首页>知识大全>亚洲唯一的根服务器在日本,那么日本可以控制中国的网络吗?

亚洲唯一的根服务器在日本,那么日本可以控制中国的网络吗?

发布时间:
2024-06-14 21:14
阅读量:
15

不能。

第一,如你所说,目前13台逻辑根域名服务器([a-m]\.root-servers\.net)的1844个实例(数据截至2024-06-08T19:47:58+00:00)分布在全球各地,由12个不同的组织维护。唯一一家位于亚洲的组织是日本的WIDE Project,他们负责维护m.root-servers(.)net(IPv4: 202.12.27.33, IPv6: 2001:dc3::35)。这些实例中仅托管着一个小小的文件,可以到这里下载。

Root Files


然而,这些组织主要负责维护到各自逻辑服务器IP地址的Anycast路由,无权修改Root Zone上的DNS记录。Root Zone File非常安全,只有受IANA委托的ICANN才能修改,后者拥有Root Zone上的DNSSEC私钥,并能对其DNS记录签名(这个流程作为扩展阅读部分放在正文后面)。此外,现在的Root Zone中引入了ZONEMD(Message Digest for DNS Zones,由RFC 8976定义)记录,存储了整个Root Zone的校验和,使其更加安全。

介绍了Root Zone难以被篡改的原因之后,第二点是在日常的DNS查询时,你几乎不会用到根域名服务器。

在上网时,你需要配置至少一个「DNS服务器」,见过这个界面吗?

框住的部分就是递归DNS解析器,它充当客户端和 DNS 名称服务器之间的中间人。在收到客户端的DNS查询后,它会用缓存数据进行响应,或者向根名称服务器发送请求,然后向TLD名称服务器发送请求,最后向权威名称服务器发送请求。在收到权威名称服务器的响应(包含请求的IP地址)后,递归解析器会将结果返回客户端。这个过程中,递归解析器会缓存权威域名服务器的信息。当客户端请求另一个最近请求过的域名时,解析器可以直接从缓存中提供记录,绕过与域名服务器的通信。

不过实践上,递归解析器存储了整个Root Zone File(因为其不常更新且体积小),因此无需频繁查询根域名服务器。

第三,假设你今天和根域名服务器过不去,非要用一下,比如说

dig +trace cloudflare.com

此时,dig会从根域名服务器开始查询,但如前所述,你的ISP会将DNS查询路由到最近的实例。我们可以通过traceroute查看。离我最近的实例是位于昆明的l.root-servers(.)net


可以看出这些数据包就是被奠信路由到了昆明,显然不需要出境

扩展阅读

The DNSSEC Root Signing Ceremony

1. 根密钥签名密钥(KSK)保存在加利福尼亚州埃尔塞贡多和弗吉尼亚州卡尔佩珀,仪式在这两个地点交替进行。

2. 参与者:

  • 仪式管理员
  • 内部见证人
  • 凭证保险箱控制员
  • 硬件保险箱控制员
  • 十二位Crypto Officers[1]注意有一位来自CNNIC哦)中的三位

3. 确定至少三位Crypto Officers能出席,通常安排在4-5人出席以防突发情况。

4. 展示身份证明和包裹内容(比如这个),经ICANN工作人员引导进入safe room。


5. 打开保险箱:

  • 凭证保险箱控制员打开第一个保险箱,提取操作卡和安全权限卡。
  • 硬件保险箱控制员打开第二个保险箱,提取硬件安全模块(HSM)。

6. 将HSM与特制笔记本电脑连接,三位加密官员提供操作卡启用HSM。


7. 通过USB加载签名请求,验证哈希值,管理员签署密钥。

8. 整个过程被记录和审计,仪式视频直播,结果生成数字签名(RRSIG记录),比如这个:

9. 打印日志,签署的密钥集交给Verisign,所有材料放回保险箱。

最后,所有人都能查询到它们:

dig . dnskey +dnssec

结果:

. 8032 IN DNSKEY 256 3 8 AwEAAZBALoOFImwcJJg9Iu7Vy7ZyLjhtXfvO1c9k4vHjOpf9i7U1kKtr BvhnwsOni1sb50gkUayRtMDTUQqvljMMf4bpkyEtcE5evCzhHbFLq1co L5QOix3mfJm++FvIMaAt52nOvAdqR/luuI11bA1AmSCIJKAUx147DcfO HYKg3as+dznn3Iah4cWBMVzDe7PPsFS1AO6gU8EpmiRJ9VMNA09fOyDu q9+d6sw8UUnJRMAFAuPLhUFjUAOuWOw74BC9lOtMQpbLMz8pX0CDKdOX DHjyj61nxSSWxPdUjeoxI17lQTpSPRtqRHFn5Fgj2e+9BVwhhWGDQN8k UVSJHZtQiI0= . 8032 IN DNSKEY 257 3 8 AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3 +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF 0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN R1AkUTV74bU= . 8032 IN RRSIG DNSKEY 8 0 172800 20240621000000 20240531000000 20326 . axzhlvsjvXefBmyQv7pZSJsEJ5BW2poXC95oU5D4itI8yejNJmehpcjB lVodnaqSQ0nNRVnvhVqC0eGzwOc/A+DCIS8tt+w93GIHhMAIkydLuxGo fblreMIdD2/WNP4QQgCf4H7ANDNURozqDaFg9rq+GEHBBucHL4jt1t3d xcDcOyKaEo+2Z28NjsucYdqAENVm0Gcy9AJ4bd/a5N7DuxzdIn9F1jdO xDUbjx4Cp6+701fbnScjW7Ebd2MXcESaTwMWr021uF16p3evTJHupQi8 dGfpQdbn9Jlja2LhHD83oYT5bRArjw/ayMnDYcV4KPZjidzagV9sL7R/ gbU+QA== ;; Query time: 64 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Sun Jun 09 05:04:25 CST 2024 ;; MSG SIZE rcvd: 864

上一篇:有没有那种女主清醒理智决绝的小说?

下一篇:没考上985,只去了一所普通211大学,这辈子是不是废了?

END