今天聊個(gè)有意思的話題。

世界上共有 13 個(gè)根域名服務(wù)器，其中主根域名服務(wù)器是在美國。

那美國有沒有可能通過根域名服務(wù)器掐斷中國的互聯(lián)網(wǎng)呢?

在說結(jié)論之前，我們先來了解：

• DNS到底是怎么工作的?
• 為什么根域名服務(wù)器只有 13 臺?
• 美國可以讓中國從互聯(lián)網(wǎng)上消失嗎?

DNS到底是怎么工作的?

在上網(wǎng)沖浪時(shí)，我們在瀏覽器輸入的都是網(wǎng)站的域名，而不是 Web 服務(wù)器的 IP 地址。

原因很簡單，域名和 IP 地址的關(guān)系就像我們手機(jī)通訊錄那樣，用對方的名字來對應(yīng)它的手機(jī)號碼。這樣每次撥打電話的時(shí)候，直接在通訊錄里查名字就可以找到對方的手機(jī)號碼，而不需要去記憶對方的手機(jī)號碼。

IP 地址和手機(jī)號碼都是一長串的數(shù)字，如果要去記憶它們，還是挺費(fèi)勁的。

所以，為了網(wǎng)民上網(wǎng)沖浪舒服點(diǎn)，就搞了個(gè) DNS 服務(wù)器，也就是域名解析服務(wù)器，它可以通過我們輸入的域名來找到 Web 服務(wù)器的 IP 地址，然后瀏覽器再向 Web 服務(wù)器發(fā)送請求。

域名都是用句點(diǎn)來分隔的，比如 www.server.com，這里的句點(diǎn)代表了不同層次之間的界限，越靠右的位置表示其層級越高。

根域是在最頂層，它的下一層就是 com 頂級域，再下面是 server.com，所以域名的層級關(guān)系類似一個(gè)樹狀結(jié)構(gòu)：

• 根 DNS 服務(wù)器
• 頂級域 DNS 服務(wù)器(com)
• 權(quán)威 DNS 服務(wù)器(server.com)

我們電腦實(shí)際上并不直接訪問根域名服務(wù)器，而是訪問我們「本地的 DNS 服務(wù)器」，由它來訪問根域名服務(wù)器，而且在解析域名的時(shí)候，是一個(gè)遞歸的過程。

域名解析是怎樣的呢?

現(xiàn)在舉一個(gè)具體的例子，比如客戶端請求 www.server.com 這個(gè)域名，解析域名的過程如下：

• 客戶端首先會(huì)發(fā)出一個(gè) DNS 請求，問 www.server.com 的 IP 是啥，并發(fā)給本地 DNS 服務(wù)器(也就是客戶端的 TCP/IP 設(shè)置中填寫的 DNS 服務(wù)器地址)。
• 本地域名服務(wù)器收到客戶端的請求后，如果緩存里的表格能找到 www.server.com，則它直接返回 IP 地址。如果沒有，本地 DNS 會(huì)去問它的根域名服務(wù)器：“老大， 能告訴我 www.server.com 的 IP 地址嗎?” 根域名服務(wù)器是最高層次的，它不直接用于域名解析，但能指明一條道路。
• 根 DNS 收到來自本地 DNS 的請求后，發(fā)現(xiàn)后置是 .com，說：“www.server.com 這個(gè)域名歸 .com 區(qū)域管理”，我給你 .com 頂級域名服務(wù)器地址給你，你去問問它吧。”
• 本地 DNS 收到頂級域名服務(wù)器的地址后，發(fā)起請求問“老二， 你能告訴我 www.server.com 的 IP 地址嗎?”
• 頂級域名服務(wù)器說：“我給你負(fù)責(zé) www.server.com 區(qū)域的權(quán)威 DNS 服務(wù)器的地址，你去問它應(yīng)該能問到”。
• 本地 DNS 于是轉(zhuǎn)向問權(quán)威 DNS 服務(wù)器：“老三，www.server.com對應(yīng)的IP是啥呀?” server.com 的權(quán)威 DNS 服務(wù)器，它是域名解析結(jié)果的原出處。為啥叫權(quán)威呢?就是我的域名我做主。
• 權(quán)威 DNS 服務(wù)器查詢后將對應(yīng)的 IP 地址 X.X.X.X 告訴本地 DNS。
• 本地 DNS 再將 IP 地址返回客戶端，客戶端和目標(biāo)建立連接。

至此，我們完成了 DNS 的解析過程，整個(gè)過程我畫成了一個(gè)圖：

域名解析的過程蠻有意思的，整個(gè)過程就和我們?nèi)粘Ｉ钪姓胰藛柭返倪^程類似，只指路不帶路。

那是不是每次解析域名都要經(jīng)過那么多的步驟呢?

當(dāng)然不是了，還有緩存這個(gè)東西的嘛。

瀏覽器會(huì)先看自身有沒有對這個(gè)域名的緩存，如果有，就直接返回，如果沒有，就去問操作系統(tǒng)，操作系統(tǒng)也會(huì)去看自己的緩存，如果有，就直接返回，如果沒有，再去 hosts 文件看，也沒有，才會(huì)去問「本地 DNS 服務(wù)器」。

為什么「本地 DNS 服務(wù)器」會(huì)知道根域名服務(wù)器的 IP 地址?

世界上根域名服務(wù)器只有 13 臺，這 13 臺根域名服務(wù)器以英文字母 A 到 M 依序命名，

網(wǎng)域名稱格式為“字母.root-servers.org”，而且它們的 IP 地址基本不會(huì)變化。

所以，「本地 DNS 服務(wù)器」會(huì)內(nèi)置一個(gè)根域名服務(wù)器的配置文件，通過讀取這個(gè)配置文件就能找到根域名服務(wù)器的 IP 地址。

下面這個(gè)圖就是 13 臺根域名服務(wù)器的配置文件的部分內(nèi)容：

可能有的同學(xué)會(huì)說，這個(gè)是靜態(tài)的配置文件，如果某一個(gè)根域名服務(wù)器的 IP 地址改變了，要怎么知道的呢?

其實(shí)，「本地 DNS 服務(wù)器」首次啟動(dòng)時(shí)，并不會(huì)先讀這份靜態(tài)的配置文件，而是會(huì)先去查根域名服務(wù)器的 IP 列表，這個(gè)查詢過程使用的傳輸協(xié)議是 UDP。

另外，可以看到上圖中所有記錄的 TTL 值是 3600000 秒，相當(dāng)于 1000 小時(shí)。也就是說，每 1000 小時(shí)會(huì)去查詢一次根域名服務(wù)器的列表。

為什么根域名服務(wù)器只有 13 臺?

嚴(yán)格來講，是世界上共有 13 個(gè)「IPv4協(xié)議」的根域名服務(wù)器，而 IPv6的根節(jié)點(diǎn)不止 13 個(gè)。

注意，這 13 個(gè)并不是表示背后只有 13 臺真正的物理服務(wù)器，這 13 個(gè)對應(yīng)的是 13 個(gè) IP 地址，對應(yīng)了 A-M 13 個(gè)編號。通過任播(Anycast)技術(shù)，編號相同的根服務(wù)器使用同一個(gè) IP(類似一個(gè)集群)。

任播最初由RFC1546提出，主要用在 DNS 根服務(wù)器上，具體的解釋如下：

任播是指在IP網(wǎng)絡(luò)上通過一個(gè)IP地址標(biāo)識一組提供特定服務(wù)的主機(jī)，服務(wù)訪問方并不關(guān)心提供服務(wù)具體是哪一臺主機(jī)提供的，訪問該地址的報(bào)文可以被IP網(wǎng)絡(luò)路由到“最近”的一個(gè)(最好也只是一個(gè)，別送到多個(gè))服務(wù)器上。這里“最近”可以是指路由器跳數(shù)、服務(wù)器負(fù)載、服務(wù)器吞吐量、客戶和服務(wù)器之間的往返時(shí)間( RTT，round trip time )、鏈路的可用帶寬等特征值。

為什么只有 13 個(gè)呢?

前面我提到，查詢根域名服務(wù)器的 IP 列表使用的傳輸協(xié)議是 UDP。

當(dāng) UDP 包大小超過 MTU 時(shí)，就會(huì)在 IP 層進(jìn)行分片，但是只有第一片有 UDP 頭部字段(意味著包含有端口號)，由于其它分片沒有 UDP 頭部字段(意味著沒有端口號號)，能否通過防火墻則完全看防火墻的臉色，因?yàn)榉阑饓赡軙?huì)檢查端口號。

所以，最好的通信效果就是避免 UDP 包大小超過 MTU 大小，防止在 IP 層發(fā)生分片。

Internet 大多數(shù)網(wǎng)絡(luò)接口MTU >= 512，所以RFC1035 規(guī)定了 DNS 報(bào)文要求被控制在 512 字節(jié)之內(nèi)。

一個(gè)查詢根域名服務(wù)器信息的 DNS 報(bào)文要能裝下所有的根域名服務(wù)節(jié)點(diǎn)基本信息，因?yàn)?512個(gè)字節(jié)有限，所以根域名服務(wù)節(jié)點(diǎn)當(dāng)然要限制住了。

具體計(jì)算細(xì)節(jié)我不做介紹了，最終算到是 512 字節(jié)大小的 DNS 報(bào)文可以裝下 14 個(gè)根域名服務(wù)器節(jié)點(diǎn)的信息，不過當(dāng)時(shí)的人覺得留一手，不全用完，所以就規(guī)定在了 13 個(gè)根域名服務(wù)器。

美國能讓中國從互聯(lián)網(wǎng)上消失嗎?

前面我們知道，根域名服務(wù)器共有 13 個(gè)。

其中 1 個(gè)為主根域名服務(wù)器，放置在美國，其余12個(gè)均為輔根域名服務(wù)器，其中9個(gè)放置在美國，歐洲2個(gè)，位于英國和瑞典，亞洲1個(gè)，位于日本。

可以看到，我們中國并沒有一臺根域名服務(wù)器，而且主根域名在美國，由 ICANN 管理。

如果美國終止 .cn 后綴的解析和申請，會(huì)不會(huì)導(dǎo)致中國網(wǎng)絡(luò)癱瘓?

先說結(jié)論，這個(gè)大可不必?fù)?dān)心。

雖說根域名服務(wù)器都在國外，但是我們中國已經(jīng)有很多臺「鏡像的根域名服務(wù)器」了，也就是會(huì)向主根域名服務(wù)器同步數(shù)據(jù)到國內(nèi)的根域名服務(wù)器，這意味著根域名服務(wù)器的常用記錄，我們早就有了備份，相當(dāng)于我們自己也有了根服務(wù)器。

即使美國從主根域名服務(wù)器刪除了 .cn 記錄，也不怕，因?yàn)槲覀円呀?jīng)維護(hù)了根域名服務(wù)器的鏡像，我們自己可以控制鏡像的內(nèi)容，我們可以不同步關(guān)于 .cn 記錄的刪除。

還記得訪問根域名服務(wù)器是誰嗎?就是本地 DNS 服務(wù)器，而這個(gè)本地 DNS 服務(wù)器一般是由國內(nèi)的網(wǎng)絡(luò)運(yùn)營商管理的，只要在我國內(nèi)對根域名服務(wù)器發(fā)出的請求，其實(shí)都是由這些鏡像完成的。對于中國用戶來說，對根的請求，一般不會(huì)跑到美國去。

所以，國內(nèi)的用戶基本不受影響。不過，其他國家可能就無法訪問 .cn 后綴的網(wǎng)站了。

PS：美國之前就做過這樣的事情，將伊拉克頂級域名 .iq 的申請和解析工作終止掉，導(dǎo)致所有以 .iq 后綴的網(wǎng)站，讓伊拉克從互聯(lián)網(wǎng)消失。