān)督檢查，建立符合我部要求的信息管理系統(tǒng)并與我部指定的管理系統(tǒng)對接，保證域名根服務(wù)器安全、可靠運(yùn)行，為用戶提供安全、方便的域名服務(wù)，保障服務(wù)質(zhì)量，保護(hù)用戶個(gè)人信息安全，維護(hù)國家利益和用戶權(quán)益。”

美國能對根DNS做什么手腳？

雖然ICANN是一個(gè)獨(dú)立的非營利性機(jī)構(gòu)，但如果美國政府動(dòng)用強(qiáng)制力量，A根（主根）的內(nèi)容仍然存在被篡改的可能。

也就是根區(qū)文件可以被篡改。

會(huì)怎么篡改？

我們先看看根區(qū)文件長什么樣。

從ICANN官網(wǎng)上可以下載根區(qū)文件：

https://www.iana.org/domains/root/files

該文件保存所有頂級域名的信息，目前大小為2.2M，2萬余行。

每當(dāng)有頂級域名的變動(dòng)時(shí)，該文件就會(huì)更新。

我們可以看到，和cn域名解析相關(guān)的記錄也就那么幾十行。

如果刪除和cn相關(guān)的那些行，很快，就會(huì)同步到所有的根中。

然后，在所有的緩存都過期之后，全球所有人都訪問不了.cn后綴的網(wǎng)站。

如何應(yīng)對？

因?yàn)槲覀兙S護(hù)著根鏡像，所以我們控制著鏡像中的內(nèi)容。

而中國境內(nèi)的對根的訪問，通過我們的運(yùn)營商，都會(huì)落到對我國根鏡像的訪問上。

我們可以不同步關(guān)于cn的修改。

就這么簡單。

可以簡單寫個(gè)程序，每次同步完立刻加上cn記錄。

也可以自己搭個(gè)主根，完全不和美國的根同步。（相當(dāng)于另立中央了）

當(dāng)然，世界各地不在我們管理之下的根和根鏡像，如果不加行動(dòng)，仍然會(huì)同步這些刪除。

那么，除了中國自己，其他國家的人都無法訪問.cn網(wǎng)站。

但是，這些國家很快就會(huì)有響應(yīng)，凡是想訪問.cn網(wǎng)站的國家，都會(huì)把cn記錄加回去，并拒絕同步美國刪去的這幾行。

最終，只有美國人，訪問不了.cn網(wǎng)站。

綜上分析，我認(rèn)為美國這么做的可能性不大，因?yàn)檫@一招過于低劣，將會(huì)讓美國政府完全顏面掃地，并失去今后在互聯(lián)網(wǎng)領(lǐng)域的任何話語權(quán)。而ICANN也將失去公信力，整個(gè)互聯(lián)網(wǎng)世界，會(huì)推選使用新的機(jī)構(gòu)和新的主根。

因?yàn)榛ヂ?lián)網(wǎng)世界的一貫準(zhǔn)則就是：如有封禁，就繞過它。

后記

最后，我們看看本文開頭所提的兩個(gè)斷網(wǎng)事件是怎么回事：

關(guān)于伊拉克域名事件，可以看看清華大學(xué)段海新教授的文章：“伊拉克域名.IQ被美國刪除的背后以及早期的根域名管理”，里面把整個(gè)事件的來龍去脈說的很清楚。主要原因是.iq域名的前任管理者于2002年被關(guān)進(jìn)監(jiān)獄，新任管理者（NCMC）于2005年才提出申請，而IANA當(dāng)時(shí)還考慮征求新舊代理雙方對新授權(quán)的一致認(rèn)可，所以才出現(xiàn)了所謂的“申請和解析工作被終止”。

關(guān)于利比亞域名事件，可以看看此文：“利比亞國家頂級域名（.LY）中止服務(wù)始末”，事實(shí)情況是參與運(yùn)營.LY的兩家機(jī)構(gòu)因爭奪歸屬權(quán)而內(nèi)斗的結(jié)果（其中一方關(guān)閉了.LY域名服務(wù)器的解析）。經(jīng)過這番變亂，2004年10月，ICANN批準(zhǔn)將.LY授予利比亞郵電總公司，.LY事件算是塵埃落定。

本文中提到的風(fēng)險(xiǎn)和應(yīng)對，主要是我個(gè)人的分析，下面看看業(yè)內(nèi)專家的說法。

中國工程院院士、清華大學(xué)計(jì)算機(jī)系主任吳建平在2019年的一次訪談14中表示，DNS根域名服務(wù)器不是互聯(lián)網(wǎng)的“核按鈕”。全球互聯(lián)網(wǎng)根域名服務(wù)器運(yùn)行者，不可能同時(shí)關(guān)閉所有的根服務(wù)器，包括影子服務(wù)器。

互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心（ZDNS）主任毛偉表示15：互聯(lián)網(wǎng)專家一直都在不斷完善域名根系統(tǒng)安全保障機(jī)制，就算真的斷“根”了，也有應(yīng)急方法來解決。在境內(nèi)，可以采用根區(qū)數(shù)據(jù)備份并搭建應(yīng)急根服務(wù)器來解決；在全球?qū)用妫梢杂酶R像、IPv6環(huán)境下的根服務(wù)器數(shù)量擴(kuò)展、根服務(wù)器運(yùn)行機(jī)構(gòu)備選機(jī)制等方法來解決。

現(xiàn)在，了解了這么多，關(guān)于根域名服務(wù)器，你是不是放心了很多。

參考文獻(xiàn)：

1. 從網(wǎng)絡(luò)大國走向網(wǎng)絡(luò)強(qiáng)國(http://opinion.people.com.cn/n/2014/0624/c1003-25189448.html)
2. 美國網(wǎng)絡(luò)霸權(quán)淺析(http://www.wanfangdata.com.cn/details/detail.do?_type=perio&id=xxaqytxbm201410030)
3. 為什么域名根服務(wù)器只能有13臺呢？(https://www.zhihu.com/question/22587247)
4. Why 13 DNS root servers?(https://miek.nl/2013/november/10/why-13-dns-root-servers/)
5. https://root-servers.org
6. Initializing a DNS Resolver with Priming Queries(https://tools.ietf.org/html/draft-ietf-dnsop-resolver-priming-11)
7. 薛虹：互聯(lián)網(wǎng)全球治理的新篇章(https://zhuanlan.zhihu.com/p/23042167)
8. ICANN: IANA職能(https://www.icann.org/zh/system/files/files/iana-functions-18dec15-zh.pdf)
9. 阮一峰：根域名的知識
10. 徐培喜：IANA職能管理權(quán)移交誰是贏家
11. 北龍中網(wǎng)王偉任職PTI董事 我國專家就任國際互聯(lián)網(wǎng)治理關(guān)鍵崗位(http://news.sina.com.cn/c/2017-12-25/doc-ifypwzxq6350205.shtml)
12. 工業(yè)和信息化部關(guān)于同意中國互聯(lián)網(wǎng)絡(luò)信息中心設(shè)立域名根服務(wù)器（F、I、K、L根鏡像服務(wù)器）及域名根服務(wù)器運(yùn)行機(jī)構(gòu)的批復(fù)(http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015545/content.html)
13. 工業(yè)和信息化部關(guān)于同意互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心有限公司設(shè)立域名根服務(wù)器（L根鏡像服務(wù)器）及域名根服務(wù)器運(yùn)行機(jī)構(gòu)的批復(fù)(http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c7015527/content.html)
14. 中國工程院院士吳建平：DNS根服務(wù)器不是互聯(lián)網(wǎng)的核按鈕！
15. ZDNS毛偉：互聯(lián)網(wǎng)根并不能讓中國斷網(wǎng)，更應(yīng)重視企業(yè)域名服務(wù)風(fēng)險(xiǎn)