全球DNS系統(tǒng)介紹

1、域名空間,1,2,域名解析過程,域名管理機構(gòu),3,安全隱患,4,防護措施,5,新機制的探索,6,交 流 內(nèi) 容,域名空間,DNS系統(tǒng)采用樹形結(jié)構(gòu)和分級授權(quán)的域名管理機制 Domain Name System Structure and Delegation (RFC 1591, March 1994) Internet Domain Name System Structure and Delegation (ICP-1, May 1999) 目前，一些原本是ccTLD的域，如.tv、.cc和.sh等都逐漸上升為gTLD（或當做gTLD使用）,“.”,infTLD,ccTLD（252個）,gTL

2、D （20個）,.asia .cat .jobs .mobi .tel .travel,.cn .jp .af .de .mx .tv,.arpa,.biz .info .name .pro .aero .coop .museum,.com .net .org .int .gov .mil .edu,IDN,11個,數(shù)據(jù)來源：/domains/root/db/#,根服務(wù)器的種類與分布,域名根服務(wù)器三類：主服務(wù)器、從服務(wù)器、鏡像服務(wù)器 主服務(wù)器負責(zé)維護ROOT ZONE文件；全球共有1個主根服務(wù)器(隱藏，網(wǎng)絡(luò)上不可見的) 從服務(wù)器定期從主服務(wù)器復(fù)制ROOT Z

3、ONE文件信息。全球共有13個從根服務(wù)器/domains/root/db 鏡像服務(wù)器是從服務(wù)器的鏡像，這些分布在各地的鏡像服務(wù)器與從服務(wù)器配置為一個任播組。鏡像服務(wù)器分布在全球10多個國家和地區(qū),根服務(wù)器的管理,所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)名字與編號分配機構(gòu)（ICANN）統(tǒng)一管理，負責(zé)全球的域名根服務(wù)器、域名體系和IP地址的管理。 ICANN的管理工作根據(jù)其與美國商務(wù)部達成的諒解備忘錄的內(nèi)容進行。 對根服務(wù)器的具體管理與維護工作，則由ICANN以簽署協(xié)議的方式委托給一些組織或公司來完成。,/maps/root-s

4、ervers.htm,根服務(wù)器的配置,最早根服務(wù)器基本上是32位的計算機，隨著硬件性能的提高，目前根服務(wù)器的硬件設(shè)施正從32位的計算機向64位的計算機過渡（2004年年底基本過渡完畢） 根服務(wù)器基本采用雙機熱備份的工作方式，并且根服務(wù)器的網(wǎng)絡(luò)出口（鏈路與路由）至少有兩條（雙歸屬） 目前，在13個根服務(wù)器中只有K根服務(wù)器采用的NSD域名管理軟件，其余大部分采用BIND軟件。,通用頂級域(gTLD)基本情況,目前gTLD一共包括20個頂級域（77 + 6） 一類是非受限注冊域名，任何人均可以提出對這些域名的申請。這些域名包.com、.net、.org、.biz、.info、.name等。 另一類是

5、受限注冊域名，只有特定的組織提供特定的身份證明文件，才可以對這些域名提出申請。這些域名包括.edu、.gov、.int、.mil、.aero、.coop、.museum等。 以.int域為例，申請者必須是滿足RFC1591中要求的受國際條約約束的國際間組織。每一個組織只能申請一個.int下的域名，并且域名申請與注冊是不收費的。,gTLD服務(wù)器的管理與運行現(xiàn)狀,對非受限注冊的gTLD（通用頂級域名）的注冊、維護、管理，在1999年9月以前由ICANN委托美國網(wǎng)絡(luò)解決方案公司（NSI）來獨家代理。 在1999年9月以后，ICANN對gTLD的管理機制進行了改革： 打破了NSI對gTLD的注冊、維護

6、、管理的獨家壟斷局面，gTLD的注冊權(quán)力下放，引入競爭機制。注冊人可以自由選擇任何一家經(jīng)過ICANN評估認可，并與ICANN簽訂委托協(xié)議的域名注冊者進行域名注冊 將域名爭議的調(diào)處權(quán)力外放給世界知識產(chǎn)權(quán)組織（WIPO）,.com/.net服務(wù)器的基本情況,目前，.com/.net的注冊、維護、管理由Verisign公司來負責(zé) .com/.net服務(wù)器全球共有13個，分別被放置在美國（8個）、英國（1個）、瑞典（1個）、荷蘭（1個）、日本（1個）和香港（1個）。,國家代碼類頂級域（ccTLD）基本情況,目前，國家代碼類頂級域一共有252個，分別對應(yīng)不同的國家和地區(qū)。 這些ccTLD域名也分為兩類：

7、受限注冊域名與非受限注冊域名 對非受限注冊域名，任何人在任何地方均可注冊，如英國、丹麥、以色列、南非等； 對于受限注冊域名，需要憑地區(qū)身份或特定的法律文書注冊，如中國、日本、法國等100個國家和地區(qū)。,ccTLD服務(wù)器的管理與運行現(xiàn)狀,對ccTLD（國別代碼頂級域名）的注冊、維護、管理原來由各國或地區(qū)的網(wǎng)絡(luò)信息中心來管理。 目前ccTLD的域名管理權(quán)力也在下放，將由各個國家或地區(qū)來授權(quán)一些機構(gòu)來負責(zé)其本區(qū)域的域名注冊、維護和管理工作。 在ccTLD域中.de和.uk域名注冊數(shù)量分別排在第一位和第二位。 我國.cn服務(wù)器目前有7臺，分布在國內(nèi)4個不同的地點，全部由CNNIC控制。,.cn服務(wù)器的

8、部署,清華大學(xué)-教育網(wǎng),CNNIC自己的地址,基礎(chǔ)服務(wù)頂級域（infTLD）基本情況,在DNS域名系統(tǒng)中有一個特殊的頂級域：.arpa，它最早服務(wù)于美國軍方 在2000年它被重新詮釋為“Address and Routing Parameter Area” 用來支持一些互聯(lián)網(wǎng)上的基礎(chǔ)服務(wù)，如反向域名解析、IPV6域名解析、ENUM服務(wù)等 在.arpa頂級域下，目前有五個二級域，它們是：、、、、,,反向地址解析時的地址表示形式有兩種： 一種是用 “.”分隔的半字節(jié)16進制數(shù)字格式，低位地

9、址在前，高位地址在后，域后綴是“IP6.INT.”。 另一種是二進制串格式，以“”，域后綴是“IP6.ARPA.”。 半字節(jié)16進制數(shù)字格式與“AAAA”對應(yīng)，是對IPv4的簡單擴展。 二進制串格式與“A6”記錄對應(yīng)，可以支持地址層次特性每一級的授權(quán)用“DNAME”記錄。,,IETF的ENUM標準（RFC 2916）中建議在頂級域“”下存儲E.164號碼，用來在DNS中提供ENUM這種架構(gòu)性服務(wù)。 原來arpa服務(wù)器只有9臺，美國之外只有瑞典有1臺；2002年10月份美國商務(wù)部的批準arpa服務(wù)器數(shù)目增加到目前的12臺，根服務(wù)器中除J以外都提供arpa解析服

10、務(wù)。 大部分根服務(wù)器可直接返回域名服務(wù)器記錄，減少了一級解析，提高的解析速度。 “.”服務(wù)器（共6個，其中一個為CNNIC管理） “.6.8.”（共2個，全部為CNNIC管理）,域名解析過程,DNS域名的解析采用客戶機/服務(wù)器模式 若在域名緩存中也沒有查詢到指定的記錄，則存在兩種查詢方式： 一種是迭代查詢（iterative） 另一種是遞歸查詢（recursive），又稱轉(zhuǎn)寄查詢。,迭代查詢（iterative）,遞歸查詢（recursive）,Resolver, ?,root-server, A ?,“去問.com服務(wù)器

11、，它的IP地址是,gtld-server（.Com）, A ?,“去問MYNET 服務(wù)器，它的IP地址是2”,MYNET-server, A ?,“9”,根服務(wù)器的IP地址,域名管理機構(gòu),自從上個世紀八十年代互聯(lián)網(wǎng)域名出現(xiàn)以來，國際域名管理機構(gòu)進行了多次改革 管理機構(gòu)多次變革的實質(zhì)是：各國政府、國際組織與美國政府就全球域名管理體系控制權(quán)的爭奪 由于互聯(lián)網(wǎng)起源于美國ARPAnet，美國政府始終宣布其對域名管理體系有著最終的控制權(quán),域名管理機構(gòu)的起源,1989年: 因特網(wǎng)數(shù)字分配局（IANAInternet Assigned Nu

12、mbers Authority） 加州大學(xué)洛杉磯分校（UCLA）的Jon Postel開發(fā)出域名系統(tǒng)，并完成了域名的平行管理方式向垂直樹狀管理方式的轉(zhuǎn)變。最終確定了域名體系結(jié)構(gòu)的核心。 ARPA與 Jon Postel簽訂開發(fā)合同，在此基礎(chǔ)上形成了“因特網(wǎng)數(shù)字分配局”（Internet Assigned Numbers Authority ，即IANA），美國商務(wù)部（DOS）授權(quán)IANA對域名與IP地址進行管理。 1995年:因特網(wǎng)協(xié)會（ISOCInternet Society）,域名管理機構(gòu)的變遷,1997年:IAHC“國際特別委員會”（IAHCInternational Ad Hoc Co

13、mmittee） 由于ITU認為IANA沒有權(quán)利管理根服務(wù)器,1996年9月，IANA和ISOC又合作組織了“國際特別委員會”（International Ad Hoc Committee, 即IAHC），世界知識產(chǎn)權(quán)組織和國際電信聯(lián)盟也加入了活動。 IAHC于1997年2月提出“關(guān)于類別頂級域名的諒解備忘錄”（gTLD-MoU），提出了若干建議：增設(shè)7個新的類別頂級域名；打破NSI域名注冊壟斷；建立國際仲裁機制，由世界知識產(chǎn)權(quán)組織解決跨國域名與商標爭端。 這些建議同樣又遭到了來自不同利益群體的反對。歐洲委員會認為這完全是一個以美國為中心的方案而予以反對，而美國政府則對國際電信聯(lián)盟（ITU）參

14、與這一活動而不滿。,ICANN成立,1998年:因特網(wǎng)名址分配公司（ICANNInternet Corporation for Assigned Names and Numbers） 1998年6月美國商務(wù)部根據(jù)各界意見，發(fā)布了因特網(wǎng)名址管理政策聲明，提出了域名管理的私有化思路。 美國政府決定以IANA和ISOC為中心組織新的公司。Postel及其IAHC對此提出了嚴厲批評，指責(zé)國際互聯(lián)網(wǎng)社會將會視其為美國政府對互聯(lián)網(wǎng)主張所有權(quán)的非法企圖。為此Postel籌組了“因特網(wǎng)名址分配公司” 。 1998年11月，美國商務(wù)部承認了ICANN，并與其簽訂了諒解備忘錄，ICANN負責(zé)IP地址空間分配、因特網(wǎng)通訊協(xié)議參數(shù)分配、域名體系管理以及根服務(wù)器系統(tǒng)管理。,ICANN改革,2001年:ICANN2.0 歐、亞許多國家政府認為盡管互聯(lián)網(wǎng)管理將實行私有化，但是必須有政府參與的正式渠道 2001年ICANN根據(jù)各國政府參與ICANN管理工作的要求，對機構(gòu)進行了改革，被迫設(shè)立了政府咨詢委員會（Government