zh

DNS 世界中 L 根的重要性

2015 年 09 月 11 日

Terry Manderson, Sr. Director, Security and Network Engineering

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

David Soltero (left) and Terry Manderson (right)

目前,许多人都在关注与 IANA 管理权移交相关的重要工作,理当如此!我们换个角度,先来畅游一下精彩的互联网技术世界。其实,为什么不喝杯咖啡,放松一下身体,和我一起想想保持互联网运行的一些底层基础架构。准备好了吗?太好了!

了解 L 根

关于进入根区的内容,我们也听过很多。所涉及的进程、所关注的问题和所取得的成功 - 但有时我们会忽略一个事实:根区由一堆服务器提供支持。当然,我说成"一堆服务器"有点轻率。事实上,根区支持来源位置的数量是相当惊人的。如果您浏览 www.root-servers.org,就会发现,虽然有 13 台根服务器,但实际上却有 480 多个根服务器位置!这 13 台根服务器由 12 家组织运行,他们都专心致力于自己的本职工作,ICANN 作为这 12 家组织之一,有责任认真运行"L 根"。

我希望您抽空了解一下这个令人不可思议的网络。可能您已观看了有关 L 根扩展工作的一两个演示文稿,阅读了先前发布的相关博客,又或者听说了您附近托管 L 根服务器实例的网络。甚至可能贵公司也在托管 L 根服务器实例。如果目前没有托管,可能贵公司有兴趣加入社区,有兴趣在您的网络中托管 L 根。如果是这样,请单击跳转

保持 L 根运行:稳定性和弹性

现在 ICANN 已在扩展道路上具有数年经验,我们这样做是因为了解,在全球添加更多的 L 根基础架构实例可以提高互联网的稳定性和弹性 - 每个人都可以从中获益。鉴于此,我们已经将工作从互联网全球稳定性和弹性扩展到其他两个方面:增加 L 根的稳健性,缓解分布式拒绝服务 (DDoS) 攻击和以"L"为中心的潜在零日漏洞攻击。

基于这中考虑,我来提出一个假设:如果大量拒绝服务攻击都是针对 L 根,那么会发生什么。比如说,流量是当前全球根 DNS 流量的 50 倍。我们当然不希望停止从 L 根提供 DNS,也不希望看到流量影响任何其他 12 台根服务器。

现在,让我们考虑一场完美风暴。假设在该拒绝服务攻击期间,某位智慧的黑客发现了 DNS 软件中的一个漏洞,或者甚至发现了一个操作系统漏洞。

这种可能性让我们感到非常担心。这就是为何我们积极采取措施,确保类似情况永不发生;即使发生,也可以做出应对。

为此,我们应采用更多元化的方法来保持 L 根尽可能保持弹性。数天前,ICANN 在布拉格部署了 L 根服务器集群(该集群承蒙 CZ.NIC (http://www.nic.cz) 托管)。针对该集群,有两个关键功能,旨在防止其遭受上述完美风暴的干扰:

  1. 集群能够处理的负载量是整个 L 根网络上可看到负载的 700 多倍。要了解这种能力,请随时浏览 hedgehog.dns.icann.org,我们会在该网站中公开显示我们所看到的 DNS 流量情况。
  2. 该集群是使用两个不同的高性能 DNS 代码库构建的。"Knot"来自 CZ.NIC (http://www.nic.cz),"NSD"来自 NLNetLabs (http://www.nlnetlabs.nl)。该集群中的服务器构建在两个完全不同的两个操作系统上。这种异构方法意味着,我们能够与一家供应商一起弹性应对任何未来可能出现的问题。

我们计划至少额外部署两个高性能装置,亚洲将是下一个部署地区。

我们想对 CZ.NIC 工作人员所做的工作深表感谢。首先,感谢在 2009 年就第一个外部托管的 L 根实例与我们展开合作,并对互联网社区的需要进行优先级划分。他们在托管我们的基础架构方面所付诸的时间和精力充分说明了他们对于全球 DNS 的承诺。其次,感谢 CZ.NIC 竭尽全力生成另一个高质量的 DNS 服务器代码库,使我们能够将异构理念引入 L 根中。非常感谢 Ondrej Filip 及其优秀的工作人员!

Sr. Director, Security and Network Engineering

Terry Manderson