章峰 蔣文保 費(fèi)禹

摘 要：美國(guó)廢除了網(wǎng)絡(luò)中立原則，由此引發(fā)了很多人對(duì)于Internet的擔(dān)憂?，F(xiàn)在的DNS架構(gòu)體系，導(dǎo)致ICANN組織成為DNS體系的中心，擔(dān)任著DNS管理者的角色。因此，一些媒體以及大眾開(kāi)始擔(dān)憂，美國(guó)對(duì)敵對(duì)國(guó)家可能進(jìn)行斷網(wǎng)攻擊，攻擊其他國(guó)家的網(wǎng)絡(luò)服務(wù)。論文將針對(duì)該問(wèn)題，從技術(shù)的角度進(jìn)行分析，說(shuō)明斷網(wǎng)可能產(chǎn)生的危害，以及提出一套自主可控、去中心化、實(shí)現(xiàn)網(wǎng)絡(luò)主權(quán)平等的新型DNS架構(gòu)體系。

關(guān)鍵詞：DNS；去中心化；網(wǎng)絡(luò)主權(quán)；斷網(wǎng)；停服

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The United States abolished the principle of network neutrality， which has caused many people to worry about the Internet. The current DNS architecture system has led the ICANN to become the center of the DNS system and to act as the administrator of the DNS. Therefore， some media and the public are beginning to worry that the United States may attack the hostile countries with making their network broken and attack the network services of other countries. This paper will analyze the problem from the technical point of view， explain the possible harm caused by network disconnection， and propose a new DNS architecture system that can self-control， decentralize and achieve network sovereign equality.

Key words： DNS； decentration； network sovereignty； interent disconnection； DoS

1 引言

網(wǎng)上流傳一種說(shuō)法，“因?yàn)槊绹?guó)廢除了網(wǎng)絡(luò)中立原則，因此可以在需要的時(shí)機(jī)使用網(wǎng)絡(luò)武器對(duì)特定目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊，甚至令中國(guó)斷網(wǎng)”。“網(wǎng)絡(luò)中立”這一原則于2015年6月12日（美國(guó)時(shí)間）正式實(shí)施，卻在2017年12月被FCC投票廢止，并于2018年6月11日（美國(guó)時(shí)間）正式停止執(zhí)行，這一舉措將可能導(dǎo)致斷網(wǎng)停服計(jì)劃的產(chǎn)生。

在2015年12月18日，美國(guó)國(guó)會(huì)通過(guò)了“2015年賽博安全信息共享法案”。這一法案在國(guó)內(nèi)被譯為“2015美國(guó)網(wǎng)絡(luò)安全法”，為網(wǎng)絡(luò)的斷網(wǎng)停服提供了法律依據(jù)。

許多媒體在擔(dān)憂，美國(guó)對(duì)中國(guó)的網(wǎng)絡(luò)實(shí)施斷網(wǎng)停服，從而達(dá)到癱瘓中國(guó)網(wǎng)絡(luò)的目的。如果一旦發(fā)生了斷網(wǎng)事件，那中國(guó)又該如何應(yīng)對(duì)。本文將從技術(shù)的角度來(lái)給予一定的解釋與建議。

本文先闡述一下，現(xiàn)有的DNS服務(wù)器分配情況。根域名服務(wù)器分布在世界各地，使世界上大部分DNS（Domain Name System）域名服務(wù)器都能就近找到一個(gè)編號(hào)為A～M的13臺(tái)根域名服務(wù)器。根域名服務(wù)器定期從主根域名服務(wù)器同步根區(qū)文件。其中，9臺(tái)根域名服務(wù)器在美國(guó)，1臺(tái)在英國(guó)，1臺(tái)在瑞典，一臺(tái)在日本。主根服務(wù)器在美國(guó)，基本上這種管理方式就代表著美國(guó)就是整個(gè)Internet的管理者。而我國(guó)只引入了F、I、L、J四個(gè)根的鏡像節(jié)點(diǎn)。此處所指的13臺(tái)根服務(wù)器是指13個(gè)IP地址用于查詢的根服務(wù)器網(wǎng)絡(luò)。一個(gè)常見(jiàn)的誤解是世界上只有13臺(tái)根服務(wù)器。實(shí)際上還有更多，但仍然只有13個(gè)IP地址用于查詢不同的根服務(wù)器網(wǎng)絡(luò)。DNS原始體系結(jié)構(gòu)的限制要求根區(qū)域中最多有13臺(tái)服務(wù)器地址。

今天，13個(gè)IP地址中的每一個(gè)都有幾臺(tái)服務(wù)器，它們使用Anycast路由來(lái)根據(jù)負(fù)載和接近度分配請(qǐng)求?，F(xiàn)在，有超過(guò)600種不同的DNS根服務(wù)器分布在地球上每個(gè)人口稠密的大陸上。

那么，誰(shuí)擁有DNS根服務(wù)器的權(quán)限呢？根區(qū)域的最終權(quán)限屬于美國(guó)國(guó)家電信和信息管理局（NTIA），后者是美國(guó)商務(wù)部的一部分。NTIA將根區(qū)域的管理委托給互聯(lián)網(wǎng)域名與數(shù)字地址分配機(jī)構(gòu)（ICANN）。

ICANN為根區(qū)域中的13個(gè)IP地址之一運(yùn)行服務(wù)器，并將其他12個(gè)IP地址的操作委托給各種組織，包括NASA、馬里蘭大學(xué)和Verisign，后者是唯一一個(gè)運(yùn)營(yíng)兩個(gè)根IP地址的組織。

域名系統(tǒng)（DNS）是因特網(wǎng)的電話簿。人類通過(guò)域名在線訪問(wèn)信息，如baidu.com或google.com。Web瀏覽器通過(guò)Internet Protocol（IP）地址進(jìn)行交互。DNS將域名轉(zhuǎn)換為IP地址，以便瀏覽器可以加載Internet資源。

連接到Internet的每個(gè)設(shè)備都有一個(gè)唯一的IP地址，其他計(jì)算機(jī)可以使用該IP地址來(lái)查找設(shè)備。DNS服務(wù)器無(wú)需人類記憶IP地址，如192.168.1.1（IPv4），或更復(fù)雜的新字母數(shù)字IP地址，如2400：cb00：2048：1：：c629：d7a2（IPv6）。

根域名服務(wù)器一旦斷網(wǎng)停服、發(fā)布虛假信息或者篡改消息實(shí)現(xiàn)訪問(wèn)的重定向，大量Internet用戶將無(wú)法正常訪問(wèn)域名。所以，集中式的管理無(wú)法擺脫美國(guó)的控制。正因如此，我國(guó)需要積極做好相對(duì)的應(yīng)對(duì)措施，才能更好地保護(hù)我國(guó)的國(guó)家以及集體利益。

2 DNS解析流程

2.1 DNS相關(guān)概念

域名服務(wù)系統(tǒng)（Domain Name System，DNS）是互聯(lián)網(wǎng)的一項(xiàng)服務(wù)。它是一個(gè)將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，使人們可以更加方便的訪問(wèn)Internet。DNS是基于現(xiàn)有的TCP/IP協(xié)議，這就意味著IP地址就是Internet中的地址。DNS使用UDP的53端口。目前，對(duì)于每一級(jí)域名長(zhǎng)度的限制是63個(gè)字符，域名總長(zhǎng)度則不能超過(guò)253個(gè)字符。

DNS系統(tǒng)中，常見(jiàn)的共有五種記錄類型：

（1）主機(jī)（A）記錄；

（2）別名（CNAME）記錄；

（3）郵件路由（MX）記錄；

（4）IPv6（AAAA）記錄；

（5）服務(wù)器資源（SRV）記錄。

DNS服務(wù)器共有四種類型：遞歸解析器、根域名服務(wù)器、頂級(jí)域名服務(wù)器、權(quán)限域名服務(wù)器。

（1）遞歸解析器（DNS Recursor）。充當(dāng)客戶端和DNS服務(wù)器之間的中間人角色，收到Web端的DNS查詢后，先進(jìn)行遞歸查詢，或者向其他域名服務(wù)器進(jìn)行迭代查詢。

（2）根域名服務(wù)器。根域名服務(wù)器接受包含域名的遞歸解析器查詢，并且根域名服務(wù)器通過(guò)將遞歸解析器指向TLD域名服務(wù)器進(jìn)行響應(yīng)。

（3）TLD域名服務(wù)器，也是頂級(jí)域名服務(wù)器。其維護(hù)共享公共擴(kuò)展名的所有域名的信息。TLD服務(wù)器分為兩大類：

通用頂級(jí)域：這些域不是特定于國(guó)家/地區(qū)的，一些比較出名的通用頂級(jí)域名包括.com、.org、.net、.edu等；

國(guó)家/地區(qū)代碼頂級(jí)域：這些域包括特定于國(guó)家/地區(qū)或州的所有域，示例包括.cn、.us、.ru等。

（4）權(quán)限域名服務(wù)器。當(dāng)遞歸解析器收到來(lái)自TLD服務(wù)器的響應(yīng)時(shí)，該響應(yīng)會(huì)將解析程序指向權(quán)限域名服務(wù)器。權(quán)限域名服務(wù)器通常是遞歸解析器在IP地址旅程中的最后一步。權(quán)限域名服務(wù)器包含特定于它所服務(wù)的域名的信息（例如baidu.com），它可以提供遞歸解析器，其中包含DNS A記錄中找到的該服務(wù)器的IP地址，或者域名是否具有CNAME記錄（別名）它將為遞歸解析器提供別名域，此時(shí)遞歸解析器必須執(zhí)行新的DNS查找以從權(quán)限域名服務(wù)器（通常是包含IP地址的A記錄）獲取記錄。

2.2 DNS區(qū)域（DNS Zone）

DNS被分解為許多不同的區(qū)域，不同的區(qū)域區(qū)分DNS命名空間中明確的管理區(qū)域，由特定組織或管理員進(jìn)行管理。域名空間是分層樹(shù)的結(jié)構(gòu)如圖1所示，DNS根域位于頂部，DNS區(qū)域從樹(shù)中開(kāi)始劃分，也可以向下擴(kuò)展到子域，方便一個(gè)實(shí)體管理多個(gè)子域。

DNS服務(wù)器中存儲(chǔ)著區(qū)域文件，區(qū)域文件中包含區(qū)域的實(shí)際表示形式，并包含區(qū)域中每個(gè)域的所有記錄。區(qū)域文件必須始終以授權(quán)開(kāi)始（SOA）記錄開(kāi)頭。該記錄包含重要信息，包括區(qū)域管理員的聯(lián)系信息。

2.3 動(dòng)態(tài)DNS

動(dòng)態(tài)DNS（Dynamic DNS），許多Web資源（如API或網(wǎng)站）在Internet連接上運(yùn)行，其IP地址經(jīng)常更改；如果這些屬性的操作者想要為托管資源提供特定域名，則必須在域名系統(tǒng)（DNS）記錄中存儲(chǔ)IP地址。動(dòng)態(tài)DNS（DDNS）是一種服務(wù)，可以使用Web屬性的正確IP地址更新DNS，即使該IP地址不斷更新也是如此。

在互聯(lián)網(wǎng)發(fā)展初期，IP地址很少發(fā)生變化，這使得域名管理變得更加簡(jiǎn)單。但是，具有互聯(lián)網(wǎng)接入的網(wǎng)絡(luò)和家用計(jì)算機(jī)的快速增長(zhǎng)造成了可用IP地址的短缺。這導(dǎo)致了動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP），它允許ISP動(dòng)態(tài)地為其用戶分配IP。ISP通常會(huì)維護(hù)一個(gè)共享的IP地址池，并在連接期間或直到達(dá)到最大時(shí)間后，根據(jù)需要將這些IP地址分配或“租賃”給用戶。這就導(dǎo)致了，較小的服務(wù)往往會(huì)頻繁地看到其IP地址被其ISP更改，因此它們需要?jiǎng)討B(tài)DNS解決方案來(lái)保持其DNS記錄的最新?tīng)顟B(tài)。這些較小的服務(wù)包括小型企業(yè)網(wǎng)站、個(gè)人網(wǎng)站、DVR和安全攝像頭等。

2.4 DNS解析具體流程

DNS解析流程中，本機(jī)會(huì)先查詢?yōu)g覽器緩存，若不存在則查看本地Hosts文件，若不存在則查詢本地DNS緩存，若不存在才會(huì)向本地DNS解析器發(fā)起查詢請(qǐng)求，即向遞歸解析器發(fā)起解析請(qǐng)求，此時(shí)遞歸解析器也會(huì)首先查看自身緩存是否存在記錄，才會(huì)決定是否向根域名服務(wù)器發(fā)起查詢請(qǐng)求。

其中設(shè)計(jì)一個(gè)問(wèn)題就是緩存存在的時(shí)間。

（1）本機(jī)瀏覽器的緩存時(shí)間和TTL（Time To Live）無(wú)關(guān)，如Chrome中過(guò)期時(shí)間為1分鐘，在這個(gè)期間內(nèi)不會(huì)重新請(qǐng)求DNS解析。

（2）本機(jī)DNS緩存會(huì)參考DNS服務(wù)器響應(yīng)的TTL值，但不完全等于TTL值。Windows DNS默認(rèn)值是MaxCacheTTL，為86400s，即一天。

（3）如果服務(wù)器只有一臺(tái)，可以設(shè)置TTL長(zhǎng)一些，一般為3600即可。

（4）如果有備份或者多臺(tái)服務(wù)器，由于可能發(fā)生宕機(jī)需要及時(shí)切換，TTL值越短切換越及時(shí)，但是也會(huì)導(dǎo)致DNS運(yùn)營(yíng)商緩存時(shí)間短，一般來(lái)說(shuō)，設(shè)置TTL 600即可，如果要求嚴(yán)格，可設(shè)置120。百度的TTL值為55。

（5）ISPDNS的緩存時(shí)間，則是不同的運(yùn)營(yíng)商設(shè)置的值都不同，有些緩存服務(wù)器會(huì)忽略網(wǎng)站DNS提供的TTL，自己設(shè)置一個(gè)較長(zhǎng)的TTL。這就會(huì)導(dǎo)致不能及時(shí)拿到新的IP地址，但是會(huì)提高解析速度。相對(duì)而言，如果設(shè)置了較短的TTL，則會(huì)影響到解析速度。

DNS的解析流程如圖2所示。

如圖2所示，舉例說(shuō)明。

（1）當(dāng)我向訪問(wèn)www.baidu.com域名時(shí)，首先PC會(huì)查看本機(jī)緩存有無(wú)該緩存，若沒(méi)有，查看Hosts文件有無(wú)記錄。若都沒(méi)有記錄，則向本地DNS服務(wù)器發(fā)起請(qǐng)求。

（2）本地DNS服務(wù)器收到請(qǐng)求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒(méi)有，則向根域名服務(wù)器，發(fā)起請(qǐng)求。

（3）根域名服務(wù)器收到請(qǐng)求后，返回該域名中頂級(jí)域名（.com）的域名服務(wù)器地址。

（4）本地域名服務(wù)器再向頂級(jí)域名服務(wù)器發(fā)起請(qǐng)求。

（5）頂級(jí)域名服務(wù)器收到請(qǐng)求后，返回該域名中二級(jí)域名（.baidu.com）的域名服務(wù)器地址。

（6）本地域名服務(wù)器會(huì)向該權(quán)限域名服務(wù)器發(fā)起請(qǐng)求。

（7）權(quán)限域名服務(wù)器收到請(qǐng)求后，就會(huì)查看存在的記錄，并將其結(jié)果返回給本地域名服務(wù)器。

（8）本地域名服務(wù)器接收到回應(yīng)后，會(huì)將記錄存入緩存，將解析結(jié)果返回給PC，至此，可以打開(kāi)百度頁(yè)面。

（9）PC收到解析后的IP地址，就會(huì)訪問(wèn)該IP地址。

（10）www.baidu.com的服務(wù)器接受到訪問(wèn)后，就作出響應(yīng)。

3 斷網(wǎng)停服的結(jié)果分析

3.1未采取措施的結(jié)果分析

現(xiàn)在我們假設(shè)這么一種情形，我國(guó)遭遇到了斷網(wǎng)停服攻擊。在此說(shuō)明一下，我國(guó)僅負(fù)責(zé).cn域名的管理權(quán)，我國(guó)引入的四個(gè)鏡像根，僅是提高了訪問(wèn)速度，遞歸服務(wù)器對(duì)根域名服務(wù)器的訪問(wèn)策略是初始輪詢，性能擇優(yōu)，所以大部分的域名，都能就近訪問(wèn)根鏡像服務(wù)器。

那么，從圖3中就可以發(fā)現(xiàn)，遞歸服務(wù)器請(qǐng)求根域名服務(wù)器的第2、3步驟就斷了，在不考慮任何措施的情形下，由于遞歸服務(wù)器采取的是迭代查詢，所以自第2、3步驟以后的流程將全部失效。那么，就將在短期內(nèi)產(chǎn)生兩種后果。

（1）從國(guó)內(nèi)用戶的角度來(lái)說(shuō)，我國(guó)的IP地址發(fā)出的所有請(qǐng)求，根域名服務(wù)器都將不會(huì)解析，這就意味著，國(guó)人將無(wú)法訪問(wèn)除自身以及遞歸服務(wù)器緩存域名以外的所有域名地址，且該緩存時(shí)間較為短暫。整個(gè)網(wǎng)絡(luò)將陷入癱瘓狀態(tài)，無(wú)法提供相應(yīng)的服務(wù)。

（2）從國(guó)外用戶的角度來(lái)說(shuō)，國(guó)外的任意訪問(wèn)我國(guó)的域名請(qǐng)求，都將不會(huì)被根域名服務(wù)器解析，即國(guó)外將無(wú)法正常的訪問(wèn)我國(guó)國(guó)內(nèi)的域名地址，這將會(huì)對(duì)我國(guó)以及整個(gè)世界造成極大的負(fù)面影響。

3.2 僅備份根域名服務(wù)器的結(jié)果分析

如圖4所示，當(dāng)訪問(wèn)正常備份的域名時(shí)，流程分為幾個(gè)步驟。

（1）當(dāng)訪問(wèn)www.baidu.com域名時(shí)，首先PC會(huì)查看本機(jī)緩存有無(wú)該緩存，若沒(méi)有，查看Hosts文件有無(wú)記錄。若都沒(méi)有記錄，則向本地DNS服務(wù)器發(fā)起請(qǐng)求。

（2）本地DNS服務(wù)器收到請(qǐng)求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒(méi)有，則向備份根域名服務(wù)器，發(fā)起請(qǐng)求。

（3）備份根域名服務(wù)器收到請(qǐng)求后，返回該域名中頂級(jí)域名（.com）的服務(wù)器地址。

（4）本地域名服務(wù)器再向頂級(jí)域名服務(wù)器發(fā)起請(qǐng)求。

（5）頂級(jí)域名服務(wù)器收到請(qǐng)求后，返回該域名中二級(jí)域名（.baidu.com）的域名服務(wù)器地址。

（6）本地域名服務(wù)器會(huì)向該權(quán)限域名服務(wù)器發(fā)起請(qǐng)求。

（7）權(quán)限域名服務(wù)器收到請(qǐng)求后，就會(huì)查看存在的記錄，并將其結(jié)果返回給本地域名服務(wù)器。

（8）本地域名服務(wù)器接收到回應(yīng)后，會(huì)將記錄存入緩存，將解析結(jié)果返回給我的PC，至此，將成功打開(kāi)百度頁(yè)面。

（9）PC收到解析后的IP地址，就會(huì)訪問(wèn)該IP地址。

（10）www.baidu.com的服務(wù)器接受到訪問(wèn)后，就作出響應(yīng)。

但是，當(dāng)訪問(wèn)新的不在備份服務(wù)器記錄內(nèi)的域名，解析流程如圖5所示。

如圖5所示，舉例說(shuō)明。

（1）當(dāng)我訪問(wèn)www.example.com域名時(shí)，先PC會(huì)查看本機(jī)緩存有無(wú)該緩存，若沒(méi)有，查看Hosts文件有無(wú)記錄。若都沒(méi)有記錄，則向本地DNS服務(wù)器發(fā)起請(qǐng)求。

（2）本地DNS服務(wù)器收到請(qǐng)求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒(méi)有，則向備份根域名服務(wù)器，發(fā)起請(qǐng)求。

（3）備份根域名服務(wù)器收到請(qǐng)求后，查詢到不存在該記錄，或者存儲(chǔ)這已經(jīng)失效的解析記錄，向本地DNS解析器，返回不能解析或者錯(cuò)誤的IP地址。

（4）本地域名服務(wù)器則向PC返回解析后的結(jié)果。

（5）由于返回的是無(wú)法解析或者是錯(cuò)誤的IP地址，導(dǎo)致 PC不可以訪問(wèn)目標(biāo)DNS。

上述的流程是考慮了，我國(guó)采取備份根域名服務(wù)器文件措施的情形。從上述流程我們可以發(fā)現(xiàn)，在短期內(nèi)將會(huì)產(chǎn)生三種結(jié)果。

（1）從國(guó)內(nèi)用戶角度來(lái)看，當(dāng)實(shí)施斷網(wǎng)攻擊后，遞歸解析器與根域名服務(wù)器之間的連接將會(huì)停止，但是可以和現(xiàn)有的備份根域名服務(wù)器正常運(yùn)行、通訊、解析，基本上的各個(gè)大型網(wǎng)站，如百度、阿里、騰訊等都是靜態(tài)IP，并不會(huì)影響正常訪問(wèn)以及使用。同時(shí)，.cn域名下的子域名我國(guó)是擁有著管理權(quán)的，這就意味著這些網(wǎng)站是可以正常訪問(wèn)的。但是，在只考慮本國(guó)服務(wù)器運(yùn)行的同時(shí)，我們需要考慮服務(wù)器的緩存時(shí)間的問(wèn)題，一旦緩存時(shí)間過(guò)短，本地緩存以及遞歸解析器的緩存過(guò)期，那么國(guó)內(nèi)網(wǎng)民將只能訪問(wèn) .cn域名下的各個(gè)域名，國(guó)外的域名，比如 .com和.net等頂級(jí)通用域名都將無(wú)法正常訪問(wèn)，要明白頂級(jí)通用域名在現(xiàn)有的Internet域名中占有者相當(dāng)大的比重，這將直接影響國(guó)內(nèi)網(wǎng)民的正常網(wǎng)絡(luò)需求。

（2）從國(guó)外用戶的角度來(lái)說(shuō)，只有一些擁有者頂級(jí)域的國(guó)家與我國(guó)保持著良好的關(guān)系，互相提供頂級(jí)域名服務(wù)器的地址，這將會(huì)實(shí)現(xiàn)雙方國(guó)家的正常訪問(wèn)。但是，其他國(guó)家將仍然無(wú)法正常訪問(wèn)我國(guó)的域名地址，我國(guó)也無(wú)法正常訪問(wèn)他們的域名地址。

（3）除此之外，一旦備份的根區(qū)文件中的頂級(jí)域名服務(wù)器的IP一經(jīng)變動(dòng)，根區(qū)文件將無(wú)法得到正常的更新，這就會(huì)導(dǎo)致國(guó)內(nèi)IP地址無(wú)法訪問(wèn)相對(duì)應(yīng)的頂級(jí)域的域名地址。

3.3 備份根服務(wù)器和頂級(jí)通用域服務(wù)器的結(jié)果分析

由于我國(guó)引入了F根、I根、J根和L根的鏡像服務(wù)器以及 .com和 .net兩大頂級(jí)域的鏡像服務(wù)器，那么現(xiàn)在假設(shè)，我國(guó)備份了根服務(wù)器以及備份了相應(yīng)的通用頂級(jí)域 .com和 .net下的頂級(jí)域名服務(wù)器，那么國(guó)內(nèi)的DNS解析流程如圖6所示。

如圖6所示，舉例說(shuō)明。

（1）當(dāng)訪問(wèn)www.example.com域名時(shí)，先PC會(huì)查看本機(jī)緩存有無(wú)該緩存，若沒(méi)有，查看Hosts文件有無(wú)記錄。若都沒(méi)有記錄，則向本地DNS服務(wù)器發(fā)起請(qǐng)求。

（2）本地DNS服務(wù)器收到請(qǐng)求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒(méi)有，則向備份根域名服務(wù)器，發(fā)起請(qǐng)求。

（3）備份根域名服務(wù)器收到請(qǐng)求后，返回 .com的備份頂級(jí)域名服務(wù)器的地址。

（4）本地DNS解析器向備份頂級(jí)域服務(wù)器發(fā)起解析請(qǐng)求。

（5）備份的頂級(jí)域服務(wù)器接受請(qǐng)求，返回目標(biāo)域名www.example.com的IP地址。

（6）本地DNS解析器接收解析結(jié)果，存入緩存，并將結(jié)果返回給PC。

（7）PC接收到IP地址，發(fā)起訪問(wèn)請(qǐng)求。

（8）目標(biāo)服務(wù)器收到訪問(wèn)請(qǐng)求，并返回結(jié)果。

上述流程是考慮了，我國(guó)采取備份根域名服務(wù)器文件以及 .com和 .net頂級(jí)域名信息措施的情形。從上述流程可以發(fā)現(xiàn)，在短期內(nèi)將會(huì)產(chǎn)生兩結(jié)果。

（1）從國(guó)內(nèi)用戶的角度來(lái)看，首先，.cn下的各個(gè)域名都是可以正常運(yùn)行并提供服務(wù)的。國(guó)內(nèi)注冊(cè)的 .com 以及 .net的域名也是可以正常運(yùn)行，提供服務(wù)的。但是，一些未在國(guó)內(nèi)注冊(cè)的 .com以及 .net下的域名，在實(shí)施更新IP后，我國(guó)的備份頂級(jí)域服務(wù)器并不能收到相關(guān)的更新信息。這就會(huì)導(dǎo)致在域名更新變動(dòng)后，我們都將無(wú)法訪問(wèn)更新后的 .com以及 .net的相關(guān)域名。

（2）從國(guó)外用戶的角度來(lái)看，國(guó)外無(wú)法訪問(wèn)國(guó)內(nèi)IP所綁定的域名地址，斷網(wǎng)停服是從根域名服務(wù)器處進(jìn)行封鎖，從目前的流程來(lái)看，對(duì)于普通用戶來(lái)說(shuō)，這是無(wú)法繞過(guò)去的核心問(wèn)題。所以，常規(guī)步驟將一直無(wú)法訪問(wèn)我國(guó)域名地址。其中一個(gè)規(guī)避方法就是，鏡像我國(guó)的解析服務(wù)器或者將自身的本地解析器流程不再指向自身根域名，而是直接指向我國(guó)備份根域名服務(wù)器。

4 解決辦法

4.1 體系結(jié)構(gòu)

為了避免上述危害的產(chǎn)生，提出一套去中心化的、自主可控的新型DNS體系架構(gòu)（DDNS），致力于實(shí)現(xiàn)網(wǎng)絡(luò)主權(quán)平等、平等互聯(lián)的網(wǎng)絡(luò)世界。

這種基于區(qū)塊鏈的去中心化根域名服務(wù)方法及系統(tǒng)，設(shè)置基于區(qū)塊鏈的去中心化根域名服務(wù)系統(tǒng)，整體網(wǎng)絡(luò)架構(gòu)如圖7所示。

基于區(qū)塊鏈的去中心化根域名服務(wù)系統(tǒng)包括各國(guó)的本地域名子系統(tǒng)，每個(gè)本地子系統(tǒng)至少包括多個(gè)客戶端、遞歸解析器、本地服務(wù)器集群以及一個(gè)本地根服務(wù)器；骨干網(wǎng)區(qū)域是由各個(gè)國(guó)家頂級(jí)域名，包括通用頂級(jí)域名參與其中的聯(lián)盟鏈。聯(lián)盟鏈包括各個(gè)本地子系統(tǒng)中的本地根服務(wù)器；其中，任一本地子系統(tǒng)中，任一客戶端、本地根服務(wù)器以及聯(lián)盟鏈之間執(zhí)行頂級(jí)域名變更流程，流程分為幾個(gè)步驟。

4.2 工作流程

客戶端向本地根服務(wù)器發(fā)送域名變更請(qǐng)求。

（1）本地根服務(wù)器接收域名變更請(qǐng)求，驗(yàn)證域名變更請(qǐng)求的合法性。

（2）本地根服務(wù)器在域名變更請(qǐng)求合法的情況下，向聯(lián)盟鏈發(fā)送決議請(qǐng)求。

（3）聯(lián)盟鏈中的各個(gè)本地根服務(wù)器接收決議請(qǐng)求，進(jìn)行決議，并在決議通過(guò)后，將域名變更寫(xiě)入各自的區(qū)塊鏈。

（4）本地根服務(wù)器在決議通過(guò)后，向客戶端發(fā)送決議結(jié)果。

該系統(tǒng)執(zhí)行域名解析流程分為幾個(gè)步驟。

（1）客戶端向本地服務(wù)器集群發(fā)送域名解析請(qǐng)求。

（2）本地服務(wù)器集群接收域名解析請(qǐng)求，遞歸解析緩存，在緩存中不存在域名時(shí)，向本地根服務(wù)器發(fā)送域名解析請(qǐng)求。

（3）本地根服務(wù)器接收域名解析請(qǐng)求，解析域名解析請(qǐng)求，在域名存在時(shí)，向本地服務(wù)器集群發(fā)送域名位置。

（4）本地服務(wù)器集群接收域名位置，向目標(biāo)服務(wù)器集群發(fā)送解析申請(qǐng)，接收目標(biāo)服務(wù)器集群解析后發(fā)送的解析結(jié)果，并向客戶端發(fā)送解析結(jié)果。

子系統(tǒng)中本地根服務(wù)器以及聯(lián)盟鏈之間執(zhí)行根服務(wù)器密鑰變動(dòng)流程分為幾步。

（1）本地根服務(wù)器向聯(lián)盟鏈發(fā)送密鑰變動(dòng)請(qǐng)求。

（2）聯(lián)盟鏈中的各個(gè)本地根服務(wù)器接收密鑰變動(dòng)請(qǐng)求，進(jìn)行決議。

（3）本地根服務(wù)器決議通過(guò)后，執(zhí)行密鑰變動(dòng)操作，并廣播本地根服務(wù)器變動(dòng)后的公鑰；聯(lián)盟鏈中的各個(gè)本地根服務(wù)器接收變動(dòng)后的公鑰，進(jìn)行記錄。

本系統(tǒng)執(zhí)行域名記錄驗(yàn)證流程分幾個(gè)步驟。

（1）客戶端向目標(biāo)服務(wù)器集群發(fā)送域名驗(yàn)證請(qǐng)求。

（2）本地服務(wù)器集群接收目標(biāo)服務(wù)器集群發(fā)送的域名域，向本地根服務(wù)器發(fā)送驗(yàn)證請(qǐng)求。

（3）本地根服務(wù)器接收驗(yàn)證請(qǐng)求，向本地服務(wù)器集群發(fā)送驗(yàn)證信息。

（4）本地服務(wù)器集群接收驗(yàn)證信息，對(duì)驗(yàn)證信息進(jìn)行驗(yàn)證，并在驗(yàn)證通過(guò)后，向客戶端發(fā)送驗(yàn)證結(jié)果。

本系統(tǒng)考慮到通用頂級(jí)域的特殊性，特意獨(dú)立通用頂級(jí)域的申請(qǐng)流程，該執(zhí)行頂級(jí)通用域名的下屬域名申請(qǐng)流程分為幾個(gè)步驟。

（1）客戶端向本地根服務(wù)器發(fā)送獲取域名位置請(qǐng)求。

（2）本地根服務(wù)器接收獲取域名位置請(qǐng)求，解析獲取域名位置請(qǐng)求，向客戶端發(fā)送通用域名位置。

（3）客戶端接收通用域名位置，向通用域名集群發(fā)送域名申請(qǐng)請(qǐng)求，并接收通用域名集群發(fā)送的處理結(jié)果。

4.2 效果分析

（1）由于DDNS采用的是去中心化的架構(gòu)模式，實(shí)現(xiàn)了各個(gè)根服務(wù)器的數(shù)據(jù)一致性，不再出現(xiàn)現(xiàn)有的中心化模式，打破了現(xiàn)有的DNS中心化管理方式，明顯地削弱了美國(guó)手中的權(quán)利，避免了一家獨(dú)大的可能性的出現(xiàn)。

（2）基于區(qū)塊鏈技術(shù)構(gòu)建的底層區(qū)塊保存著DNS記錄，其實(shí)現(xiàn)了不可更改、可追蹤溯源的特性，極大地避免了出現(xiàn)惡意攻擊的可能性，以及出現(xiàn)了攻擊以后的責(zé)任追蹤，定位到具體的時(shí)間、地點(diǎn)、機(jī)器。

（3）本套新型DNS系統(tǒng)采用的共識(shí)機(jī)制，保證了各個(gè)根節(jié)點(diǎn)的平等，不存在權(quán)利的不同，所有的根節(jié)點(diǎn)的權(quán)利全部一致，保證了參與到該DDNS的各國(guó)的網(wǎng)絡(luò)主權(quán)。

（4）從上述的流程，可以看出，即使有個(gè)別根服務(wù)器斷網(wǎng)，或者停止活動(dòng)，也不會(huì)影響其他根服務(wù)器的正常運(yùn)行，這極大地保證了各國(guó)網(wǎng)絡(luò)的獨(dú)立自主。

5 結(jié)束語(yǔ)

目前來(lái)講，美國(guó)無(wú)疑是Internet的管理者，這是由現(xiàn)有的管理模式以及網(wǎng)絡(luò)架構(gòu)所決定的。但是，美國(guó)實(shí)施斷網(wǎng)攻擊的話，我國(guó)也不是毫無(wú)應(yīng)對(duì)能力，但是這都不是根本的解決辦法，如果要擺脫這樣的困境，需要我國(guó)提出并架設(shè)一套自主可控、去中心化、能夠?qū)崿F(xiàn)平等互聯(lián)的新型DNS網(wǎng)絡(luò)架構(gòu)。

基金項(xiàng)目

1. 論文得到中國(guó)科學(xué)院網(wǎng)絡(luò)測(cè)評(píng)技術(shù)重點(diǎn)實(shí)驗(yàn)室資助；

2. 促進(jìn)高校內(nèi)涵發(fā)展—“信息+”—網(wǎng)絡(luò)空間安全一級(jí)學(xué)科創(chuàng)新實(shí)驗(yàn)平臺(tái)建設(shè)項(xiàng)目（項(xiàng)目編號(hào)：5111823609）資助。

參考文獻(xiàn)

[1] 張宇，夏重達(dá)，方濱興，等. 一個(gè)自主開(kāi)放的互聯(lián)網(wǎng)根域名解析體系[J].信息安全學(xué)報(bào)， 2017， 2（4）：57-69.

[2] 朱國(guó)庫(kù)，蔣文保.一種去中心化的網(wǎng)絡(luò)域名服務(wù)系統(tǒng)模型[J].網(wǎng)絡(luò)空間安全， 2017， 8（1）：14-18.

[3] Mockapetris P， Dunlap K J. Development of the domain name system[M]. ACM， 1988.

[4] Arends R. DNS security introduction and requirements[J]. RFC 4033 （Proposed Standard， 2005.

[5] 呂述望，丁嶠，李長(zhǎng)紅.網(wǎng)絡(luò)停服戰(zhàn)的法律準(zhǔn)備——透析“美國(guó)2015網(wǎng)絡(luò)安全法”[J]. 網(wǎng)絡(luò)空間安全， 2017， 8（1）：8-13.