行业互联网|全球根域名管理机构主席澄清关于根服务器若干传言管理机构|域名

根服务器的管理机构可轻易修改根区文件内容甚至可移除特定的顶级域？目前全世界仅有13个根服务器？此类针对根域名服务器的传言一直不休，在日前举行的2020年北京网络安全大会上，根服务器系统咨询委员会（Root Server System Advisory Committee，RSSAC）主席Fred Baker回应了这些问题。

文章图片
Fred Baker
ICANN 根服务器系统咨询委员会（RSSAC）主席
前IETF主席
Fred Baker表示，关于互联网域名系统的根服务器，目前流传着许多不同版本的传言，但这些传言都不准确。
根服务器系统及
相关机构
Fred Baker在报告中重申了域名系统的运行原理：
先从根服务器节点获得域名顶级域（如“.cn”）信息的索引。而通过顶级域的权威服务器可获得二级域名的索引。
其后，在二级域名的权威服务器上，可获得各个域名所对应的服务器IP地址，或者是域名所属的子域名。
根服务器系统在运行过程中，首先需要获得根区文件，然后将其分发到根服务器的运行管理机构，根服务器节点将对全球域名服务器所发起的查询请求进行响应。全球目前可能分布着超过一万台域名解析服务器。根区文件维护者（Root Zone Maintainer）根据从互联网号码分配机构（IANA）获取的文件提供根区数据。
目前，一共有12家相互独立的企业或者组织机构在负责管理运行域名系统根服务器节点。其中的一些组织实际上隶属于美国军方，它们不属于公司或企业，这类组织需要区别对待。例如，美国国防部网络信息中心（Network Information Center，NIC），它是负责运行管理根服务器节点的机构之一。此外，还有一些组织机构分布在斯德哥尔摩、阿姆斯特丹以及东京，主要是欧洲技术社群，而WIDE项目管理着日本的根服务器节点。
1983年，IETF的RFC 882和RFC 883两个文档对互联网域名系统DNS进行了描述与定义。1984-1985年，早期根域名系统于美国建成，该系统由四台服务器组成，它们分别使用四个独立的IP地址。此后，随着互联网的发展，根服务器的数量经历了多次增加。1987年，新增三台服务器，1991年新增一台，1993年又增加一台，1998年再增四台。至此，根服务器系统增加至13台，并各自拥有1个IP地址。
当时，分发根域名服务器地址的人是 Jon Postel （注：被誉为互联网之神），他邀请不同机构共同运维根域名服务器，并长期负责管理互联网号码分配机构（Internet Assigned Numbers Authority，IANA）。Jon Postel去世（1998年）之后，没人了解该如何新增根服务器的入口，或如何修改变动根服务器。
在此情况下，根服务器系统咨询委员会RSSAC运行管理根域名服务器系统将近20年。
期间面临一个非常重要问题是：如何设计完善运行流程，以转变DNS系统面临的困难局面。经过多次讨论和实践，根服务器系统不断演进，最终形成当前规模。截至2020年8月1日，DNS根服务器系统共有1086个根服务器节点。
引入数字签名技术
在过去十几年中，互联网工程任务组（The Internet Engineering Task Force，IETF）已经对根区文件的信息做出了一系列优化与改进。其中一项极为重要的变化是，使用数字签名技术来保障域名系统的安全性，即DNS安全扩展（Domain Name System Security Extensions，DNSSEC）的引入。目前几乎所有顶级域均已支持DNSSEC，并且其中有许多顶级域对所包含的二级域名进行签名，许多二级域名进一步对其子域名进行签名。
数字签名的主要功能是验证用户所接收的信息是否准确。当某个客户端发起域名查询请求时，可能会被劫持或转发到未经授权的根服务器管理者，导致域名响应的内容与互联网号码分配机构（IANA）所提供的信息不一致，造成所谓的DNS伪造攻击。
如何检测这类攻击？如何才能知道应答响应的内容是否合法？解决方案是对数字签名的内容进行校验。如果数字签名是伪造的，就意味着应答内容是非法的。通常，域名解析服务器负责验证数字签名记录。除了域名解析服务器之外，任何发起域名查询的设备、系统均有权利，RSSAC也强烈建议其去校验DNSSEC的数字签名记录。
根域名系统管理的
十一项原则
2014年，Steve Crocker（ICANN董事会主席）曾向RSSAC提出一个问题：该如何解决Jon Postel先生去世之后管理根区文件规范流程的缺失？
2015年，RSSAC委员会相聚在工作组讨论这一问题，并从当年9月开始，召开了一系列的研讨会，最终形成了一份技术报告，也即RSSAC037文档。该报告内容可在网上查阅，其中的一项重要内容是提出管理根服务器系统所应依据的11条原则，具体内容如下：
为了维护一个全球性的互联网，需要一个全球统一的域名系统，从而使用户在不同地区或使用不同域名解析服务器时，对于相同索引内容总能获得相同解析结果。
IANA是DNS根数据的来源。
根服务器系统必须是稳定可靠、富有弹性的平台，能够为所有用户提供域名解析服务。
根服务器操作的多样性是整个系统的优势。如果所有人都使用完全相同的软件，当域名系统出现故障时，所有人都会遇到此类故障，将导致非常严重的安全事故。因此，多样性是一项基本的设计原则：需要操作不同的DNS软件，使用不同的硬件设备，使用不同的网络获取数据。多样性是加强系统健壮性的重要因素。