2023年1月21日，國(guó)內(nèi)部分網(wǎng)絡(luò)用戶無法打開以com和net為后綴的網(wǎng)站。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的公告稱，此次斷網(wǎng)事件，初步判斷是由于國(guó)際頂級(jí)域名服務(wù)解析出現(xiàn)異常造成的。通過對(duì)域名服務(wù)器跟蹤測(cè)試分析發(fā)現(xiàn)，全球13個(gè)根服務(wù)器中，至少有兩個(gè)根域名服務(wù)器出現(xiàn)問題，造成以com和net為后綴的網(wǎng)站域名被解析到65. 49. 2178這個(gè)無法訪問的美國(guó)IP地址。粗略估算，國(guó)內(nèi)有超過2億的網(wǎng)絡(luò)用戶受到這次斷網(wǎng)事件的影響。因根域名服務(wù)器出現(xiàn)異常導(dǎo)致的斷網(wǎng)事件在全球已經(jīng)發(fā)生過多次。由于全球僅有的13個(gè)根域名服務(wù)器都在國(guó)外，且管理權(quán)掌握在美國(guó)手中，我們無法對(duì)斷網(wǎng)事件做到事前防范，此次斷網(wǎng)事件，再次給我國(guó)的網(wǎng)絡(luò)安全敲響了警鐘。

一斷網(wǎng)原因分析

在互聯(lián)網(wǎng)中發(fā)生大而積斷網(wǎng)事件，主要有兩種原因。一是連接互聯(lián)網(wǎng)的光纜被切斷。2006年12月27日，受臺(tái)灣地震的影響，多條國(guó)際海底光纜被震斷，造成我國(guó)大陸到臺(tái)灣地區(qū)、美國(guó)、歐洲等方向的通信和網(wǎng)絡(luò)中斷;二是域名服務(wù)器出現(xiàn)問題，造成網(wǎng)絡(luò)域名無法正確解析。這次和此前發(fā)生的多次斷網(wǎng)事件，大多都是由于域名服務(wù)器出現(xiàn)異常造成的。為什么域名服務(wù)器出現(xiàn)問題，會(huì)造成大而積的斷網(wǎng)，這要從互聯(lián)網(wǎng)的運(yùn)行機(jī)制說起。

(一)IP地址和域名

計(jì)算機(jī)必須被賦予一個(gè)唯一標(biāo)識(shí)才能接入互聯(lián)網(wǎng)，這個(gè)標(biāo)識(shí)就是IP地址。IP地址由32位二進(jìn)制數(shù)組成，例如，百度的IP地址表達(dá)成十進(jìn)制形式是：202. 108. 22. 5。在瀏覽器地址欄中輸入這個(gè)IP地址，就能打開百度網(wǎng)站。但由于IP地址難以記住，所以，經(jīng)常使用域名來訪問互聯(lián)網(wǎng)。例如百度的域名是：www. baidu. com，要打開百度，只要輸入這個(gè)域名即可。

實(shí)際上，IP地址和域名表示的是互聯(lián)網(wǎng)中的同一臺(tái)計(jì)算機(jī)主機(jī)。不同的是，一個(gè)IP地址可以用多個(gè)域名來表示，所以，IP地址才是互聯(lián)網(wǎng)中主機(jī)的唯一標(biāo)識(shí)。因此，當(dāng)使用域名訪問網(wǎng)絡(luò)時(shí)，只有將域名成功翻譯成正確的IP地址后才能在互聯(lián)網(wǎng)中找到對(duì)應(yīng)的主機(jī)。

把域名翻譯成IP地址的軟件稱為域名系統(tǒng)。域名系統(tǒng)是一個(gè)域名和IP地址相互映射的分布式數(shù)據(jù)庫(kù)，它采用分級(jí)授權(quán)的管理機(jī)制，將主機(jī)域名分成不同的層級(jí)。在這個(gè)層級(jí)結(jié)構(gòu)中，最頂層的稱為根域，隨后是處于不同層級(jí)的子域。完整的域名，由從最底層的子域到根域的名字用點(diǎn)連接而成的字串組成。

(二)域名解析和域名服務(wù)器

將域名翻譯成IP地址的過程稱為域名解析。網(wǎng)絡(luò)訪問能否成功，關(guān)鍵是域名能否被成功解析，即找到域名對(duì)應(yīng)的IP地址。域名解析是通過互聯(lián)網(wǎng)中的域名服務(wù)器來完成的。域名服務(wù)器是裝有域名系統(tǒng)的主機(jī)，它除負(fù)責(zé)管理域名數(shù)據(jù)外，還接受來自互聯(lián)網(wǎng)的域名查詢請(qǐng)求。域名服務(wù)器分為本地域名服務(wù)器和根域名服務(wù)器。本地域名服務(wù)器上存儲(chǔ)著域名到IP地址對(duì)應(yīng)關(guān)系的緩存數(shù)據(jù)，用于提供快速的域名解析服務(wù)。根域名服務(wù)器保存著通用頂級(jí)域名和國(guó)家及地區(qū)頂級(jí)域名的數(shù)據(jù)。常用的COM (商業(yè)/企業(yè))、NET商業(yè)/網(wǎng)絡(luò))等屬于通用頂級(jí)域名，而US(美國(guó))，CN(中國(guó))等屬于國(guó)家及地區(qū)頂級(jí)域名。

由于受到域名解析協(xié)議中數(shù)據(jù)包大小的限制，根域名服務(wù)器最多只能有13個(gè)。目前，這13個(gè)根域名服務(wù)器美國(guó)有10個(gè)，英國(guó)、瑞典、日本各有1個(gè)，它們由美國(guó)商務(wù)部授權(quán)的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)統(tǒng)一管理。處于最上層的頂級(jí)域名由ICANN授權(quán)給某個(gè)域名注冊(cè)機(jī)構(gòu)進(jìn)行具體管理，例如COM和NET域名的注冊(cè)和管理機(jī)構(gòu)是美國(guó)的威瑞信(VeriSign)公司，而CN域名的注冊(cè)和管理機(jī)構(gòu)是中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心。

當(dāng)用戶輸入一個(gè)域名時(shí)，首先由本地域名服務(wù)器進(jìn)行解析。如果本地域名服務(wù)器上保存了要查詢的域名記錄，域名服務(wù)器就立即將查詢到的IP地址返回給發(fā)出查詢請(qǐng)求的客戶端。如果本地域名服務(wù)器上沒有要查詢的記錄，域名服務(wù)器則向最頂層的根域名服務(wù)器發(fā)出查詢請(qǐng)求[ca目39。此時(shí)，如果找到了要查詢的主機(jī)IP地址，該地址將被傳回給發(fā)出查詢請(qǐng)求的客戶端，域名解析成功，否則域名解析失敗，網(wǎng)站無法打開。由此可見，在域名解析過程中，根域名服務(wù)器決定了某個(gè)二級(jí)域名下所有主機(jī)域名的解析，如果根域名服務(wù)器出現(xiàn)問題，就有可能使某個(gè)二級(jí)域名下的所有網(wǎng)站都無法打開，造成大而積的斷網(wǎng)。

二、與根域名服務(wù)器有關(guān)的斷網(wǎng)事件

如果域名服務(wù)器出現(xiàn)異常，域名解析就無法正常進(jìn)行，該域名服務(wù)器管理的域名所對(duì)應(yīng)的網(wǎng)站就無法打開，造成局部的網(wǎng)絡(luò)服務(wù)中斷。而如果根域名服務(wù)器出現(xiàn)異常，就可能造成大而積的斷網(wǎng)。

1997年7月，由于在根域名服務(wù)器之間自動(dòng)傳遞新的IP地址分配清單時(shí)，誤傳了一份空白的IP地址分配表，造成域名無法解析，導(dǎo)致局部網(wǎng)絡(luò)服務(wù)中斷，網(wǎng)頁無法打開，電子郵件無法發(fā)送。

2002年10月21日，黑客采用被稱為DDOS(分布式拒絕服務(wù))的攻擊手段，在大約1個(gè)小時(shí)的時(shí)間內(nèi)，對(duì)13個(gè)根域名服務(wù)器進(jìn)行了超過常規(guī)數(shù)量幾十倍的數(shù)據(jù)攻擊，導(dǎo)致其中的9個(gè)無法正常運(yùn)行，造成部分網(wǎng)絡(luò)服務(wù)中斷。

2007年2月5日晚，至少有3個(gè)根域名服務(wù)器遭到黑客的攻擊，其中包括Nausea：公司的U1traDNS管理的org根域名服務(wù)器、美國(guó)國(guó)防部運(yùn)行的一個(gè)根域名服務(wù)器以及互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)下屬的一個(gè)根域名服務(wù)器。這次黑客攻擊事件使部分網(wǎng)絡(luò)服務(wù)受到了影響。

2023年1月12日7時(shí)左右百度出現(xiàn)大而積的訪問故障，中國(guó)內(nèi)地大部分地區(qū)和美國(guó)、歐洲等地都無法正常登陸百度網(wǎng)站，直至中午12時(shí)訪問才陸續(xù)恢復(fù)。事后調(diào)查發(fā)現(xiàn)，黑客攻擊了位于美國(guó)境內(nèi)負(fù)責(zé)百度域名解析的根域名服務(wù)器，篡改了百度域名注冊(cè)信息。此次斷網(wǎng)事件給百度造成的直接損失超過700萬元人民幣。

2023年8月25日凌晨，負(fù)責(zé)CN授權(quán)的根域名服務(wù)器遭到大規(guī)模的分布式拒絕服務(wù)攻擊，導(dǎo)致域名服務(wù)器訪問延遲或中斷，大部分CN域名解析受到影響，造成大量以com結(jié)尾的網(wǎng)站無法打開。直到凌晨4點(diǎn)左右，CN根域名服務(wù)器的解析才部分恢復(fù)正常。

由于美國(guó)擁有全球13個(gè)根域名服務(wù)器中的1個(gè)主根域名服務(wù)器和9個(gè)輔根域名服務(wù)器，而且在1998年10月，美國(guó)商務(wù)部組建了互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)，負(fù)責(zé)根域名服務(wù)器的管理(包括IP地址的分配、協(xié)議標(biāo)識(shí)符的指派、頂級(jí)域名的管理等)。出于國(guó)家利益的考慮，憑借對(duì)根域名服務(wù)器的管理權(quán)，美國(guó)可以隨時(shí)屏蔽掉敵對(duì)國(guó)家的頂級(jí)域名，使這些域名無法得到解析，讓一個(gè)國(guó)家在互聯(lián)網(wǎng)中瞬間消失。

2002年，當(dāng)營(yíng)運(yùn)伊拉克國(guó)家頂級(jí)域名IQ的美國(guó)Into-Com公司向伊斯蘭極端組織哈馬斯提供資金后，ICANN收回了IQ域名的所有權(quán)。2003年伊拉克戰(zhàn)爭(zhēng)期間，美國(guó)政府授意ICANN終}f對(duì)頂級(jí)域名IQ的解析，致使所有以IQ為后綴的網(wǎng)站無法打開。直到2005年，ICANN才將IQ域名還給伊拉克電信管理機(jī)構(gòu)國(guó)家通信和媒體委員會(huì)。2004年4月，由于在頂級(jí)域名管理權(quán)問題上與美國(guó)發(fā)生分歧，美國(guó)關(guān)閉了利比亞頂級(jí)域名LY，使得所有以LY為后綴的網(wǎng)站突然無法打開，直到4天后這些網(wǎng)站才恢復(fù)正常。

三、從斷網(wǎng)事件反思我國(guó)的網(wǎng)絡(luò)安全

這次發(fā)生的斷網(wǎng)事件，再次給我國(guó)的網(wǎng)絡(luò)安全敲響了警鐘。我國(guó)是互聯(lián)網(wǎng)發(fā)展最快的國(guó)家之一，網(wǎng)絡(luò)用戶已位居世界第一。為了盡量減少斷網(wǎng)事件給我們?cè)斐傻挠绊懀�我們必須進(jìn)一步加強(qiáng)國(guó)內(nèi)域名服務(wù)器的管理，做好國(guó)家頂級(jí)域名CN下的二級(jí)域名注冊(cè)，做好下一代互聯(lián)網(wǎng)技術(shù)條件下自主根域名服務(wù)器建設(shè)的技術(shù)儲(chǔ)備，建立行之有效的網(wǎng)絡(luò)安全保障體系。

(一)進(jìn)一步做好國(guó)家頂級(jí)域名CN下的二級(jí)域名注冊(cè)

在目前的互聯(lián)網(wǎng)域名體系下，COM，NET等頂級(jí)域名均由國(guó)外公司負(fù)責(zé)管理，網(wǎng)絡(luò)安全無法得到保證。而CN下的域名由中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)負(fù)責(zé)管理。盡管注冊(cè)CN下的域名無法徹底擺脫美國(guó)的控制，但它至少可以規(guī)避一些來自外部風(fēng)險(xiǎn)。

一是可以提高域名訪問的穩(wěn)定性。在正常情況下，CN域名主要通過國(guó)內(nèi)的域名服務(wù)器解析。由于中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心在全國(guó)設(shè)置了多個(gè)負(fù)責(zé)CN域名解析的根域名鏡像服務(wù)器，這保證了訪問CN域名下的網(wǎng)站更為穩(wěn)定快捷。

二是可以提高網(wǎng)絡(luò)的安全性。由于COM ，NET等域名由國(guó)外機(jī)構(gòu)負(fù)責(zé)管理，一旦他們不再為我們提供域名解析，這類域名的網(wǎng)絡(luò)服務(wù)將徹底中斷。而CN在國(guó)內(nèi)設(shè)置了多個(gè)根域名鏡像服務(wù)器，即使在根域名服務(wù)器中止CN域名解析這種極端情況發(fā)生時(shí)，至少能保證大多數(shù)CN域名下注冊(cè)的網(wǎng)站在國(guó)內(nèi)能正常訪問。

為了提高CN域名的影響力，讓更多的用戶愿意使用CN域名，一要加強(qiáng)CN域名的管理，建立更加靈活、寬松的注冊(cè)機(jī)制，不斷提升CN域名的競(jìng)爭(zhēng)力;二要做好CN域名的宣傳工作，不斷擴(kuò)大CN的影響力;三要完善與域名相關(guān)的法律法規(guī)，對(duì)于政府機(jī)關(guān)、金融證券、電子商務(wù)、交通運(yùn)輸?shù)壬婕皣?guó)家安全的重要網(wǎng)站，應(yīng)要求他們使用CN域名。

(二)做好下一代互聯(lián)網(wǎng)技術(shù)條件下自主根域名服務(wù)器建設(shè)的技術(shù)儲(chǔ)備

按照域名解析流程，在層級(jí)式域名解析體系中，處于最頂層的是根域名服務(wù)器，它負(fù)責(zé)管理世界各國(guó)的域名信息; 根域名服務(wù)器下是頂級(jí)域名服務(wù)器，存儲(chǔ)著相關(guān)域名管理機(jī)構(gòu)的數(shù)據(jù)庫(kù);再下一級(jí)是域名數(shù)據(jù)庫(kù)和互聯(lián)網(wǎng)服務(wù)提供商的緩存服務(wù)器。盡管根域名服務(wù)器中沒有存儲(chǔ)域名的完整信息，但其中儲(chǔ)存了負(fù)責(zé)每個(gè)頂級(jí)域名的解析域名服務(wù)器的地址信息。所以，理論上，無論是COM形式的域名，還是CN形式的域名，都必須經(jīng)過根域名服務(wù)器才能順利地實(shí)現(xiàn)域名的解析。

正是因?yàn)楦�域名服�?wù)器在互聯(lián)網(wǎng)中具有十分重要地位，所以美國(guó)始終不肯放棄對(duì)根域名服務(wù)器的管理權(quán)。在ICANN成立初期，美國(guó)商務(wù)部曾經(jīng)承諾，當(dāng)ICANN滿足一定條件時(shí)將放棄對(duì)互聯(lián)網(wǎng)最終的否決權(quán)。然而，2005年7月1日，美國(guó)政府宣布，美國(guó)商務(wù)部將繼續(xù)與ICANN簽訂合約，將無限期保留對(duì)13個(gè)根域名服務(wù)器的管理權(quán)。所以，要徹底擺脫美國(guó)對(duì)互聯(lián)網(wǎng)的控制，最終出路就是建立自己的根域名服務(wù)器。然而，在現(xiàn)行的網(wǎng)絡(luò)運(yùn)行機(jī)制下這是無法做到的，這只能寄托于下一代互聯(lián)網(wǎng)技術(shù)IPV6 。

IPV6是指互聯(lián)網(wǎng)通信協(xié)定第6版，它是替代當(dāng)前IPV4的下一代互聯(lián)網(wǎng)協(xié)議版本。目前使用的IPV4互聯(lián)網(wǎng)通信協(xié)議，最大的問題是IP地址嚴(yán)重不足，這已成為制約互聯(lián)網(wǎng)發(fā)展的最大瓶頸。而IPV6可提供更多的IP地址，徹底解決IP地址數(shù)量不足的問題。為滿足IPV6的技術(shù)要求，根域名服務(wù)器也將隨之?dāng)U充和調(diào)整，這為我們建立自己的完全獨(dú)立的根域名服務(wù)器提供了難得的契機(jī)。

令人欣慰的是，我國(guó)政府和科技界的有識(shí)之士已經(jīng)看到了建立自主獨(dú)立的根域名服務(wù)器的重要性，相關(guān)部門和機(jī)構(gòu)已經(jīng)開始著手這方而的規(guī)劃和研究。例如，中科院計(jì)算機(jī)網(wǎng)絡(luò)信息中心已經(jīng)開始了基于IPV6根域名服務(wù)器的研究，建立了IPV6試驗(yàn)網(wǎng)，解決了IPV6環(huán)境下設(shè)置根域名服務(wù)器的一系列關(guān)鍵技術(shù)。建立IPV6根域名服務(wù)器，將為我國(guó)規(guī)�；�部署IPV6網(wǎng)絡(luò)域名系統(tǒng)提供有力的技術(shù)支撐，對(duì)保障國(guó)家網(wǎng)絡(luò)安全具有十分重要的作用。