全球DNS系统介绍.

1、域名空间域名空间1 12 2域名解析过程域名解析过程域名管理机构域名管理机构3 3安全隐患安全隐患4 4防护措施防护措施5 5新机制的探索新机制的探索6 6交交 流流 内内 容容p DNS系统采用树形结构树形结构和分级授权分级授权的域名管理机制Domain Name System Structure and Delegation (RFC 1591, March 1994) Internet Domain Name System Structure and Delegation (ICP-1, May 1999) p 目前，一些原本是ccTLD的域，如.tv、.cc和.sh等都逐渐上升为gTL

2、D（或当做gTLD使用） “.”infTLDinfTLDccTLDccTLD（252252个）个）gTLD gTLD （2020个）个）.IDNIDN1111个个数据来源：/domains/root/db/# p 域名根服务器三类：主服务器、从服务器、镜像服务器主服务器、从服务器、镜像服务器 主服务器主服务器负责维护ROOT ZONE文件；全球共有1个主根服务器(隐藏，网络上不可见的) 从服务器从服务器定期从主服务器复制ROOT ZONE文件信息。全球共有13个从根服务器http:

3、//domains/root/db 镜像服务器镜像服务器是从服务器的镜像，这些分布在各地的镜像服务器与从服务器配置为一个任播组。镜像服务器分布在全球10多个国家和地区p 所有根服务器均由美国政府授权的互联网名字与编号分配机构（ICANN）统一管理，负责全球的域名根服务器、域名体系和IP地址的管理。p ICANN的管理工作根据其与美国商务部达成的谅解备忘录的内容进行。p 对根服务器的具体管理与维护工作，则由ICANN以签署协议的方式委托给一些组织或公司来完成。DNS DNS 根服务器的基本情况根服务器的基本情况_ _/

4、2008年年1月月30日数据日数据根服务器管理维护者 分布地点（含镜像服务器）服务器对应的IP地址 服 务 器所 在 的AS号AV e r i S i g n G l o b a l Registry Services Dulles VA 2001:503:BA3E:2:30 19836 BInformation Sciences Institute Marina Del Rey CA IPv4:01IPv6:2001:478:65:53 CCogent Communications Herndon VA、Los Angeles、New York

5、City、Chicago 2 2149 DU n i v e r s i t y o f Maryland College Park MD 0 27 ENASA Ames Research Center Mountain View CA 0 297 FInternet Systems Consortium, Inc. Ottawa、Palo Alto、San Jose CA、New York City、 San Francisco、Madrid、 Hong Kong、 L o s A n g e l e s 、Rome、Auck

6、land、Sao Paulo、Beijing、Seoul、Moscow、 T a i p e i 、 D u b a i 、 P a r i s 、 Singapore、Brisbane、Toronto、Monterrey 共43个IPv4: 41IPv6: 2001:500:2f:f 3557 GU.S. DOD Network Information Center Columbus OH 568 HU.S. Army Research Lab Aberdeen MD I P v 4 : 1 2 8 . 6 3 . 2 . 5 3IPv6: 2001

7、:500:1:803f:235 13 IAutonomica/NORDUnet Stockholm、Helsinki、 Milan、London、Geneva、 Amsterdam、Oslo、 Bangkok、Hong Kong beijing共31个7 29216 JV e r i S i g n G l o b a l Registry Services Dulles VA、Mountain View CA、Sterling VA (有两个)、Seattle WA、 Amsterdam、Atlanta GA、 Los Angeles CA、Miami、 Stockh

8、olm、London 、北京 共37个02001:503:C27:2:30 26415 KReseaux IP Europeens Network Coordination Centre London、Amsterdam、 Frankfurt 29 2001:7fd:1 25152 LInternet corporation for Assigned Names and Numbers （ICANN）Los Angeles、Miami(US) 2 20144 MWIDE Project （1997年8月配置）Tokyo3 (JP

9、); Seoul (KR); *Paris(FR);San Francisco (US) 2 0 2 . 1 2 . 2 7 . 3 3IPv6: 2001:dc3:35 7500 p 最早根服务器基本上是32位的计算机，随着硬件性能的提高，目前根服务器的硬件设施正从32位的计算机向6464位位的计算机过渡（2004年年底基本过渡完毕）p 根服务器基本采用双机热备份双机热备份的工作方式，并且根服务器的网络出口（链路与路由）至少有两条（双归属双归属）p 目前，在13个根服务器中只有K根服务器采用的NSDNSD域名管理软件，其余大部分采用BINDBIND软件。 p 目前gTLD一共包括2020个顶

10、级域（77 + 6） 一类是非受限注册域名非受限注册域名，任何人均可以提出对这些域名的申请。这些域名包.com、.net、.org、.biz、.info、.name等。 另一类是受限注册域名受限注册域名，只有特定的组织提供特定的身份证明文件，才可以对这些域名提出申请。这些域名包括.edu、.gov、.int、.mil、.aero、.coop、.museum等。以.int域为例，申请者必须是满足RFC1591中要求的受国际条约约束的国际间组织。每一个组织只能申请一个.int下的域名，并且域名申请与注册是不收费的。 gTLDgTLD签约时间签约时间 使用限制使用限制 服务对象服务对象管理者管理者管

11、理者联系办法管理者联系办法.aero2001受限注册航空运输工业国 际 航 空 通 信 协 会（SITA） .biz2001非受限注册商业NeuLevel .com1995非受限注册可通用，但主要服务于工商、金融等公司VeriSign, Inc.http:/www.verisign- .coop2001受限注册协会组织DotCooperation, LLC .edu1995受限注册美国教育科研组织EDUCAUSE/edudomain .

12、gov1995受限注册美国政府US General Services Administration2001非受限注册通用Afilias Limited, LLC1998非受限注册以国际条约方式形成的政府间组织Internet Assigned Numbers Authority/int-dom/int.htm .mil1995受限注册美国军方U S D o D N e t w o r k Information CenterDoD Network Informat

13、ion C2001受限注册博物馆M u s e u m D o m a i n M a n a g e m e n t Association,(MuseDoma)2001非受限注册私人Global Name Registry, LTDhttp:/1995非受限注册可通用，但主要服务于网络管理中心和服务提供商VeriSign, Inc.http:/www.verisign- .org2003非受限注册可通用，但主要服务于一些组织机构P u b l i c I n t e r e s t Registry.（2002年前由

14、VeriSign, Inc.管理） .pro2002非受限注册会计、律师、医生等专业人士RegistryPro, LTDp 对非受限注册的gTLD（通用顶级域名）的注册、维护、管理，在1999年9月以前由ICANN委托美国网络解决方案公司（NSI）来独家代理。p 在1999年9月以后，ICANN对gTLD的管理机制进行了改革： 打破了NSI对gTLD的注册、维护、管理的独家垄断局面，gTLD的注册权力下放，引入竞争机制。注册人可以自由选择任何一家经过ICANN评估认可，并与ICANN签订委托协议的域名注册者进行域名注册将域名争

15、议的调处权力外放给世界知识产权组织（WIPO）p 目前，.com/.net的注册、维护、管理由Verisign公司来负责p .com/.net服务器全球共有13个，分别被放置在美国（8个）、英国（1个）、瑞典（1个）、荷兰（1个）、日本（1个）和香港（1个）。 Com/net服务器名称分布地点IP地址a.gtld-Herndom,VA USA8b.gtld-Los Angeles,CA USAc.gtld-Dulles,VA USA8d.gtld-Mountain View,CA USAe.gtl

16、d-Mountain View,CA USA9f.gtld-Seattle,WA USA、Palo Alto,CA USA7g.gtld-Amsterdam,NL、Herndom,VA USA01i.gtld-Stockholm,SE33j.gtld-Tokyo,JP01k.gtld-London,UKl.gtld-Atlanta,GA USA m.gtld-HongKong,CN01p 目前，国家代码类顶级域一共有目前，国家

17、代码类顶级域一共有252252个，分别对应不同个，分别对应不同的国家和地区。的国家和地区。 p 这些这些ccTLDccTLD域名也分为两类：受限注册域名与非受限注域名也分为两类：受限注册域名与非受限注册域名册域名 对非受限注册域名，任何人在任何地方均可注册，如英国、丹麦、以色列、南非等； 对于受限注册域名，需要凭地区身份或特定的法律文书注册，如中国、日本、法国等100个国家和地区。 p 对ccTLD（国别代码顶级域名）的注册、维护、管理原来由各国或地区的网络信息中心来管理。p 目前ccTLD的域名管理权力也在下放，将由各个国家或地区来授权一些机构来负责其本区域的域名注册、维护和管理工作。p 在

18、ccTLD域中.de和.uk域名注册数量分别排在第一位和第二位。p 我国.cn服务器目前有7台，分布在国内4个不同的地点，全部由CNNIC控制。 清华大学-教育网CNNIC自己的地址p 在DNS域名系统中有一个特殊的顶级域：.arpa，它最早服务于美国军方p 在2000年它被重新诠释为“Address and Routing Parameter Area”p 用来支持一些互联网上的基础服务，如反向域名解析、IPV6域名解析、ENUM服务等p 在.arpa顶级域下，目前有五个二级域，它们是：、、、、 .a

19、rpa二级域名称设立时间服务对象1987年11月（RFC 1034）IP地址向域名的解析反向域名2000年9月（RFC 2916）E.164对应的FQDN域名解析2001年9月（RFC 3152）IPV6地址解析 p 反向地址解析时的地址表示形式有两种：一种是用 “.”分隔的半字节16进制数字格式，低位地址在前，高位地址在后，域后缀是“IP6.INT.”。另一种是二进制串格式，以“”，域后缀是“IP6.ARPA.”。半字节16进制数字格式与“AAAA”对应，是对IPv4的简单扩展。二进制串格式与“A6

20、”记录对应，可以支持地址层次特性每一级的授权用“DNAME”记录。p IETF的ENUM标准（RFC 2916）中建议在顶级域“”下存储E.164号码，用来在DNS中提供ENUM这种架构性服务。p 原来arpa服务器只有9台，美国之外只有瑞典有1台；2002年10月份美国商务部的批准arpa服务器数目增加到目前的12台，根服务器中除J以外都提供arpa解析服务。p 大部分根服务器可直接返回域名服务器记录，减少了一级解析，提高的解析速度。p “.”服务器（共6个，其中一个为CNNIC管理）p “.6.8.”

21、（共2个，全部为CNNIC管理）p DNSDNS域名的解析采用客户机域名的解析采用客户机/ /服务器模式服务器模式 p 若在域名缓存中也没有查询到指定的记录，则存在两若在域名缓存中也没有查询到指定的记录，则存在两种查询方式：种查询方式： 一种是迭代查询（iterative）另一种是递归查询（recursive），又称转寄查询。 R ? 本地本地DNS服务器服务器forwarderroot- A ?“go ask net server X-gtld-”gtld- A ?“go ask ripe-server ”MYNET- A ?“9”9123

22、4567Add to cache9810TTLR ? 本地本地DNS服务器服务器forwarderroot- A ?“去问.com服务器，它的IP地址是gtld-server（.Com） A ?“去问MYNET 服务器，它的IP地址是2”MYNET- A ?“9”根服务器的IP地址12345678p 自从上个世纪八十年代互联网域名出现以来，国际域名管理机构进行了多次改革p 管理机构多次变革的实质是：各国政府、国际组织与美国政府就全球域名管理体系控制权的争夺p 由于互联网起源于美国ARPAnet，美国政府始终宣布其对域名管理体系

23、有着最终的控制权p 19891989年年: : 因特网数字分配局（因特网数字分配局（IANAIANAInternet Internet Assigned Numbers AuthorityAssigned Numbers Authority）加州大学洛杉矶分校（UCLA）的Jon Postel开发出域名系统，并完成了域名的平行管理方式向垂直树状管理方式的转变。最终确定了域名体系结构的核心。ARPA与 Jon Postel签订开发合同，在此基础上形成了“因特网数字分配局”（Internet Assigned Numbers Authority ，即IANA），美国商务部（DOS）授权IANA对域

24、名与IP地址进行管理。p 19951995年年: :因特网协会（因特网协会（ISOCISOCInternet SocietyInternet Society） p 1 9 9 71 9 9 7 年年 : I A H C: I A H C “ 国 际 特 别 委 员 会国 际 特 别 委 员 会 ” （ I A H CI A H C International Ad Hoc CommitteeInternational Ad Hoc Committee）由于ITU认为IANA没有权利管理根服务器,1996年9月，IANA和ISOC又合作组织了“国际特别委员会”（International Ad Hoc Committee, 即IAHC），世界知识产权组织和国际电信联盟也加入了活动。IAHC于1997年2月提出“关于类别顶级域名的谅解备忘录”（gTLD-MoU），提出了若干建议：增设7个新的类别顶级域名；打破NSI域名注册垄断；建立国际仲裁机制，由世界知识产权组织解决跨国域名与商标争端。 这些建议