stringtranslate.com

корневая зона DNS

Корневая зона DNS — это зона DNS верхнего уровня в иерархическом пространстве имен системы доменных имен (DNS) Интернета.

До 1 октября 2016 года корневая зона контролировалась Корпорацией по управлению доменными именами и IP-адресами в Интернете (ICANN), которая делегировала управление дочерней компании, действующей в качестве Управления по управлению адресами в Интернете (IANA). [1] Услуги распространения предоставляются Verisign . До этого ICANN выполняла обязанности по управлению под надзором Национального управления по телекоммуникациям и информации (NTIA), агентства Министерства торговли США . [2] Ответственность за надзор перешла к глобальному сообществу заинтересованных сторон , представленному в структурах управления ICANN.

Сочетание ограничений в определении DNS и в некоторых протоколах, а именно практический размер нефрагментированных пакетов User Datagram Protocol [2] (UDP), привело к практическому максимуму в 13 адресов корневых серверов имен, которые могут быть размещены в ответах на запросы имен DNS. Однако корневая зона обслуживается несколькими сотнями серверов в более чем 130 местах во многих странах. [3] [4]

Инициализация службы DNS

Корневая зона DNS обслуживается тринадцатью кластерами корневых серверов, которые являются авторитетными для запросов к доменам верхнего уровня Интернета. [5] [6] Таким образом, каждое разрешение имени либо начинается с запроса к корневому серверу, либо использует информацию, которая была когда-то получена с корневого сервера.

Кластеры корневых серверов имеют официальные имена от a.root-servers.net до m.root-servers.net . [6] Чтобы преобразовать эти имена в адреса, DNS-резолвер должен сначала найти авторитетный сервер для зоны net . Чтобы избежать этой циклической зависимости , адрес по крайней мере одного корневого сервера должен быть известен для начального доступа к DNS. Для этой цели операционные системы или DNS-серверы или программные пакеты резольвера обычно включают файл со всеми адресами корневых серверов DNS. Даже если IP-адреса некоторых корневых серверов меняются, по крайней мере один необходим для получения текущего списка всех серверов имен. Этот адресный файл называется named.cache в эталонной реализации сервера имен BIND . Текущая официальная версия распространяется InterNIC ICANN . [7]

Имея адрес одного функционирующего корневого сервера, можно рекурсивно обнаружить всю остальную информацию DNS, а также найти информацию о любом доменном имени.

Избыточность и разнообразие

Корневые DNS-серверы необходимы для функционирования Интернета, поскольку большинство интернет-сервисов, таких как Всемирная паутина и электронная почта, основаны на доменных именах. DNS-серверы являются потенциальными точками отказа для всего Интернета. По этой причине по всему миру распределено несколько корневых серверов. [8] Размер пакета DNS в 512 октетов ограничивает ответ DNS тринадцатью адресами, пока расширения протокола ( см. Механизмы расширения для DNS ) не сняли это ограничение. [9] Хотя при использовании сжатия меток в пакет такого размера можно вместить больше записей, тринадцать были выбраны в качестве надежного предела. С момента введения IPv6, преемника интернет-протокола IPv4 , предыдущие практики изменяются , и дополнительное пространство заполняется серверами имен IPv6.

Корневые серверы имен размещаются на нескольких защищенных сайтах с доступом к высокой пропускной способности для обработки трафика. Сначала все эти установки располагались в Соединенных Штатах; однако распределение изменилось, и теперь это уже не так. [10] Обычно каждая установка DNS-сервера на данном сайте представляет собой кластер компьютеров с маршрутизаторами балансировки нагрузки. [9] Полный список серверов, их местоположений и свойств доступен по адресу https://root-servers.org/. По состоянию на 24 июня 2023 года во всем мире насчитывалось 1708 корневых серверов. [11]

Современная тенденция заключается в использовании адресации anycast и маршрутизации для обеспечения устойчивости и балансировки нагрузки в широкой географической области. Например, сервер j.root-servers.net , поддерживаемый Verisign , представлен 104 (по состоянию на январь 2016 года ) отдельными серверными системами, расположенными по всему миру, к которым можно обращаться с помощью адресации anycast. [12]

Управление

Содержание файла корневой зоны Интернета координируется дочерней компанией ICANN, которая выполняет функции Управления по распределению номеров Интернета (IANA). Verisign генерирует и распространяет файл зоны среди различных операторов корневых серверов.

В 1997 году, когда Интернет был передан из-под контроля правительства США в частные руки, NTIA осуществляла управление корневой зоной. В документе Министерства торговли 1998 года говорилось, что агентство «привержено переходу, который позволит частному сектору взять на себя руководство управлением DNS» к 2000 году, однако никаких шагов для осуществления перехода предпринято не было. В марте 2014 года NTIA объявила, что передаст свое управление «глобальному сообществу заинтересованных сторон». [5]

По словам помощника министра торговли по коммуникациям и информации Лоуренса Э. Стриклинга, март 2014 года был подходящим временем для начала передачи роли глобальному интернет-сообществу. Этот шаг был предпринят после давления, вызванного разоблачениями того , что США и их союзники занимались слежкой. Однако председатель правления ICANN отрицал, что эти два события связаны, и сказал, что процесс передачи продолжается уже долгое время. Президент ICANN Фади Шехаде назвал этот шаг историческим и сказал, что ICANN будет двигаться в сторону многостороннего контроля. Различные видные деятели в истории Интернета, не связанные с ICANN, также приветствовали этот шаг. [5]

Заявление NTIA не оказало немедленного влияния на то, как ICANN выполняет свою роль. [5] [13] 11 марта 2016 года NTIA объявила, что получила предлагаемый план по передаче своей роли по управлению корневой зоной и рассмотрит его в течение следующих 90 дней. [14]

Предложение было принято, и возобновленный контракт ICANN на выполнение функции IANA истек 30 сентября 2016 года, что привело к переходу ответственности за надзор к глобальному сообществу заинтересованных сторон, представленному в структурах управления ICANN. В качестве компонента плана перехода [15] была создана новая дочерняя компания под названием Public Technical Identifiers (PTI) для выполнения функций IANA, которые включают управление корневой зоной DNS.

Защита данных корневой зоны

Подписание корневой зоны

С июля 2010 года корневая зона была подписана с помощью подписи DNSSEC , [16] предоставляя единый якорь доверия для системы доменных имен, который в свою очередь может быть использован для предоставления якоря доверия для другой инфраструктуры открытых ключей (PKI). Раздел DNSKEY корневой зоны периодически переподписывается с помощью ключа подписи ключа корневой зоны , выполненного проверяемым способом перед свидетелями на церемонии подписания ключа . [17] [18] KSK2017 с идентификатором 20326 действителен по состоянию на 2020 год.

ZONEMD запись

Хотя файл корневой зоны подписан с помощью DNSSEC, некоторые записи DNS, такие как записи NS, не охвачены подписями DNSSEC. Для устранения этой уязвимости в RFC 8976 была введена новая запись DNS Resource Record, называемая ZONEMD. ZONEMD не заменяет DNSSEC. ZONEMD и DNSSEC должны использоваться вместе, чтобы обеспечить полную защиту файла корневой зоны DNS. [19] [20]

Развертывание ZONEMD для корневой зоны DNS было завершено 6 декабря 2023 года. [21]

DNS через TLS

Серверы B-Root DNS предлагают экспериментальную поддержку DNS через TLS (DoT) на порту 853. [22]

Смотрите также

Ссылки

  1. ^ "Управление функциями IANA переходит к глобальному интернет-сообществу по мере окончания контракта с правительством США". 1 октября 2016 г. Получено 25 декабря 2017 г.
  2. ^ ab Джерри Брито (5 марта 2011 г.). «ICANN против мира». Time .
  3. ^ "Нет 13 корневых серверов". www.icann.org . Получено 18 января 2018 г. .
  4. ^ "Корневые серверы DNS в мире « fool.domain.name». fool.domain.name . Архивировано из оригинала 11 февраля 2021 г. . Получено 18 января 2018 г. .
  5. ^ abcd Farivar, Cyrus (14 марта 2014 г.). «Внезапно США объявили об отказе от контроля над корневой зоной DNS». Ars Technica . Получено 15 марта 2014 г.
  6. ^ ab "Корневые серверы". IANA . Получено 17 января 2020 г. .
  7. ^ "named.cache". InterNIC. 17 ноября 2015 г. Получено 17 ноября 2015 г.
  8. ^ "SANS Institute InfoSec Reading Room". SANS . Получено 17 марта 2014 г. .
  9. ^ ab Брэдли Митчелл (19 ноября 2008 г.). «Почему существует только 13 корневых серверов имен DNS». About.com . Архивировано из оригинала 18 марта 2014 г. . Получено 17 марта 2014 г. .
  10. ^ "Корневые DNS-серверы: самая важная инфраструктура в Интернете". Slash Root. 15 ноября 2013 г.
  11. ^ "Root Servers Technical Operations Assn". Архивировано из оригинала 24 июня 2023 г. Получено 29 июня 2023 г.
  12. ^ «Ассоциация технических операций корневого сервера».
  13. ^ «Обновление о переходе IANA». Национальное управление по телекоммуникациям и информации. 17 августа 2015 г. Получено 17 ноября 2015 г.
  14. ^ Стриклинг, Лоуренс. «Рассмотрение предложения о передаче полномочий IANA». Национальное управление по телекоммуникациям и информации . Департамент Конгресса США . Получено 26 мая 2016 г.
  15. ^ «Предложение о передаче функций Управления по распределению номеров Интернета (IANA) от Национального управления по телекоммуникациям и информации (NTIA) Министерства торговли США Глобальному многостороннему сообществу» (PDF) . Март 2016 г.
  16. ^ "Root DNSSEC: Информация о DNSSEC для корневой зоны". Корпорация по управлению доменными именами и номерами в Интернете . Получено 19 марта 2014 г.
  17. ^ "Первая церемония KSK". Internet Corporation For Assigned Names and Numbers. 18 апреля 2010 г. Архивировано из оригинала 14 апреля 2015 г. Получено 19 октября 2014 г.
  18. ^ "Церемонии Root KSK". Internet Assigned Numbers Authority. 12 ноября 2015 г. Получено 17 ноября 2015 г.
  19. ^ Весселс, Дуэйн (18 апреля 2023 г.). «Добавление защиты ZONEMD в корневую зону». Блог Verisign .
  20. ^ D. Wessels; P. Barber; M. Weinberg; W. Kumari; W. Hardaker (февраль 2021 г.). "RFC 8976 Message Digest for DNS Zones" . Получено 10 марта 2024 г. .
  21. ^ Весселс, Дуэйн (6 декабря 2023 г.). "[dns-operations] Объявление о работе корневой зоны: введение ZONEMD для корневой зоны" . Получено 10 марта 2024 г.
  22. ^ «B-Root предлагает экспериментальную поддержку DNS через TLS».

Дальнейшее чтение

Внешние ссылки

На Викискладе есть медиафайлы по теме «Корневая зона DNS» .