Корневая зона DNS

— Корневая зона DNS верхнего уровня это зона DNS в иерархическом пространстве имен системы доменных имен (DNS) Интернета.

До 1 октября 2016 года корневая зона находилась под контролем Интернет-корпорации по присвоению имен и номеров (ICANN), которая делегировала управление дочерней компании, действующей в качестве Управления по присвоению номеров в Интернете (IANA). ^[1] Услуги по распространению предоставляются компанией Verisign . До этого ICANN выполняла управленческие функции под надзором Национального управления по телекоммуникациям и информации (NTIA), агентства Министерства торговли США . ^[2] Ответственность за надзор перешла к глобальному сообществу заинтересованных сторон , представленному в структурах управления ICANN.

Комбинация ограничений в определении DNS и в некоторых протоколах, а именно практический размер нефрагментированного протокола пользовательских дейтаграмм. ^[2] (UDP), в результате чего практически было получено максимум 13 адресов корневых серверов имен, которые могут быть включены в ответы на запросы имен DNS. Однако корневая зона обслуживается несколькими сотнями серверов в более чем 130 точках во многих странах. ^[3]^[4]

Инициализация службы DNS

Корневая зона DNS обслуживается тринадцатью кластерами корневых серверов, которые отвечают за запросы к доменам верхнего уровня Интернета. ^[5]^[6] Таким образом, каждое разрешение имен либо начинается с запроса к корневому серверу, либо использует информацию, которая когда-то была получена с корневого сервера.

Кластеры корневых серверов имеют официальные названия от a.root-servers.net до m.root-servers.net . ^[6] Чтобы преобразовать эти имена в адреса, преобразователь DNS должен сначала найти авторитетный сервер для сетевой зоны. Чтобы избежать этой циклической зависимости , должен быть известен адрес хотя бы одного корневого сервера для начальной загрузки доступа к DNS. Для этой цели операционные системы, DNS-серверы или пакеты программного обеспечения преобразователя обычно включают файл со всеми адресами корневых DNS-серверов. Даже если IP-адреса некоторых корневых серверов изменятся, для получения текущего списка всех серверов имен необходим хотя бы один. этот адресный файл называется «named.cache» В эталонной реализации сервера имен BIND . официальная версия распространяется через ICANN InterNIC Текущая . ^[7]

Имея адрес единственного функционирующего корневого сервера, вся остальная информация DNS может быть обнаружена рекурсивно, а также может быть найдена информация о любом доменном имени.

Избыточность и разнообразие

Корневые DNS-серверы необходимы для функционирования Интернета, поскольку большинство интернет-сервисов, таких как Всемирная паутина и электронная почта, основаны на доменных именах. DNS-серверы являются потенциальными точками сбоя для всего Интернета. По этой причине по всему миру распределено несколько корневых серверов. ^[8] Размер пакета DNS в 512 октетов ограничивает ответ DNS тринадцатью адресами, пока расширения протокола ( см. Механизмы расширения DNS ) не снимут это ограничение. ^[9] Хотя при использовании сжатия меток в пакет такого размера можно поместить больше записей, в качестве надежного предела было выбрано тринадцать. С момента появления IPv6 , преемника Интернет-протокола , IPv4 предыдущие методы были изменены, и дополнительное пространство было заполнено серверами имен IPv6.

Корневые серверы имен размещены на нескольких защищенных сайтах с доступом с высокой пропускной способностью для обработки трафика. Сначала все эти установки располагались в США; однако распределение изменилось, и это уже не так. ^[10] Обычно каждая установка DNS-сервера на данном сайте представляет собой кластер компьютеров с маршрутизаторами балансировки нагрузки. ^[9] Полный список серверов, их местоположений и свойств доступен по адресу https://root-servers.org/ . По состоянию на 24 июня 2023 г. ^[update]По всему миру насчитывалось 1708 корневых серверов. ^[11]

Современная тенденция заключается в использовании произвольной адресации и маршрутизации для обеспечения устойчивости и балансировки нагрузки в широкой географической области. Например, сервер j.root-servers.net , поддерживаемый Verisign , представлен номером 104 (по состоянию на январь 2016 г.). ^[update]) отдельные серверные системы, расположенные по всему миру, к которым можно обращаться с использованием произвольной адресации. ^[12]

Управление

Содержимое файла корневой зоны Интернета координируется дочерней компанией ICANN, которая выполняет функции Управления по присвоению номеров Интернета (IANA). Verisign создает и распространяет файл зоны различным операторам корневых серверов.

В 1997 году, когда Интернет перешел из-под контроля правительства США в частные руки, NTIA взяла на себя управление корневой зоной. В документе Министерства торговли 1998 года говорилось, что агентство «привержено переходу, который позволит частному сектору взять на себя лидерство в управлении DNS» к 2000 году, однако никаких шагов для осуществления перехода предпринято не было. В марте 2014 года NTIA объявило, что передаст свою координирующую роль «глобальному сообществу заинтересованных сторон». ^[5]

По словам помощника министра торговли по коммуникациям и информации Лоуренса Э. Стриклинга, март 2014 года стал подходящим временем для начала передачи этой роли глобальному интернет-сообществу. Этот шаг был предпринят после того, как стало известно о том , что Соединенные Штаты и их союзники вели слежку. Однако председатель правления ICANN отрицал связь между этими двумя событиями и заявил, что процесс перехода продолжается уже долгое время. Президент ICANN Фади Шехаде назвал этот шаг историческим и заявил, что ICANN будет двигаться к контролю с участием многих заинтересованных сторон. Различные видные деятели в истории Интернета, не связанные с ICANN, также приветствовали этот шаг. ^[5]

Заявление NTIA не оказало непосредственного влияния на то, как ICANN выполняет свою роль. ^[5]^[13] 11 марта 2016 г. NTIA объявило, что оно получило предлагаемый план по передаче своей координирующей роли в корневой зоне и рассмотрит его в течение следующих 90 дней. ^[14]

Предложение было принято, и 30 сентября 2016 г. истек срок действия продленного контракта ICANN на выполнение функций IANA, в результате чего ответственность за надзор перешла к глобальному сообществу заинтересованных сторон, представленному в структурах управления ICANN. В качестве компонента плана перехода, ^[15] он создал новую дочернюю компанию под названием Public Technical Identifiers (PTI) для выполнения функций IANA, включая управление корневой зоной DNS.

Защита данных корневой зоны

Подписание корневой зоны

С июля 2010 года корневая зона подписана подписью DNSSEC . ^[16] предоставление единого якоря доверия для системы доменных имен, который, в свою очередь, можно использовать в качестве якоря доверия для другой инфраструктуры открытых ключей (PKI). Раздел DNSKEY корневой зоны периодически переподписывается с помощью ключа подписи ключа корневой зоны , выполняемого поддающимся проверке способом в присутствии свидетелей на церемонии подписания ключа . ^[17]^[18]KSK2017 с идентификатором 20326 действителен с 2020 года.

ZONEMD запись

Хотя файл корневой зоны подписан с помощью DNSSEC, некоторые записи DNS, например записи NS, не покрываются подписями DNSSEC. была введена новая запись ресурса DNS под названием ZONEMD Чтобы устранить эту слабость, в RFC 8976 . ZONEMD не заменяет DNSSEC. ZONEMD и DNSSEC необходимо использовать вместе, чтобы обеспечить полную защиту файла корневой зоны DNS. ^[19]^[20]

Развертывание ZONEMD для корневой зоны DNS было завершено 6 декабря 2023 г. ^[21]

DNS через TLS

DNS-серверы B-Root предлагают экспериментальную поддержку DNS через TLS (DoT) на порту 853. ^[22]

См. также

Ссылки

^ «Передача функций IANA глобальному интернет-сообществу после прекращения действия контракта с правительством США» . 1 октября 2016 года . Проверено 25 декабря 2017 г.
^ Перейти обратно: ^а ^б Джерри Брито (5 марта 2011 г.). «ICANN против всего мира» . Время .
^ «Нет 13 корневых серверов» . www.icann.org . Проверено 18 января 2018 г.
^ «Корневые DNS-серверы в мире «тупой.домен.имя» . глупый.домен.имя . Архивировано из оригинала 11 февраля 2021 года . Проверено 18 января 2018 г.
^ Перейти обратно: ^а ^б ^с ^д Фаривар, Сайрус (14 марта 2014 г.). «Внезапно объявлено, что США отказываются от контроля над корневой зоной DNS» . Арс Техника . Проверено 15 марта 2014 г.
^ Перейти обратно: ^а ^б «Корневые серверы» . ИАНА . Проверено 17 января 2020 г.
^ "named.cache" . ИнтерНИК. 17 ноября 2015 года . Проверено 17 ноября 2015 г.
^ «Читальный зал Инфобезопасности Института SANS» . САНС . Проверено 17 марта 2014 г.
^ Перейти обратно: ^а ^б Брэдли Митчелл (19 ноября 2008 г.). «Почему существует только 13 корневых серверов имен DNS» . О сайте.com . Архивировано из оригинала 18 марта 2014 года . Проверено 17 марта 2014 г.
^ «Корневые DNS-серверы: наиболее важная инфраструктура в Интернете» . Слэш Рут. 15 ноября 2013 г.
^ «Ассоциация по технической эксплуатации корневых серверов» . Архивировано из оригинала 24 июня 2023 года . Проверено 29 июня 2023 г.
^ «Ассоциация по технической эксплуатации корневого сервера» .
^ «Обновленная информация о передаче IANA» . Национальное управление по телекоммуникациям и информации. 17 августа 2015 года . Проверено 17 ноября 2015 г.
^ Стриклинг, Лоуренс. «Рассмотрение предложения о передаче IANA» . Национальное управление по телекоммуникациям и информации . Департамент Конгресса США . Проверено 26 мая 2016 г.
^ «Предложение о передаче управления функциями Управления по присвоению номеров Интернета (IANA) от Национального управления по телекоммуникациям и информации (NTIA) Министерства торговли США Глобальному многостороннему сообществу» (PDF) . Март 2016.
^ «Корневой DNSSEC: информация о DNSSEC для корневой зоны» . Интернет-корпорация по присвоению имен и номеров . Проверено 19 марта 2014 г.
^ «Первая церемония KSK» . Интернет-корпорация по присвоению имен и номеров. 18 апреля 2010 года. Архивировано из оригинала 14 апреля 2015 года . Проверено 19 октября 2014 г.
^ «Корневые церемонии KSK» . Управление по присвоению номеров в Интернете. 12 ноября 2015 года . Проверено 17 ноября 2015 г.
^ Весселс, Дуэйн (18 апреля 2023 г.). «Добавление защиты ZONEMD в корневую зону» . Блог Verisign .
^ Д. Вессельс; П. Барбер; М. Вайнберг; В. Кумари; В. Хардакер (февраль 2021 г.). «Дайджест сообщений RFC 8976 для зон DNS» . Проверено 10 марта 2024 г.
^ Весселс, Дуэйн (6 декабря 2023 г.). «[dns-operations] Оперативное объявление корневой зоны: введение ZONEMD для корневой зоны» . Проверено 10 марта 2024 г.
^ «B-Root предлагает экспериментальную поддержку DNS через TLS» .

RFC 2870 – Эксплуатационные требования к корневому серверу имен
RFC 2826 — Технический комментарий IAB об уникальном корне DNS

Дальнейшее чтение

«NTIA объявляет о намерении передать ключевые функции доменных имен в Интернете» . Управление по связям с общественностью. Национальное управление по телекоммуникациям и информации . 14 марта 2014 года . Проверено 15 марта 2014 г. {{cite web}}: CS1 maint: другие ( ссылка )

Внешние ссылки

Файл корневой зоны
root-servers.org
Авторитетная база данных TLD IANA в корневой зоне DNS
Консультативный комитет системы корневых серверов ICANN
CircleID.com , на корневых DNS-серверах
CAIDA.org , статья о проблеме с расположением корневого сервера
CirclceID.com , больше экземпляров корневых серверов за пределами США, чем внутри.
Список общедоступных DNS-серверов Постоянно проверяется и обновляется.

[1] «Передача функций IANA глобальному интернет-сообществу после прекращения действия контракта с правительством США» . 1 октября 2016 года . Проверено 25 декабря 2017 г.

[:0-2] Перейти обратно: ^а ^б Джерри Брито (5 марта 2011 г.). «ICANN против всего мира» . Время .

[3] «Нет 13 корневых серверов» . www.icann.org . Проверено 18 января 2018 г.

[4] «Корневые DNS-серверы в мире «тупой.домен.имя» . глупый.домен.имя . Архивировано из оригинала 11 февраля 2021 года . Проверено 18 января 2018 г.

[Ars-5] Перейти обратно: ^а ^б ^с ^д Фаривар, Сайрус (14 марта 2014 г.). «Внезапно объявлено, что США отказываются от контроля над корневой зоной DNS» . Арс Техника . Проверено 15 марта 2014 г.

[RS-6] Перейти обратно: ^а ^б «Корневые серверы» . ИАНА . Проверено 17 января 2020 г.

[7] "named.cache" . ИнтерНИК. 17 ноября 2015 года . Проверено 17 ноября 2015 г.

[SANS-8] «Читальный зал Инфобезопасности Института SANS» . САНС . Проверено 17 марта 2014 г.

[about-9] Перейти обратно: ^а ^б Брэдли Митчелл (19 ноября 2008 г.). «Почему существует только 13 корневых серверов имен DNS» . О сайте.com . Архивировано из оригинала 18 марта 2014 года . Проверено 17 марта 2014 г.

[10] «Корневые DNS-серверы: наиболее важная инфраструктура в Интернете» . Слэш Рут. 15 ноября 2013 г.

[11] «Ассоциация по технической эксплуатации корневых серверов» . Архивировано из оригинала 24 июня 2023 года . Проверено 29 июня 2023 г.

[12] «Ассоциация по технической эксплуатации корневого сервера» .

[13] «Обновленная информация о передаче IANA» . Национальное управление по телекоммуникациям и информации. 17 августа 2015 года . Проверено 17 ноября 2015 г.

[14] Стриклинг, Лоуренс. «Рассмотрение предложения о передаче IANA» . Национальное управление по телекоммуникациям и информации . Департамент Конгресса США . Проверено 26 мая 2016 г.

[15] «Предложение о передаче управления функциями Управления по присвоению номеров Интернета (IANA) от Национального управления по телекоммуникациям и информации (NTIA) Министерства торговли США Глобальному многостороннему сообществу» (PDF) . Март 2016.

[16] «Корневой DNSSEC: информация о DNSSEC для корневой зоны» . Интернет-корпорация по присвоению имен и номеров . Проверено 19 марта 2014 г.

[17] «Первая церемония KSK» . Интернет-корпорация по присвоению имен и номеров. 18 апреля 2010 года. Архивировано из оригинала 14 апреля 2015 года . Проверено 19 октября 2014 г.

[18] «Корневые церемонии KSK» . Управление по присвоению номеров в Интернете. 12 ноября 2015 года . Проверено 17 ноября 2015 г.

[19] Весселс, Дуэйн (18 апреля 2023 г.). «Добавление защиты ZONEMD в корневую зону» . Блог Verisign .

[20] Д. Вессельс; П. Барбер; М. Вайнберг; В. Кумари; В. Хардакер (февраль 2021 г.). «Дайджест сообщений RFC 8976 для зон DNS» . Проверено 10 марта 2024 г.

[21] Весселс, Дуэйн (6 декабря 2023 г.). «[dns-operations] Оперативное объявление корневой зоны: введение ZONEMD для корневой зоны» . Проверено 10 марта 2024 г.

[22] «B-Root предлагает экспериментальную поддержку DNS через TLS» .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]