全球根域名管理機構主席澄清關於根服務器若幹傳言

上海朋程勤學文化傳播官方帳號

Fred Baker

ICANN 根服務器系統咨詢委員會（RSSAC）主席

前IETF主席

Fred Baker表示，關於互聯網域名系統的根服務器，目前流傳著許多不同版本的傳言，但這些傳言都不准確。

根服務器系統及

相關機構

Fred Baker在報告中重申了域名系統的運行原理：

先從根服務器節點獲得域名頂級域（如“.cn”）信息的索引。而通過頂級域的權威服務器可獲得二級域名的索引。

其後，在二級域名的權威服務器上，可獲得各個域名所對應的服務器IP地址，或者是域名所屬的子域名。

根服務器系統在運行過程中，首先需要獲得根區文件，然後將其分發到根服務器的運行管理機構，根服務器節點將對全球域名服務器所發起的查詢請求進行響應。全球目前可能分布著超過一萬台
域名解析服務器。根區文件維護者（Root Zone Maintainer）根據從互聯網號碼分配機構（IANA）獲取的文件提供根區數據。

目前，一共有12家相互獨立的企業或者組織機構
在負責管理運行域名系統根服務器節點。其中的一些組織實際上隸屬於美國軍方，它們不屬於公司或企業，這類組織需要區別對待。例如，美國國防部網絡信息中心（Network Information Center，NIC），它是負責運行管理根服務器節點的機構之一。此外，還有一些組織機構分布在斯德哥爾摩、阿姆斯特丹以及東京，主要是歐洲技術社群，而WIDE項目管理著日本的根服務器節點。

1983年，IETF的RFC 882和RFC 883兩個文檔對互聯網域名系統DNS
進行了描述與定義。1984-1985年，早期根域名系統於美國建成，該系統由四台服務器組成，它們分別使用四個獨立的IP地址。此後，隨著互聯網的發展，根服務器的數量經曆了多次增加。1987年，新增三台服務器，1991年新增一台，1993年又增加一台，1998年再增四台。至此，根服務器系統增加至13台，並各自擁有1個IP地址。

當時，分發根域名服務器地址的人是 Jon Postel （注：被譽為互聯網之神），他邀請不同機構共同運維根域名服務器，並長期負責管理互聯網號碼分配機構（Internet Assigned Numbers Authority，IANA）。Jon Postel去世（1998年）之後，沒人了解該如何新增根服務器的入口，或如何修改變動根服務器。

在此情況下，根服務器系統咨詢委員會RSSAC
運行管理根域名服務器系統將近20年。

期間面臨一個非常重要問題是：如何設計完善運行流程，以轉變DNS系統面臨的困難局面。經過多次討論和實踐，根服務器系統不斷演進，最終形成當前規模。截至2020年8月1日，DNS根服務器系統共有1086個根服務器節點
。

引入數字簽名技術

在過去十幾年中，互聯網工程任務組
（The Internet Engineering Task Force，IETF）已經對根區文件的信息做出了一系列優化與改進。其中一項極為重要的變化是，使用數字簽名技術來保障域名系統的安全性，即DNS安全擴展（Domain Name System Security Extensions，DNSSEC）的引入。目前幾乎所有頂級域均已支持DNSSEC，並且其中有許多頂級域對所包含的二級域名進行簽名，許多二級域名進一步對其子域名進行簽名。

數字簽名的主要功能
是驗證用戶所接收的信息是否准確。當某個客戶端發起域名查詢請求時，可能會被劫持或轉發到未經授權的根服務器管理者，導致域名響應的內容與互聯網號碼分配機構（IANA）所提供的信息不一致，造成所謂的DNS偽造攻擊。

如何檢測這類攻擊？如何才能知道應答響應的內容是否合法？解決方案是對數字簽名的內容進行校驗。如果數字簽名是偽造的，就意味著應答內容是非法的。通常，域名解析服務器負責驗證數字簽名記錄。除了域名解析服務器之外，任何發起域名查詢的設備、系統均有權利，RSSAC也強烈建議其去校驗DNSSEC的數字簽名記錄。

根域名系統管理的

十一項原則

2014年，Steve Crocker
（ICANN董事會主席）曾向RSSAC提出一個問題：該如何解決Jon Postel先生去世之後管理根區文件規範流程的缺失？

2015年，RSSAC委員會相聚在工作組討論這一問題，並從當年9月開始，召開了一系列的研討會，最終形成了一份技術報告，也即RSSAC037文檔
。該報告內容可在網上查閱，其中的一項重要內容是提出管理根服務器系統所應依據的11條原則，具體內容如下：

為了維護一個全球性的互聯網，需要一個全球統一的域名系統，從而使用戶在不同地區或使用不同域名解析服務器時，對於相同索引內容總能獲得相同解析結果。

IANA是DNS根數據的來源。

根服務器系統必須是穩定可靠、富有彈性的平台，能夠為所有用戶提供域名解析服務。

根服務器操作的多樣性是整個系統的優勢。如果所有人都使用完全相同的軟件，當域名系統出現故障時，所有人都會遇到此類故障，將導致非常嚴重的安全事故。因此，多樣性是一項基本的設計原則：需要操作不同的DNS軟件，使用不同的硬件設備，使用不同的網絡獲取數據。多樣性是加強系統健壯性的重要因素。

體系結構的變化應該來自於技術的發展和已證明的技術需求。

IETF定義DNS協議的技術操作。所有改變的驅動力都應源自技術層面，而技術上的推陳出新多由互聯網工程任務組（IETF）發起。

剩餘的五項原則均直接面向根服務器系統的運行管理機構（RSOs）。

RSOs必須以誠信正直的精神來維護互聯網的共同利益。

RSOs必須保持透明。作為一個互聯網組織機構，要保持透明，能夠說到做到。

RSOs必須與利益相關方合作，並鼓勵其參與。在IETF和ICANN的組織架構下，RSOs不僅需要與客戶以及合作者積極溝通，也需要吸引並鼓勵技術社群中的利益相關方一起參與。

RSOs必須保持自身的自主性和獨立性。不應受到任何一個派別的操控。根服務器系統的運行管理機構其實是高度獨立的。盡管其中一些機構屬於美國政府，但是並非由政府來運作的。

RSOs必須保持中立與公正，並提供必要的（從IANA獲取的）信息。

關於根服務器系統的

不實傳言

Fred Baker表示，關於互聯網域名系統的根服務器，目前流傳著許多不同傳言，但這些傳言都不准確。

一種說法
是，域名系統根服務器可以控制互聯網流量的轉發路徑。但事實並非如此，根服務器不會控制任何其他事項，它只負責分發根區文件的信息。數據包轉發的過程路徑信息是由互聯網路由器所決定的。

第二種說法
是，根服務器的管理機構可以輕易地修改根區文件的內容，甚至可移除特定的頂級域。假如服務器通過修改配置，拒絕響應用戶所發起的查詢請求，上述說法某種程度上可算是成立的。但通過驗證DNSSEC的數字簽名，可輕易發現此類篡改行為。一旦DNSSEC校驗失敗，便可得知解析結果並非源自互聯網號碼分配機構（IANA），被篡改的內容也會被直接拋棄。因此，盡管理論上而言，根服務器節點可修改根區文件數據，但修改後無法通過DNSSEC數字簽名的校驗。

第三種說法
認為，管理根區文件數據和提供解析服務是一樣的。但二者並不相同，管理主要涉及數據存儲和使用規則的制定等，而解析則是對數據內容的響應。

第四種說法
認為，某些特定的根服務器比其它根服務器更為重要。這種說法也不正確。實際上所有的根服務器的運行管理機構是完全平等的。用戶可以向其中任意一個發起域名查詢請求，最終得到的結果也將完全相同。

第五種說法
是，目前僅存在13個根服務器。實際上，全球共有超過1000個根服務器節點，但是這些根服務器節點共享13個名稱（identities），分別對應著負責運行管理的組織機構。

第六種說法
認為，ICANN控制了所有根服務器運行管理機構。顯然不是這樣。因為根服務器的管理機構比ICANN存在的時間還要長。而且根服務器管理單位RSSAC也僅有少數人從屬於ICANN。

Fred Baker表示，根服務器系統的運行管理機構，必須以誠信正直的精神來維護互聯網的共同利益。同時，根服務器的運行管理機構，必須保持自身的獨立性，他們不應當受到任何一個派別的操縱。

“根服務器系統的運行管理是高度獨立的，盡管其中一些機構屬於美國政府，但他們並不是由政府來運作旳。” Fred Baker表示。

（本文整理自Fred Baker在2020年北京網絡安全大會上的報告）

相關背景

根服務器系統咨詢委員會（Root Server System Advisory Committee，RSSAC）
是ICANN技術社群的10個技術委員會之一，其成員主要為互聯網域名系統根服務器的創始者。該委員會的使命是成為聯系技術社群、董事會以及域名根服務器利益相關方的溝通渠道，主要負責提供與域名系統根服務器相關的咨詢和建議。因此，RSSAC重點關注根服務器系統的工作機制，以及如何更好地服務ICANN技術社群等問題。

RSSAC由負責運行全球根服務的組織的代表組成。

2013年7月18日，ICANN董事會批准了RSSAC的初始成員和領導層，並於2014年6月26日任命了新的代表。

來源：CERNET