对“断网”讨论的一个重点被聚焦在域名根服务器,一些“科普”的方式,某些“脑补”的形式,众口一词地认为“不用担心”。其信誓旦旦的理由是:“我国已拥有域名根镜像服务器”。事实上,这是一个悖逆科学真相的严重认知误区。换句话说,应对“断网”的风险和隐患,镜像的域名根服务器不仅无济于事,而且于事无补。
本文可供网络信息领域的专业技术人员、从业人员和监管、监察、审计、执法人员作为科学论证的依据与参考。
域名空间是一个生态系统(ecosystem),其服务体系如图 1 所示,其中“递归域名解析服务器”是域名空间的入口:
虽然域名根服务器在域名解析服务中是一个重要的环节,但在域名空间中仅当各个环节相互依存,方能构成一个能够可靠运行的生态系统。反之,任何一个环节出现安全问题,都可能导致域名解析服务中断(“断服”),或是网络瘫痪(“断网”)。
据美国国防部术语词典的定义,“供应链”(Supply Chain)是:从原材料到向最终用户提供成品和服务相关联的(人的)活动。域名空间的生态系统可以被简化为一个“供应链”(图 2)。
从图 1 和图 2 可见,域名空间是一个复杂的生态系统。而应对“断网”的风险和隐患的本质是:供应链的安全和保障问题。因此,有必要澄清域名空间供应链中的五个重要的关联事实:
事实1:镜像的域名根服务器不能替代13个域名根系统;
事实2:镜像的域名根服务器采集的数据绝大多数是“垃圾”;
事实3:镜像的域名根服务器采集的是不完整和不确定数据;
事实4:镜像的域名根服务器没有指挥和控制的能力;
事实5:镜像的域名根服务器受制于服务系统软件。
结论:域名空间的应用和服务是网络通信的本源及指挥和控制的中枢,一旦发生“断服”,即是“断网”。应对“断服”的风险和隐患,镜像的域名根服务器不仅无济于事,而且于事无补。
事实1:基于域名空间生态系统的基本配置,镜像的域名根服务器不能替代 13 个域名根系统
1)根提示文件
当前,最终用户设备通常将所有 DNS 查询发送到递归解析服务器,该解析服务器在加入网络时通过 DHCP 配置。或者,用户可以将其设备配置为利用公共递归域名解析服务器(例如 Google 的 8.8.8.8 服务器)。递归域名解析服务器查询授权的域名服务器,使用所谓的“根提示文件”(Root Hints File)引导查找授权域名服务器的过程。根提示文件包含所有 13 个命名的授权域名根服务器的列表,它们表示为 A 根 到 M 根。对于每个命名的根,文件都包括域名服务器(NS 记录),以及域名服务器的 IPv4 地址(A 记录)和 IPv6 地址(AAAA 记录)。因此,根提示文件共有 39 个条目,大约 3KB(3000字节)。例如,A 根:
