镜象服务器只是一个代理服务器?
你说的是什么镜像服务器,比方说天空下载站,他有很多的镜像网站,分布在全国各个地方,主要是分流,一般镜像服务器和主服务器数据更新是同步的。
而代理服务器,主要是比较说,我们通过某一台服务器来上网,或者干点别的什么事。就比方说,你一个局域网,你把一台电脑设为服务器,局域网内所有电脑都通过它来上网,通常我们称这台服务器为代理服务器。
这是我的一点理解。可能不是十分准确,你可以再到百度里搜索一下,这方面的资料很多的。
平时我们进行域名解析所用到的DNS服务器,是面对客户的一线的服务器。在服务器家族里还有一种叫做“DNS根服务器”的服务器。根服务器主要用来管理互联网的主目录,全世界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。
这13台根服务器可以指挥Firefox或互联网 Explorer这样的Web浏览器和电子邮件程序控制互联网通信。由于根服务器中有经美国政府批准的260个左右的互联网后缀(如com、net等)和一些国家的指定符,美国政府对其管理拥有很大发言权。这使得我们显得相当被动。
中国网民访问COM等境外域名时,大多仍需要经过国外的域名服务器进行解析,中美海底光缆一旦断裂,便会发生解析问题。中国东部、太平洋西海岸地区,属于地震多发地带,再加上台风等环境因素影响,形势显得更加严峻。台风“莫拉克”相信大家一定还有印象!
8月9日至13日,在台风“莫拉克”经过海域,共有9条国际海缆发生中断等不同程度的损坏。由于电信企业采取有效措施及时恢复,这些损坏没有对中国国际通信造成太大影响。但是,北京、上海、杭州、青岛、武汉等地大量MSN用户依然出现故障。
受伤的远不止MSN,如卡巴斯基等杀毒软件同样会发生不能升级、无法更新等故障。原因只有一个,它们的服务器都不在中国。
莫拉克”台风“重创”MSN再次提醒我们,无论设置多少台根镜像服务器,都不能彻底解决互联网的安全问题,一旦海底光缆断裂,中国的互联网通信将受到非常大的影响。
常备应急预案在一定程度上的确能降低损失,但只是权宜之计,治标不治本,要想根除这一问题,就只有一个办法,我们要参与游戏规则的制定。
全球互联网的13台DNS根服务器分布
美国VeriSign公司 2台
网络管理组织IANA(Internet Assigned Number Authority) 1台
欧洲网络管理组织RIPE-NCC(Resource IP Europeens Network Coordination Centre) 1台
美国PSINet公司 1台
美国ISI(Information Sciences Institute) 1台
美国ISC(Internet Software Consortium) 1台
美国马里兰大学(University of Maryland) 1台
美国太空总署(NASA) 1台
美国国防部 1台
美国陆军研究所 1台
挪威NORDUnet 1台
日本WIDE(Widely Integrated Distributed Environments)研究计划 1台
目前全球共有13台域名根服务器。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国、欧洲2个(位于英国和瑞典)、亚洲1个(位于日本)
美国控制了域名解析的根服务器,也就控制了相应的所有域名,如果美国不想让人访问某些域名,就可以屏蔽掉这些域名,使它们的IP地址无法解析出来,那么这些域名所指向的网站就相当于从互联网的世界中消失了。比如,2004年4月,由于“ly”域名瘫痪,导致利比亚从互联网上消失了3天。另外,凭借在域名管理上的特权,美国还可以对其他国家的网络使用情况进行监控,例如美国可以对某个国家的某类网站进行流量访问统计,从中大致分析出该国热门网站分布情况和网民的访问喜好等。
近日,中国网通集团与美国威瑞信(VeriSign)公司共同开通互联网根域名中国镜像服务器,在大众认为该举措将提速我国用户访问COM等境外域名的背后,却为美国公司监控中国互联网的访问数据提供了便利。
记者了解到,互联网共有13个根域名服务器,从A至M编号,分别部署在美国、英国、瑞典和日本。事实上,早在2003年,非盈利性组织———国际互联网协会(ISC)便将其所辖的F根服务器在中国建立了镜像,成为中国拥有的第一个根镜像服务器。2005年9月,管理I根的非盈利性机构“瑞典国家互联网交换中心”在中国互联网络信息中心(CNNIC)设立了中国第二个根镜像———I根镜像。而近日所设立的是由美国商业公司Verisign所管理的J根服务器的镜像。“无论引入多少根镜像服务器,仍然无法彻底解决COM等境外域名绕道访问的问题。”国际互联网名称和地址分配组织(ICANN)理事、中科院网络中心首席科学家钱华林研究员说。
据他介绍,通过在国内设立根镜像服务器,只是域名访问的第一步,即提高了根解析的速度。但是,对于大量解析服务器设在美国的COM、NET域名来说,其大部分解析仍需绕道美国才能完成,速度的提升几乎可以忽略不计。
据了解,中国之前拥有的两个根镜像服务器,都是由中立的非盈利性国际组织在中国建立,安全性较高,而将中国互联网的访问日志拱手交给外国商业公司,安全隐患骤然凸现。专家介绍,Verisign完全可以通过根服务器镜像的访问日志,分析得出中国网民的访问信息甚至各个网站,尤其是重要机构、官方网站的访问特征。藉此,中国网民的访问习惯和访问信息及网站的解析信息完全暴露于美国公司的监视之下。
互联网安全专家指出,“由于中国未拥有13个根服务器中任何一个根的管理权,在根域名解析下缺乏主导权,如果国内网站大量依赖COM等由境外公司管理的域名,一旦发生国际冲突,境外机构掐断中国的根服务器镜像和COM域名镜像,所有使用COM域名的网站都将无法访问,中国的互联网将陷入瘫痪,后果不堪设想。”该专家明确建议,中国在争取对根域名服务器管理权的同时,一定要降低对COM等境外域名的依赖度,才能提高中国互联网的整体安全性。
7月12日,北京国家会议中心报告厅内,中国网络安全论坛正式举办。作为2017中国互联网大会的分论坛,中国网络安全论坛聚焦于“依法保障网络安全 为互联网+护航”主题。北京泰尔英福网络科技有限责任公司(Teleinfo)域名事业部总经理吕洪泽应邀出席论坛,并进行了题为“域名市场及应用安全状况报告”的演讲。
长期以来,我国对互联网域名产业的系统研究稍显薄弱,对这一重要基础资源的产业发展现状和趋势及其对互联网产业的影响缺少必要的数据统计和分析。此次论坛上,吕洪泽总经理旨在通过对全球及中国域名市场发展状况及特点的详细解析,解读域名产业的演变会对域名系统性能和安全带来哪些影响,同时通过对国内外域名设施建设及应用情况的对比,域名安全防护技术的剖析,让观众可以更加轻松、清晰地明了到当前影响和制约域名安全的关键因素。
域名行业演变及其对互联网安全的影响
域名是互联网的关键资源,域名系统的安全与稳定直接关系到互联网的安全与稳定。在投入使用至今的30余年中,互联网域名的种类与数量不断扩展,产业生态日趋成熟,管理体系逐步完善。尤其是2011年通过的新通用顶级域(gTLD)计划带来大量新进入者,行业生态活跃度大幅提高,推动顶级解析服务生态变化,市场竞争日趋激烈。
(1)大量新的非传统顶级域名服务主体涌入顶级域名服务,如谷歌、泰尔英福等。(2)原来顶级域运营管理机构自建自营的局面被打破,形成了新的竞争市场。传统顶级域运营机构(如CentralNic等)和有实力的新进入者在自建自营的同时开始向新进入者开放托管和运营业务。顶级解析服务竞争的引入,带动有实力的顶级域运营机构不断完善解析服务设施,提升对外服务的竞争力。CentralNic在除南极洲外的全球六大洲均部署了解析及镜像节点;谷歌利用原有网络基础建设了全球化的解析服务系统,在美洲、欧洲、亚洲的许多国家均部署了解析及镜像节点;域名全生命周期平台服务商Teleinfo,建成面向全球的多中心、多节点的服务平台,开发部署域名云注册局、数据托管、合规等服务,解析节点分布于欧、美及国内核心运营商。目前Teleinfo的国内解析服务设施主要分布在成都、北京等地,覆盖了我国主要运营商,同时也在英国伦敦、美国旧金山、荷兰阿姆斯特丹部署了解析节点。
这些域名生态上的变化,将大幅提升互联网基础设施的访问性能和安全冗余性: 一方面提高了DNS的安全冗余性,分流攻击流量,增强整体抗攻击能力,使得DNS整体架构更富有弹性;另一方面,镜像服务器为部署地区用户提供就近的根解析服务能力,提升区域用户的根解析响应时间和解析成功率。
国内互联网行业与国际存在的显著差距
互联网新技术和新业务的不断涌现也对域名系统的发展提出新的要求,其效率与安全直接关系到互联网的健康稳定运行。如果要概括当前国际域名设施建设及应用的情况,可以用五句话来形容其特点:(1)根镜像全球分布式扩展,性能与安全冗余性大幅提升;(2)顶级解析服务竞争日趋激烈,设施快速增长完善;(3)权威解析服务TOP企业优势明显,GoDaddy一枝独秀;(4)递归解析应用价值突出;(5)域名解析安全成为互联网安全重要环节。
相较而言,国内的情况也可以用五点来描述:(1)我国根访问以国内引入镜像为主,根镜像数量仍显不足;(2)国际知名通用域设施引入较少,自主顶级域基础设施国内外布局逐步完善;(3)权威解析服务商跻身国际前列,行业关注度不断提升;(4)接入服务商递归解析占据主流,第三方市场百家争鸣;(5)域名解析性能不断提升,与国际先进水平仍有差距。
据统计,目前美国根服务器及镜像约占全球总量六分之一左右,我国只引入四个根(F、I、J、L)镜像节点,总数量位居全球第19位,不及美国十分之一。由于递归服务器对根服务器的访问策略采用“初始轮询,性能择优”的原则,目前我国根域名解析中,约六成可实现对国内已引入根镜像服务器的就近访问。
作为宽带网络通信的一环,我国固定宽带用户的域名解析性能低于发达国家,各基础电信运营企业之间的解析时延差异较大。据统计,2015年,我国固定宽带用户DNS解析时延的平均值为4677ms,比2014年欧盟30国平均DNS解析时延高出87%。
其中,我国访问引入镜像4个根平均解析性能为70 ms左右,远小于其它未引入镜像根平均解析性能190 ms。但由于受引入镜像数量、网络访问质量等因素影响,根镜像服务器访问性能与国际主流国家尚存在较大差距,解析时延约超过国际发达国家两倍左右。
域名解析安全成为互联网安全重要环节
域名解析故障是引起互联网安全问题的最频发原因之一。DNS是Internet的重要基础,包括Web访问、Email服务在内的众多网络服务都和DNS息息相关,DNS的安全直接关系到整个互联网应用能否正常使用。近年来,针对DNS的攻击越来越多,影响也越来越大,因此如何保护DNS系统的安全就成为了目前互联网安全的首要问题之一。
(1)针对域名系统的攻击已成为互联网最重大的威胁之一,拒绝服务(DDoS)攻击、域名劫持、缓存投毒等频发。据统计,DNS是全球受攻击最为严重的三大互联网业务之一,DNS是全球DDoS攻击的第二大目标。国内外域名安全事件层出不穷,影响范围广,破坏性强。(2)域名体系的桥梁作用被恶意利用,成为攻击互联网的手段。如反射放大攻击利用了DNS递归请求等特性,以较低的成本向网络发动巨大的流量攻击。
DNS安全防护主要面临如下威胁:(1)针对DNS的DDoS攻击;(2)DNS欺骗;(3)系统漏洞。
各国高度重视域名解析系统安全,提升域名系统的安全性已成为全球业界协作的发力点。目前,DNSSEC在根和顶级域的部署取得阶段性进展,根服务器已全部部署了DNSSEC验证服务,截至2015年底,已有803%的顶级域名服务器部署了DNSSEC。此外,在反垃圾邮件、治理钓鱼网站等方面的国际合作近年来继续加强。
此次论坛上还发布了《中国互联网站发展状况及其安全报告(2017)》,《报告》由中国互联网协会和国家互联网应急中心联合发布,获得了北京泰尔英福网络科技有限责任公司、中国电信集团等单位支持。
北京泰尔英福网络科技有限责任公司(Teleinfo)依托“信息”顶级域,自建了面向全球的域名全生命周期服务平台,是完全覆盖域名实/命名验证、解析托管、云注册局、监测服务等环节的域名全生命周期服务商。Teleinfo负责运营托管的新顶级域已然超过10个,包括“信息”、“在线”、“中文网”等。泰尔英福是中文域名应用创新的坚定推动者,致力于实现更广范围的互联互通,更优质的网络在线服务和用户体验。
有
即便美国关闭了我国的DNS服务,断开了我国与互联网的连接,也不会产生太大的影响,毕竟我们访问网站以国内网站为主。通常情况下,我们使用域名访问一个网站,即DNS域名解析,将域名转换为IP地址,才能访问某个网站。
DNS域名服务器采用了树状的结构,全球有13台根域名服务器,唯一的1个主根服务器位于美国,因此,理论上美国可以通过主根服务器切断任何一个国家的网络。首先说省与省或是同城间的交流。我们要实现信息交流,就先得有一个IP地址,就像一个人要一个住的地方一样,尽管这个地方随时有可能要搬走,但在一个时刻内都会有一地址。
然而这个地址是谁分配给我们的呢?是电信、移动、联通这些电信运营商,他们分配了一个地址给咱们,这地址可以有很多人共用,如同户口本一样,里面可以挂靠很多人一样的道理,咱们拿到这个地址就可以给其他地址的人写信了,当然,我们也得有省内或是同城其他同学的地址他们才可以收到信,否则不知道寄往何处。
中国早已布置了镜像根服务器,有着自己独立的网络基础。2006年12月14日与美国Verisign公司在北京举行签字仪式,正式开通互联网根域名中国镜像服务器。而中国镜像服务器解决了中国网民访问com 、net网站时,域名解析需由设置在中国境外的域名服务器提供服务的问题。
4月29日上午,F根服务器浙江镜像节点上线发布会在杭州举行,中国互联网络信息中心(CNNIC)、浙江省互联网信息办公室、浙江省经济和信息化厅相关领导出席了发布仪式。此次F根服务器浙江镜像节点上线揭开了我国新一轮根镜像引入工作的序幕,杭州也成为继北京之后拥有一台以上根镜像服务器的中国城市。
什么是根镜像服务器
“根镜像服务器”说起来可能比较陌生,但这和大家日常上网却有着莫大的关系,要了解根镜像服务器,首先要了解的是根服务器,根服务器主要用来管理互联网的主目录,全世界IPv4根服务器只有13台(这13台IPv4根域名服务器名字分别为“A”至“M”),由于 历史 原因,中国没有根服务器,而是使用了根镜像服务器。镜像服务器与主服务器的服务内容相同,且能同步更新,简单来说就是和照镜子一样。
互联网中每台计算机都有一个类似于身份证号码的编号,称之为“IP地址”,我们上网依赖的就是这个“IP地址”,不管是根服务器还是根镜像服务器的作用就是解析地址。根服务器就是整个互联网世界的地址登记表,就像我们在现实世界中只有通过地址才能找到朋友的家,虚拟世界里必须通过根服务器才能访问入网的各类网站和设备。
F根服务器浙江镜像节点上线的意义
对于F根服务器浙江镜像节点上线的意义,记者了解到有以下三个作用:
一是完善了我国国家城名服务体系布局。 在此之前,9个根镜像服务器中有8个位于北京,只有1个位于南方地区本次F根镜像服务器上线,优化了根镜像服务器区域配置,并在一定程度上缓解了南方地区根镜像服务器数量严重不足问题。
二是提高国内南方区域的上网体验。 简单来说,华东地区乃至南方地区的网民在上网时,以往需要前往北京F根镜像服务器查询的域名,现在在杭州就可以查询了。从数据上看,已经引入根在所有监测节点上的平均访问速度提高了一倍。所以该镜像服务器上线后,将有效缩短浙江和南方地区用户访问F根的解析响应时间,提高解析成功率,金融、能源、交通等对实时性要求高的行业受益将更加明显。
三是进一步提升我国互联网运行的安全性。 近年来,域名系统等互联网关键信息基础设施面临的安全风险仍较为突出,APT攻击、数据泄露、分布式拒绝服务攻击(DDoS攻击)等问题也较为严重。2018年2月28日,针对GitHub的DDoS攻击达到有史以来的135Tbps。F根服务器浙江镜像节点在浙江的落地,能够分流攻击流量、增强抗攻击能力,提高南方地区DNS安全冗余性,有助于抵御网络攻击、域名劫持和网络瘫痪等网络威胁,提升我国互联网运行的安全性和稳定性。
0条评论