Skip to main content
Resources

常见问题与解答:域名冲突——IT 人士指南

本页面还提供其他语种:

域名冲突 | 向 IT 人士发布的域名冲突识别和缓和措施指南 | 常见问题与解答:向 IT 人士发布的域名冲突识别和缓和措施指南 | 为新 ccTLD 缓和域名冲突事件 | 常见问题与解答:面向注册管理机构的域名冲突事件管理框架 | 报告域名冲突

易受影响的相关方、影响与风险

  1. 我的公司/企业的网络是否会受到域名冲突的影响?研究表明,尽管大多少企业网络或互联网用户都不太可能受到域名冲突事件的负面影响,但在管理得当的环境中,域名冲突的可能性更低,域名冲突导致实质性损失的可能性就更加微乎其微,因为这类中断问题通常无处藏匿。然而,如果没有妥善的互联网管理,风险就一直存在。
  2. 域名冲突是否会带来严重的风险?由 JAS Global Advisors 开展的一项关于全球互联网域名系统 (Domain Name System, DNS) 的命名系统中域名冲突的调查研究表明,添加新的顶级域名 (top-level domain, TLD) 并不会从根本上或者显著地提高或改变和域名冲突相关的风险。新 TLD 中的域名冲突不可避免,其表现形式、风险及成因,与全球 DNS 的其他部分中经常发生的域名冲突相似。

风险缓和与问题解决

  1. 系统管理员怎么才能防止域名冲突?ICANN 发布的《供 IT 专业人士使用的域名冲突识别与缓解指南》(版本:1.1)[PDF, 476 KB] 建议,尚未使用全球 DNS 完全合格域名 (FQDN) 的企业应当考虑采取以下策略:
    • 监控域名服务,编制一份私营 TLD 或您在内部使用的简短无限定域名的清单,并将这份清单与所申请的新 TLD 字符串清单进行比对。
    • 制定一份渗漏原因消除计划;例如,如果您需要使用已在全球 DNS 中注册的某个域名,则可能需要变更自己的私营域名空间的根域,或让受到影响的系统转而使用 FQDN。
    • 采用提前通知或提供培训等方式,让用户为即将发生的域名使用变化做好准备。
    • 实施您所制定的计划,最大程度避免潜在的域名冲突。
    • 在域名服务器上和您的网络边界处持续监控原来的私营域名和新的 FQDN 的使用情况,在开始缓和渗漏情况时,利用此类数据消除您可能发现的任何原因。
  2. 发现域名冲突后,系统管理员该如何加以解决?鼓励系统管理员在遇见由于域名冲突导致系统错误的情况时遵循以下步骤:
    1. 向 ICANN 报告问题 »
      对于有合理理由认为域名冲突已造成明显且严重影响的情况,应予以报告。
    2. 阅读《供 IT 专业人士使用的域名冲突识别与缓解指南》(版本:1.1)[PDF, 476 KB] 并执行文中提出的措施。
    3. 访问 https://www.icann.org/namecollision,了解关于域名冲突的更多信息。
    4. 在您的职业圈传播关于潜在域名冲突事件以及缓和措施的消息。

ICANN 的职责

  1. 为什么 ICANN 要涉足于域名冲突缓和措施?鉴于通过 ICANN 的新通用顶级域 (generic Top-Level Domain, gTLD) 项目申请的许多新顶级域名字符串与其他命名系统(如私有网络)中使用的名称发生了重合,因此域名冲突事件又再次引起了人们的关注。支持安全、稳定和富有弹性的互联网是 ICANN 的核心任务。确定潜在域名冲突的风险和严重程度以及提出缓和风险的方法已经变得至关重要。

    在 2013 年 1 月发布的一份调研报告中,ICANN 安全与稳定咨询委员会 (Security and Stability Advisory Committee, SSAC) 确认,一些私营命名系统有时会"渗漏"进全球 DNS(由于配置错误或者使用比较旧的软件)。ICANN 董事会、员工以及互联网社群开始携手解决域名冲突问题。ICANN 认为,必须尽一切可能将潜在影响降至最低水平,并就如何应对这一问题提出明确的建议。

  2. ICANN 已经采取了哪些措施来解决域名冲突问题?ICANN 已经采取了多项措施来解决域名冲突问题,包括委托撰写有关缓和域名冲突的独立报告、向全球的 IT 人士提出有关如何主动发现并管理私营域名空间渗漏进全球 DNS 的建议,以及开展旨在提高域名冲突风险意识的外展活动。

    为评估并缓和全球 DNS 与其他命名系统之间域名冲突的风险,依据 ICANN 董事会于 2024 年 9 月 7 日下达的指示,ICANN 根据《域名冲突分析项目第二项研究报告》中的建议,实施了域名冲突风险管理框架。

    有关 ICANN 如何努力解决域名冲突的更多信息,请阅读以下内容:

控制性中断与 127.0.53.53

  1. 什么是控制性中断?控制性中断是一种方法,用以通知那些(无论有意或无意)错误配置了网络的系统管理员存在域名冲突问题,并帮助他们缓和潜在风险。

    控制性中断旨在捕捉错误的 DNS 查询。当捕捉到错误的查询时,注册管理机构会采取"控制性"的行动以防止危害,并且提醒用户需要进行修复。该行动的具体形式是通过一个特殊的 IP 地址 (127.0.53.53) 对域名系统查询做出响应。"中断"一词指的是尽管发生错误查询的某项活动原来仍能正常运行,但目前将被阻止继续运行。

    受到新 gTLD 注册管理机构执行控制性中断影响的系统管理员,可能会看到以下几种"标志":

    • * 3600 IN MX 10 your-dns-needs-immediate-attention.<TLD>.
    • * 3600 IN SRV 10 10 0 your-dns-needs-immediate-attention.<TLD>.
    • * 3600 IN TXT "您的 DNS 配置需要及时关注,请参阅 https://icann.org/namecollision"
  2. 什么是 127.0.53.53?127.0.53.53 是一个特殊的 IPv4 地址,如果系统日志中出现这个地址,就是在提醒系统管理员可能存在域名冲突问题,从而能够快速采取诊断和补救措施。"53"作为一种助记手段,用于表明这是与 DNS 相关的问题,因为 DNS 服务使用网络端口 53。对于有合理理由认为域名冲突已造成明显且严重影响的情况,应通过 https://forms.icann.org/en/help/name-collision/report-problems 进行报告。有关域名冲突的更多信息,请访问 https://www.icann.org/namecollision
  3. 我在系统日志中看到了 127.0.53.53(或者其他标志),现在我该怎么做?鼓励系统管理员在遇见由于域名冲突导致系统错误的情况时遵循以下步骤:
    1. 向 ICANN 报告问题 »
      对于有合理理由认为域名冲突已造成明显且严重影响的情况,应予以报告。
    2. 阅读《供 IT 专业人士使用的域名冲突识别与缓解指南》(版本:1.1)[PDF, 476 KB] 并执行文中提出的措施。
    3. 访问 https://www.icann.org/namecollision,了解关于域名冲突的更多信息。
    4. 在您的职业圈传播关于潜在域名冲突事件以及缓和措施的消息。
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."