哪些关键因素在影响互联网的性能和安全

7月12日，北京国家会议中心报告厅内，中国网络安全论坛正式举办。作为2017中国互联网大会的分论坛，中国网络安全论坛聚焦于“依法保障网络安全 为互联网+护航”主题。北京泰尔英福网络科技有限责任公司（Teleinfo）域名事业部总经理吕洪泽应邀出席论坛，并进行了题为“域名市场及应用安全状况报告”的演讲。

长期以来，我国对互联网域名产业的系统研究稍显薄弱，对这一重要基础资源的产业发展现状和趋势及其对互联网产业的影响缺少必要的数据统计和分析。此次论坛上，吕洪泽总经理旨在通过对全球及中国域名市场发展状况及特点的详细解析，解读域名产业的演变会对域名系统性能和安全带来哪些影响，同时通过对国内外域名设施建设及应用情况的对比，域名安全防护技术的剖析，让观众可以更加轻松、清晰地明了到当前影响和制约域名安全的关键因素。

域名行业演变及其对互联网安全的影响

域名是互联网的关键资源，域名系统的安全与稳定直接关系到互联网的安全与稳定。在投入使用至今的30余年中，互联网域名的种类与数量不断扩展，产业生态日趋成熟，管理体系逐步完善。尤其是2011年通过的新通用顶级域（gTLD）计划带来大量新进入者，行业生态活跃度大幅提高，推动顶级解析服务生态变化，市场竞争日趋激烈。

（1）大量新的非传统顶级域名服务主体涌入顶级域名服务，如谷歌、泰尔英福等。（2）原来顶级域运营管理机构自建自营的局面被打破，形成了新的竞争市场。传统顶级域运营机构（如CentralNic等）和有实力的新进入者在自建自营的同时开始向新进入者开放托管和运营业务。顶级解析服务竞争的引入，带动有实力的顶级域运营机构不断完善解析服务设施，提升对外服务的竞争力。CentralNic在除南极洲外的全球六大洲均部署了解析及镜像节点；谷歌利用原有网络基础建设了全球化的解析服务系统，在美洲、欧洲、亚洲的许多国家均部署了解析及镜像节点；域名全生命周期平台服务商Teleinfo，建成面向全球的多中心、多节点的服务平台，开发部署域名云注册局、数据托管、合规等服务，解析节点分布于欧、美及国内核心运营商。目前Teleinfo的国内解析服务设施主要分布在成都、北京等地，覆盖了我国主要运营商，同时也在英国伦敦、美国旧金山、荷兰阿姆斯特丹部署了解析节点。

这些域名生态上的变化，将大幅提升互联网基础设施的访问性能和安全冗余性： 一方面提高了DNS的安全冗余性，分流攻击流量，增强整体抗攻击能力，使得DNS整体架构更富有弹性；另一方面，镜像服务器为部署地区用户提供就近的根解析服务能力，提升区域用户的根解析响应时间和解析成功率。

国内互联网行业与国际存在的显著差距

互联网新技术和新业务的不断涌现也对域名系统的发展提出新的要求，其效率与安全直接关系到互联网的健康稳定运行。如果要概括当前国际域名设施建设及应用的情况，可以用五句话来形容其特点：（1）根镜像全球分布式扩展，性能与安全冗余性大幅提升；（2）顶级解析服务竞争日趋激烈，设施快速增长完善；（3）权威解析服务TOP企业优势明显，GoDaddy一枝独秀；（4）递归解析应用价值突出；（5）域名解析安全成为互联网安全重要环节。

相较而言，国内的情况也可以用五点来描述：（1）我国根访问以国内引入镜像为主，根镜像数量仍显不足；（2）国际知名通用域设施引入较少，自主顶级域基础设施国内外布局逐步完善；（3）权威解析服务商跻身国际前列，行业关注度不断提升；（4）接入服务商递归解析占据主流，第三方市场百家争鸣；（5）域名解析性能不断提升，与国际先进水平仍有差距。

据统计，目前美国根服务器及镜像约占全球总量六分之一左右，我国只引入四个根（F、I、J、L）镜像节点，总数量位居全球第19位，不及美国十分之一。由于递归服务器对根服务器的访问策略采用“初始轮询，性能择优”的原则，目前我国根域名解析中，约六成可实现对国内已引入根镜像服务器的就近访问。

作为宽带网络通信的一环，我国固定宽带用户的域名解析性能低于发达国家，各基础电信运营企业之间的解析时延差异较大。据统计，2015年，我国固定宽带用户DNS解析时延的平均值为4677ms，比2014年欧盟30国平均DNS解析时延高出87%。

其中，我国访问引入镜像4个根平均解析性能为70 ms左右，远小于其它未引入镜像根平均解析性能190 ms。但由于受引入镜像数量、网络访问质量等因素影响，根镜像服务器访问性能与国际主流国家尚存在较大差距，解析时延约超过国际发达国家两倍左右。

域名解析安全成为互联网安全重要环节

域名解析故障是引起互联网安全问题的最频发原因之一。DNS是Internet的重要基础，包括Web访问、Email服务在内的众多网络服务都和DNS息息相关，DNS的安全直接关系到整个互联网应用能否正常使用。近年来，针对DNS的攻击越来越多，影响也越来越大，因此如何保护DNS系统的安全就成为了目前互联网安全的首要问题之一。

（1）针对域名系统的攻击已成为互联网最重大的威胁之一，拒绝服务（DDoS）攻击、域名劫持、缓存投毒等频发。据统计，DNS是全球受攻击最为严重的三大互联网业务之一，DNS是全球DDoS攻击的第二大目标。国内外域名安全事件层出不穷，影响范围广，破坏性强。（2）域名体系的桥梁作用被恶意利用，成为攻击互联网的手段。如反射放大攻击利用了DNS递归请求等特性，以较低的成本向网络发动巨大的流量攻击。

DNS安全防护主要面临如下威胁：（1）针对DNS的DDoS攻击；（2）DNS欺骗；（3）系统漏洞。

各国高度重视域名解析系统安全，提升域名系统的安全性已成为全球业界协作的发力点。目前，DNSSEC在根和顶级域的部署取得阶段性进展，根服务器已全部部署了DNSSEC验证服务，截至2015年底，已有803%的顶级域名服务器部署了DNSSEC。此外，在反垃圾邮件、治理钓鱼网站等方面的国际合作近年来继续加强。

此次论坛上还发布了《中国互联网站发展状况及其安全报告(2017)》，《报告》由中国互联网协会和国家互联网应急中心联合发布，获得了北京泰尔英福网络科技有限责任公司、中国电信集团等单位支持。

北京泰尔英福网络科技有限责任公司（Teleinfo）依托“信息”顶级域，自建了面向全球的域名全生命周期服务平台，是完全覆盖域名实/命名验证、解析托管、云注册局、监测服务等环节的域名全生命周期服务商。Teleinfo负责运营托管的新顶级域已然超过10个，包括“信息”、“在线”、“中文网”等。泰尔英福是中文域名应用创新的坚定推动者，致力于实现更广范围的互联互通，更优质的网络在线服务和用户体验。

目前全球共有13台域名根服务器。1个为主根服务器，放置在美国。其余12个均为辅根服务器，其中9个放置在美国、欧洲2个(位于英国和瑞典)、亚洲1个(位于日本)

美国控制了域名解析的根服务器，也就控制了相应的所有域名，如果美国不想让人访问某些域名，就可以屏蔽掉这些域名，使它们的IP地址无法解析出来，那么这些域名所指向的网站就相当于从互联网的世界中消失了。比如，2004年4月，由于“ly”域名瘫痪，导致利比亚从互联网上消失了3天。另外，凭借在域名管理上的特权，美国还可以对其他国家的网络使用情况进行监控，例如美国可以对某个国家的某类网站进行流量访问统计，从中大致分析出该国热门网站分布情况和网民的访问喜好等。

近日，中国网通集团与美国威瑞信(VeriSign)公司共同开通互联网根域名中国镜像服务器，在大众认为该举措将提速我国用户访问COM等境外域名的背后，却为美国公司监控中国互联网的访问数据提供了便利。

记者了解到，互联网共有13个根域名服务器，从A至M编号，分别部署在美国、英国、瑞典和日本。事实上，早在2003年，非盈利性组织———国际互联网协会(ISC)便将其所辖的F根服务器在中国建立了镜像，成为中国拥有的第一个根镜像服务器。2005年9月，管理I根的非盈利性机构“瑞典国家互联网交换中心”在中国互联网络信息中心(CNNIC)设立了中国第二个根镜像———I根镜像。而近日所设立的是由美国商业公司Verisign所管理的J根服务器的镜像。“无论引入多少根镜像服务器，仍然无法彻底解决COM等境外域名绕道访问的问题。”国际互联网名称和地址分配组织(ICANN)理事、中科院网络中心首席科学家钱华林研究员说。

据他介绍，通过在国内设立根镜像服务器，只是域名访问的第一步，即提高了根解析的速度。但是，对于大量解析服务器设在美国的COM、NET域名来说，其大部分解析仍需绕道美国才能完成，速度的提升几乎可以忽略不计。

据了解，中国之前拥有的两个根镜像服务器，都是由中立的非盈利性国际组织在中国建立，安全性较高，而将中国互联网的访问日志拱手交给外国商业公司，安全隐患骤然凸现。专家介绍，Verisign完全可以通过根服务器镜像的访问日志，分析得出中国网民的访问信息甚至各个网站，尤其是重要机构、官方网站的访问特征。藉此，中国网民的访问习惯和访问信息及网站的解析信息完全暴露于美国公司的监视之下。

互联网安全专家指出，“由于中国未拥有13个根服务器中任何一个根的管理权，在根域名解析下缺乏主导权，如果国内网站大量依赖COM等由境外公司管理的域名，一旦发生国际冲突，境外机构掐断中国的根服务器镜像和COM域名镜像，所有使用COM域名的网站都将无法访问，中国的互联网将陷入瘫痪，后果不堪设想。”该专家明确建议，中国在争取对根域名服务器管理权的同时，一定要降低对COM等境外域名的依赖度，才能提高中国互联网的整体安全性。

一般不需要，但是也可以用。

全球13台根DNS服务器，负责全世界的域名解析，国内的很多DNS服务器是镜像服务器，都是各国为了快速解析域名建立的镜像服务器。

在国内，只要是正规域名都可以解析，如果解析不了，是你的网站内容的问题，被国内的防火墙屏蔽了。

全球共有13台根域名服务器。这13台根域名服务器中名字分别为“A”至“M”，其中10台设置在美国，另外各有一台设置于英国、瑞典和日本。。其余12个均为辅根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。这13台根服务器可以指挥Firefox或InternetExplorer这样的Web浏览器和电子邮件程序控制互联网通信。由于根服务器中有经美国政府批准的260个左右的互联网后缀（如．com、．net等）和一些国家的指定符（如法国的．fr、挪威的．no等），自成立以来，美国政府每年花费近50多亿美元用于根服务器的维护和运行，承担了世界上最繁重的网络任务和最巨大的网络风险。因此可以实事求是地说：没有美国，互联网将是死灰一片。世界对美国互联网的依赖性非常大，当然这也主要是由其技术的先进性和管理的科学性所决定的。所谓依赖性，从国际互联网的工作机理来体现的，就在于“根服务器”的问题。从理论上说，任何形式的标准域名要想被实现解析，按照技术流程，都必须经过全球“层级式”域名解析体系的工作，才能完成。

“层级式”域名解析体系第一层就是根服务器，负责管理世界各国的域名信息，在根服务器下面是顶级域名服务器，即相关国家域名管理机构的数据库，如中国的CNNIC，然后是在下一级的域名数据库和ISP的缓存服务器。一个域名必须首先经过根数据库的解析后，才能转到顶级域名服务器进行解析。

如何做镜像服务器？

1．基于特定服务器软件的负载均衡

这 种技术是利用网络协议的重定向功能来实现负载均衡的，例如在Http协议中支持定位指令，接收到这个指令的浏览器将自动重定向到该指令指明的另一个URL 上。由于和执行服务请求相比，发送定位指令对Web服务器的负载要小得多，因此可以根据这个功能来设计一种负载均衡的服务器。一旦Web服务器认为自己的 负载较大，它就不再直接发送回浏览器请求的网页，而是送回一个定位指令，让浏览器去服务器集群中的其他服务器上获得所需要的网页。在这种方式下，服务器本 身必须支持这种功能，然而具体实现起来却有很多困难，例如一台服务器如何能保证它重定向过的服务器是比较空闲的，并且不会再次发送定位指令？定位指令和浏 览器都没有这方面的支持能力，这样很容易在浏览器上形成一种死循环。因此这种方式实际应用当中并不多见，使用这种方式实现的服务器集群软件也较少。

2．基于DNS的负载均衡

DNS 负载均衡技术是最早的负载均衡解决方案，它是通过DNS服务中的随机名字解析来实现的，在DNS服务器中，可以为多个不同的地址配置同一个名字，而最终查 询这个名字的客户机将在解析这个名字时得到其中的一个地址。因此，对于同一个名字，不同的客户机会得到不同的地址，它们也就访问不同地址上的Web服务 器，从而达到负载均衡的目的。

这种技术的优点是，实现简单、实施容易、成本低、适用于大多数TCP/IP应用；但是，其缺点也非常明 显，首先这种方案不是真正意义上的负载均衡，DNS服务器将Http请求平均地分配到后台的Web服务器上，而不考虑每个Web服务器当前的负载情况；如 果后台的Web服务器的配置和处理能力不同，最慢的Web服务器将成为系统的瓶颈，处理能力强的服务器不能充分发挥作用；其次未考虑容错，如果后台的某台 Web服务器出现故障，DNS服务器仍然会把DNS请求分配到这台故障服务器上，导致不能响应客户端。最后一点是致命的，有可能造成相当一部分客户不能享 受Web服务，并且由于DNS缓存的原因，所造成的后果要持续相当长一段时间(一般DNS的刷新周期约为24小时)。所以在国外最新的建设中心Web站点 方案中，已经很少采用这种方案了。

3基于四层交换技术的负载均衡

这种技术是在第四层交换机上设置Web服务的虚拟IP地 址，这个虚拟IP地址是DNS服务器中解析到的Web服务器的IP地址，对客户端是可见的。当客户访问此Web应用时，客户端的Http请求会先被第四层 交换机接收到，它将基于第四层交换技术实时检测后台Web服务器的负载，根据设定的算法进行快速交换。常见的算法有轮询、加权、最少连接、随机和响应时间 等。

4．基于七层交换技术的负载均衡

基于第七层交换的负载均衡技术主要用于实现Web应用的负载平衡和服务质量保证。它与第 四层交换机比较起来有许多优势：第七层交换机不仅能检查TCP/IP数据包的TCP和UDP端口号，从而转发给后台的某台服务器来处理，而且能从会话层以 上来分析Http请求的URL，根据URL的不同将不同的Http请求交给不同的服务器来处理(可以具体到某一类文件，直至某一个文件)，甚至同一个 URL请求可以让多个服务器来响应以分担负载(当客户访问某一个URL，发起Http请求时，它实际上要与服务器建立多个会话连接，得到多个对象，例如 txt/gif/jpg文档，当这些对象都下载到本地后，才组成一个完整的页面)。

5．站点镜像技术

以上几种负载均衡技术主要应用于一个站点内的服务器群，但是由于一个站点接入Internet的带宽是有限的，因此可以把负载均衡技术开始应用于不同的网络站点之间，这就是站点镜像技术，站点镜像技术实际上利用了DNS负载均衡技术。

如何做镜像服务器--相关问题

问题：因为现在电信和网通的原因，很多网通的朋友总是反应速度慢，郁闷啊，我看到有的站可以自行选择是网通还是电信的，不知道，这个功能是怎么是实现的？

答案：

HTML代码

<html><head><meta http-equiv="Content-Type" content="text/html; charset=gb2312"></head><body bgColor=#D5D5D5>

<script>

i=1

var autourl=new Array()

autourl[1]="地址 1"

autourl[2]="地址 2"

autourl[3]="地址 3"

function auto(url)

{

if(i)

{

i=0;

location=url

}}

function run()

{

for(var i=1;

i<autourllength;i++)

documentwrite("<img src="+autourl[i]+"1gif"+Mathrandom()+" width=1 height=1 onLoad=auto('"+autourl[i]+"')> ")

}

run()

</script></body></html>

然后在你每个空间的根目录放 1个较大 1gif (最好 30 KB左右)

问题：分别有网通、电信服务器，想两个服务器内都放网站整站程序，我添加文件的时候是在电信网站上添加，想让网通网站上也自动同步与电信，我该怎么做啊

答案：

1。介绍

现在的网站随着访问量的增加，单一服务器无法承担巨大的访问量，有没有什么方便快捷的方式解决这个问题呢，答案是”有”!

比如建立服务器群，进行均衡负载。但是如果要解决像电信网通这样的互访问题(中国网民的悲哀)，这个解决办法就无能为力了!

要解决这个问题最方便快捷的方式就是建立镜像网站!由访问者自己选择适合自己网络的速度最快的网站!这样即可以解决线路问题，又可以解决访问量问题!

2。网站同步的数据分类

网站数据基本分为两类:

一类是文件，比如HTML，ASP，PHP等网页文件，或者RAR，ZIP，RM，AVI等可下载文件!

要实现他们的同步很简单，用FTP同步软件就可以了!至于哪几个我会在后面做详细介绍。

一类是数据库数据文件，比如MySQL，SQL Server等等!

数据库同步的方法也很多，最简单的办法只是将数据库目录同步一下就OK了!

在后面我也会做详细讲解!

3。网站文件的同步

在这里用到的主要工具就是FTP，网站文件同步分两种情况，一种是本地到远程，一种是远程到远程(FXP)!第一种不用说了，第二种远程到远程即FXP，支持它的软件也很多，但是真正适合多网站同步镜像的却不多!

下面我介绍几个我认为不错的软件!

下面我介绍几个我认为不错的软件!

1首先我要推荐的是国产的FTP软件”网络传神”，功能非常强大，特别是在网站的同步镜像方面，可惜的是，这款非常经典的软件已经不再更新了，最后更新时间是2003年3月，最后一个版本是3。12!虽然如此还是非常好用的!下面是一段官方的简介:

网络传神完全吸收了Cuteftp和UpdataNow的全部功能，并且增加了其他软件没有的多项功能：支持网站互传；支持网站同步(UPDATA NOW)；支持后台上传(多线程上传多个文件)；可同时打开多个站点；多站点计划上传功能，支持镜像站点；支持宏操作支持计划操作；支持文件高级比较上 传；支持目录隐藏过滤（为用ForntPage作主页的朋友带来福音）；服务器自动识别功能；资源管理器 浏览方式；可以自定义命令；支持RFC959标准具有更好的稳定性；完备的信息返回机制及错误监控机制完整的中文帮助。

2第二款是由ReGet同一开发公司制作的专用于网站同步的软件”WebSynchronizer”，用这款软件，你才会体验到网站同步的方便快捷，简单容易。最新版本是1。3。62， 网上能找到XX的最后版本是1。1版!下面是一段简介:

档案同步化工具 - WebSynchronizer，由知名续传软件 ReGet 之软件出版公司所推出，是网站同步化、档案镜像、档案备份的绝佳工具，可以执行下列主要工作：1) 本机资料夹及远程资料夹的同步化；2) 两台远程计算机中的资料夹同步化；3) 两个本机资料之同步化。

3其他还有一些软件如同步快梭(AutoSyncFTP)，也能实现简单的网站同步，不过，这款软件非常不稳定，而且2001年就已经停止开发。所以，不用考虑了!还有上次有朋友提到的SiteMirro，由于网上找不到可以用的版本，所以没有办法测试 !