
Fred Baker
ICANN 根服务器系统征询委员会(RSSAC)主席
前IETF主席
根服务器的治理机构可等闲批改根区文件内容甚至可移除特定的顶级域???????目前全世界仅有13个根服务器???????此类针对根域名服务器的传言一向不休,,,,,,在日前进行的2020年北京网络安全大会上,,,,,,根服务器系统征询委员会(Root Server System Advisory Committee ,,,,,,RSSAC)主席Fred Baker回应了这些问题。。。。。
Fred Baker暗示,,,,,,关于互联网域名系统的根服务器,,,,,,目前流传着很多分歧版本的传言,,,,,,但这些传言都不正确。。。。。
根服务器系统及有关机构
Fred Baker在汇报中沉申了域名系统的运行道理:先从根服务器节点获得域名顶级域(如“.cn”)信息的索引。。。。。而通过顶级域的权威服务器可获得二级域名的索引。。。。。其后,,,,,,在二级域名的权威服务器上,,,,,,可获得各个域名所对应的服务器IP地址,,,,,,或者是域名所属的子域名。。。。。
根服务器系统在运行过程中,,,,,,首先必要获得根区文件,,,,,,而后将其分发到根服务器的运行治理机构,,,,,,根服务器节点将对全球域名服务器所提议的查问要求进行响应。。。。。全球目前可能散布着超过一万台域名解析服务器。。。。。根区文件守护者(Root Zone Maintainer)凭据从互联网号码分配机构(IANA)获取的文件提供根区数据。。。。。
目前,,,,,,一共有12家相互独立的企业或者组织机构在掌管治理运行域名系统根服务器节点。。。。。其中的一些组织现实上从属于美国军方,,,,,,它们不属于公司或企业,,,,,,这类组织必要区别对待。。。。。例如,,,,,,美国国防部网络信息中心(Network Information Center,,,,,,NIC),,,,,,它是掌管运行治理根服务器节点的机构之一。。。。。此表,,,,,,还有一些组织机构散布在斯德哥尔摩、阿姆斯特丹以及东京,,,,,,重要是欧洲技术社群,,,,,,而WIDE项目治理着日本的根服务器节点。。。。。
1983年,,,,,,IETF的RFC 882和RFC 883两个文档对互联网域名系统DNS进行了描述与界说。。。。。1984-1985年,,,,,,早期根域名系统于美国建成,,,,,,该系统由四台服务器组成,,,,,,它们别离使用四个独立的IP地址。。。。。尔后,,,,,,随着互联网的发展,,,,,,根服务器的数量经历了屡次增长。。。。。1987年,,,,,,新增三台服务器,,,,,,1991年新增一台,,,,,,1993年又增长一台,,,,,,1998年再增四台。。。。。至此,,,,,,根服务器系统增长至13台,,,,,,并各自占有1个IP地址。。。。。
其时,,,,,,分发根域名服务器地址的人是 Jon Postel (注:被誉为互联网之神),,,,,,他约请分歧机构共同运维根域名服务器,,,,,,并持久掌管治理互联网号码分配机构(Internet Assigned Numbers Authority,,,,,,IANA)。。。。。Jon Postel归天(1998年)之后,,,,,,没人相识该若何新增根服务器的入口,,,,,,或若何建扭转动根服务器。。。。。
在此情况下,,,,,,根服务器系统征询委员会RSSAC运行治理根域名服务器系统将近20年。。。。。
期间面对一个极度沉要问题是:若何设计美满运行流程,,,,,,以转变DNS系统面对的难题局面。。。。。经过屡次会商和实际,,,,,,根服务器系统不休演进,,,,,,最终形成当前规模。。。。。截至2020年8月1日,,,,,,DNS根服务器系统共有1086个根服务器节点。。。。。
引入数字署名技术
在从前十几年中,,,,,,互联网工程工作组(The Internet Engineering Task Force,,,,,,IETF)已经对根区文件的信息做出了一系列优化与改进。。。。。其中一项极为沉要的变动是,,,,,,使用数字署名技术来保险域名系统的安全性,,,,,,即DNS安全扩大(Domain Name System Security Extensions,,,,,,DNSSEC)的引入。。。。。目前险些所有顶级域均已支持DNSSEC,,,,,,并且其中有很多顶级域对所蕴含的二级域名进行署名,,,,,,很多二级域名进一步对其子域名进行署名。。。。。
数字署名的重要职能是验证用户所接管的信息是否正确。。。。。当某个客户端提议域名查问要求时,,,,,,可能会被劫持或转发到未经授权的根服务器治理者,,,,,,导致域名响应的内容与互联网号码分配机构(IANA)所提供的信息不一致,,,,,,造成所谓的DNS伪造攻击。。。。。
若何检测这类攻击???????若何能力知路应答响应的内容是否合法???????解决规划是对数字署名的内容进行校验。。。。。若是数字署名是伪造的,,,,,,就意味着应答内容长短法的。。。。。通常,,,,,,域名解析服务器掌管验证数字署名纪录。。。。。除了域名解析服务器之表,,,,,,任何提议域名查问的设备、系统均有权势,,,,,,RSSAC也强烈建议其去校验DNSSEC的数字署名纪录。。。。。
根域名系统治理的十一项准则
2014年,,,,,,Steve Crocker(ICANN董事会主席)曾向RSSAC提出一个问题:该若何解决Jon Postel先生归天之后治理根区文件规范流程的缺失???????
2015年,,,,,,RSSAC委员会相聚在工作组会商这一问题,,,,,,并从昔时9月起头,,,,,,召开了一系列的钻研会,,,,,,最终形成了一份技术汇报,,,,,,也即RSSAC037文档。。。。。该汇报内容可在网上查阅,,,,,,其中的一项沉要内容是提出治理根服务器系统所应凭据的11条准则,,,,,,具体内容如下:
!。。。1)为了守护一个全球性的互联网,,,,,,必要一个全球统一的域名系统,,,,,,从而使用户在分歧地域或使用分歧域名解析服务器时,,,,,,对于一样索引内容总能获得一样解析了局。。。。。
!。。。2)IANA是DNS根数据的起源。。。。。
!。。。3)根服务器系统必须是不变靠得住、富有弹性的平台,,,,,,可能为所有效户提供域名解析服务。。。。。
!。。。4)根服务器操作的多样性是整个系统的优势。。。。。若是所有人都使用齐全一样的软件,,,,,,当域名系统出现故障时,,,,,,所有人城市遇到此类故障,,,,,,将导致极度严沉的安全变乱。。。。。因而,,,,,,多样性是一项根基的设计准则:必要操作分歧的DNS软件,,,,,,使用分歧的硬件设备,,,,,,使用分歧的网络获取数据。。。。。多样性是加强系统壮实性的沉要成分。。。。。
!。。。5)系统结构的变动应该来自于技术的发展和已证明的技术需要。。。。。
!。。。6)IETF界说DNS和谈的技术操作。。。。。所有扭转的驱动力都应源自技术层面,,,,,,而技术上的推陈出新多由互联网工程工作组(IETF)提议。。。。。
渣滓的五项准则均直接面向根服务器系统的运行治理机构(RSOs)。。。。。
!。。。7)RSOs必须以诚信正派的心灵来守护互联网的共同利益。。。。。
!。。。8)RSOs必须维持通明。。。。。作为一个互联网组织机构,,,,,,要维持通明,,,,,,可能说到做到。。。。。
!。。。9)RSOs必须与利益有关方合作,,,,,,并激励其参加。。。。。在IETF和ICANN的组织架构下,,,,,,RSOs不仅必要与客户以及合作者积极沟通,,,,,,也必要吸引并激励技术社群中的利益有关方一路参加。。。。。
!。。。10)RSOs必须维持自身的自主性和独立性。。。。。不应受到任何一个派此外操控。。。。。根服务器系统的运行治理机构其实是高度独立的。。。。。只管其中一些机构属于美国当局,,,,,,但是并非由当局来运作的。。。。。
!。。。11)RSOs必须维持中立与公正,,,,,,并提供必要的(从IANA获取的)信息。。。。。
关于根服务器系统的不实传言
Fred Baker暗示,,,,,,关于互联网域名系统的根服务器,,,,,,目前流传着很多分歧传言,,,,,,但这些传言都不正确。。。。。
一种说法是,,,,,,域名系统根服务器能够节造互联网流量的转发蹊径。。。。。但事实并非如此,,,,,,根服务器不会节造任何其他事项,,,,,,它只掌管分发根区文件的信息。。。。。数据包转发的过程蹊径信息是由互联网路由器所决定的。。。。。
第二种说法是,,,,,,根服务器的治理机构能够等闲地批改根区文件的内容,,,,,,甚至可移除特定的顶级域。。。。。如果服务器通过批改配置,,,,,,回绝响利用户所提议的查问要求,,,,,,上述说法某种水平上可算是成立的。。。。。但通过验证DNSSEC的数字署名,,,,,,可等闲发现此类篡转业为。。。。。一旦DNSSEC校验失败,,,,,,便可得知解析了局并非源自互联网号码分配机构(IANA),,,,,,被篡改的内容也会被直接抛弃。。。。。因而,,,,,,尽治理论上而言,,,,,,根服务器节点可批改根区文件数据,,,,,,但批改后无法通过DNSSEC数字署名的校验。。。。。
第三种说法以为,,,,,,治理根区文件数据和提供解析服务是一样的。。。。。但二者并不一样,,,,,,治理重要涉及数据存储和使用规定的造订等,,,,,,而解析则是对数据内容的响应。。。。。
第四种说法以为,,,,,,某些特定的根服务器比其它根服务器更为沉要。。。。。这种说法也不正确。。。。。现实上所有的根服务器的运行治理机构是齐全平等的。。。。。用户能够向其中肆意一个提议域名查问要求,,,,,,最终得到的了局也将齐全一样。。。。。
第五种说法是,,,,,,目前仅存在13个根服务器。。。。。现实上,,,,,,全球共有超过1000个根服务器节点,,,,,,但是这些根服务器节点共享13个名称(identities),,,,,,别离对应着掌管运行治理的组织机构。。。。。
第六种说法以为,,,,,,ICANN节造了所有根服务器运行治理机构。。。。。显然不是这样。。。。。由于根服务器的治理机构比ICANN存在的功夫还要长。。。。。并且根服务器治理单元RSSAC也仅有少数人隶属于ICANN。。。。。
Fred Baker暗示,,,,,,根服务器系统的运行治理机构,,,,,,必须以诚信正派的心灵来守护互联网的共同利益。。。。。同时,,,,,,根服务器的运行治理机构,,,,,,必须维持自身的独立性,,,,,,他们不该当受到任何一个派此外把持。。。。。
“根服务器系统的运行治理是高度独立的,,,,,,只管其中一些机构属于美国当局,,,,,,但他们并不是由当局来运作旳。。。。。” Fred Baker暗示。。。。。
!。。。ū疚恼僮訤red Baker在2020年北京网络安全大会上的汇报)
有关布景:
根服务器系统征询委员会(Root Server System Advisory Committee,,,,,,RSSAC)是ICANN技术社群的10个技术委员会之一,,,,,,其成员重要为互联网域名系统根服务器的首创者。。。。。该委员会的使命是成为联系技术社群、董事会以及域名根服务器利益有关方的沟通渠路,,,,,,重要掌管提供与域名系统根服务器有关的征询和建议。。。。。因而,,,,,,RSSAC沉点关注根服务器系统的工作机造,,,,,,以及若何更好地服务ICANN技术社群等问题。。。。。
RSSAC由掌管运行全球根服务的组织的代表组成。。。。。

2013年7月18日,,,,,,ICANN董事会核准了RSSAC的初始成员和辅导层,,,,,,并于2014年6月26日录用了新的代表。。。。。(详情见https://www.icann.org/groups/rssac )