En DNS- rodserver er en DNS-server, der reagerer på forespørgsler vedrørende top-level domænenavne ( TLD'er ) og omdirigerer dem til den relevante DNS-server på top-niveau. Selvom der kan være andre DNS-hierarkier ( Domain Name System ) med alternative rodservere , bruges "DNS-rodserver" generelt til at henvise til en af de tretten rodservere på Internets domænenavnesystem. Administreret under ICANNs autoritet .
I domænenavnesystemet er perioden en domæneseparator. Efter konvention afsluttes et fuldt kvalificeret domænenavn med en periode, hvilket betyder, at det efterfølges af en tom streng, der repræsenterer roddomænet. I forlængelse repræsenterer vi også roddomænet med et punkt.
Topdomæner (for eksempel .com , .org og .fr ) er underdomæner af roddomænet.
En DNS- server adresserer en rodserver i to tilfælde:
Oplysningerne cachelagres derefter i DNS-serveren i lang tid: 6 dage for listen over rodservere, 2 dage for oplysningerne om serverne fra topdomænerne ( TLD ). Da disse oplysninger varierer lidt, er der relativt få anmodninger til rodserverne.
Rootservere er ikke-rekursive, det vil sige, de leverer kun autoritative svar, videresender ikke nogen anmodninger til en anden server og gør ikke brug af en cache. De kan derfor ikke bruges direkte af en slutkundes resolver .
En undersøgelse fra 2003 viser, at kun 2% af anmodningerne til disse servere var legitime. Dårlig eller ingen cache forårsager 75% af anmodningerne. 12,5% vedrører anmodninger om ukendte topdomæner, 7% fordi de behandler IP- adresser som domænenavne osv. Nogle forkert konfigurerede desktops forsøger endda at opdatere rodserverposter eller anmode om rekursion, hvilket er resultatet af en konfigurationsfejl. De observerede problemer og løsningerne til at afhjælpe dem er beskrevet i RFC 4697.
I 2007 var der cirka ti milliarder anmodninger til rodservere dagligt.
Rootservere er også autoritative for .arpa - topdomænet . In-addr.arpa-zonen, der blev brugt til omvendt opløsning af IPv4- adresser , blev administreret af rodservere indtilfebruar 2011. Det er nu under teknisk styring af de regionale internetregistre .
I modsætning til hvad mange tror, er der i dag ikke længere er fysisk og kun tretten DNS root-servere , men snarere tretten "server identiteter", hvis navne er af formen brev .root-servers.net hvor brev er et brev mellem en og M. Dog disse "identiteter" (eller servernavne (i) ), som hver har en enkelt adresse- IP tildelt, kaldes de almindeligvis "rodserverne".
Tolv organisationer kontrollerer disse servere, to er europæiske (RIPE NCC og Autonomica, en division af Netnod), en japansk (WIDE), de andre er amerikanske. Ni af disse servere er ikke enkle maskiner, men svarer til flere installationer fordelt på forskellige geografiske placeringer. Der er pr. 19. juli 2019 mere end 997 steder i 53 lande, der er vært for en DNS-rodserver. I 2007 var der 130 steder. .
Serverne er grupperet under det samme domænenavn for at udnytte en mekanisme til undgåelse af gentagelsesnavn i DNS- protokollen .
Brev | IPv4- adresse | IPv6- adresse | Autonomt system | Tidligere navn | Samfund | Beliggenhed | Websteder (globalt / lokalt) |
Software |
---|---|---|---|---|---|---|---|---|
PÅ | 198.41.0.4 | 2001: 503: ba3e :: 2:30 | AS19836 | ns.internic.net | VeriSign | trafik distribueret af anycast | 6 (6/0) |
BINDE |
B | 199.9.14.201 | 2001: 500: 200 :: b | AS394353 | ns1.isi.edu | University of Southern California | Marina Del Rey, Californien, USA | 1 (1/0) |
BINDE |
VS | 192.33.4.12 | 2001: 500: 2 :: c | AS2149 | c.psi.net | Cogent Communications | trafik distribueret af anycast | 6 (6/0) |
BINDE |
D | 199.7.91.13 | 2001: 500: 2d :: d | AS10886 | terp.umd.edu | University of Maryland | College Park, Maryland, USA | 1 (1/0) |
BINDE |
E | 192.203.230.10 | 2001: 500: a8 :: e | AS21556 | ns.nasa.gov | NASA | Mountain View, Californien, USA | 1 (1/0) |
BINDE |
F | 192.5.5.241 | 2001: 500: 2f :: f | AS3557 | ns.isc.org | Internet Systems Consortium | trafik distribueret af anycast | 49 (2/47) |
BINDE |
G | 192.112.36.4 | 2001: 500: 12 :: d0d | AS5927 | ns.nic.ddn.mil | Agenturet for informationssystemer til forsvar | trafik distribueret af anycast | 6 (6/0) |
BINDE |
H | 198.97.190.53 | 2001: 500: 1 :: 53 | AS1508 | aos.arl.army.mil | United States Army Research Laboratory (en) | Aberdeen, Maryland, USA | 1 (1/0) |
NSD |
jeg | 192.36.148.17 | 2001: 7fe :: 53 | AS29216 | nic.nordu.net | Autonomica ( Netnod (en) ) | trafik distribueret af anycast | 68 | BINDE |
J | 192.58.128.30 | 2001: 503: c27 :: 2:30 | AS26415 | VeriSign | trafik distribueret af anycast | 70 (63/7) |
BINDE | |
K | 193.0.14.129 | 2001: 7fd :: 1 | AS25152 | RIPE NCC | trafik distribueret af anycast | 18 (5/13) |
BIND , NSD | |
L | 199.7.83.42 | 2001: 500: 3 :: 42 | AS20144 | ICANN | trafik distribueret af anycast | 38 (37/1) |
NSD | |
M | 202.12.27.33 | 2001: dc3 :: 35 | AS7500 | WIDE-projekt (da) | trafik distribueret af anycast | 6 (5/1) |
BINDE |
Den RFC 1035 kræver, at anmodninger og svar DNS på User Datagram Protocol (UDP) ikke overstiger 512 byte. Hvis svaret er større, skal TCP bruges. Dette bruger flere ressourcer og udgør risikoen for at blive blokeret af en firewall. Denne store reaktionssag er sjælden i praksis, men listen over rodzone navneservere med tilsvarende IP- adresser når denne grænse; 671 bytes kræves for at få et komplet svar ijuli 2010.
Serverne A, C, F, G, I, J, K, L og M distribueres nu geografisk takket være anycast . Generelt vil serveren, der er tættest på klienten i netværksforstand, blive brugt. Som et resultat er de fleste af domænenavnssystemets fysiske servere nu placeret uden for USA.
Rodeserverne på domænenavnsystemet kan også bruges lokalt, f.eks. På internetudbyders netværk. De skal synkroniseres med det amerikanske handelsministeriums rodzonefil som anbefalet af ICANN . Sådanne servere er ikke alternative DNS- servere, men en lokal variation af rodserverne fra A til M.
EDNS 0 ( RFC 2671) udvidelse tillader brug af en større pakke størrelse, dens support anbefales til både IPv6 og DNSSEC .
Rootservere spiller en vigtig rolle i Domain Name System ( DNS ). Hvis en eller få af dem ikke reagerer, fordeles belastningen på de resterende servere. Hvis ingen af dem kunne svare på anmodninger, ville domænenavne gradvist blive utilgængelige, da informationen i cacherne udløb, dvs. omkring 2% pr. Times nedetid.
Muligheden for en fejl, der vil påvirke alle serverne, er begrænset af mangfoldigheden af de anvendte softwareversioner: BINDv8, BINDv9 og NSD. Den hardware, som serverne fungerer på, er forskellig.
Risikoen for denial of service-angreb mindskes af antallet af anycast-servere. Unicast-adressen på de fleste servere offentliggøres ikke for at undgå målrettede angreb. Det er ikke ualmindeligt, at en af serverne udsættes for et denial of service-angreb, uden at dette mærkbart påvirker udførelsen af DNS som helhed.
Nogle store angreb har dog forekommet XXI th århundrede:
Det 21. oktober 2002, var den fulde DNS- rod genstand for et stort angreb i en time, hvor de tretten servere A til M blev målrettet. Under dette angreb så syv ud af tretten servere, at deres ydelse blev forringet på grund af en strøm på 100.000 til 200.000 anmodninger pr. Sekund til hver af serverne. Angrebet forårsagede imidlertid ikke større forstyrrelser i det globale netværk, hvilket viser systemets robusthed. Ifølge administrerende direktør for Verisign, som administrerer to rodservere, kunne alle anmodninger have været håndteret af en enkelt server.
Angrebet blev udført ved hjælp af DDoS- metoden ( denial of service ). Hackerne var i stand til, takket være en meget stor maskinpark, at generere et antal anmodninger to til tre gange større end belastningen på de tretten målrettede servere, dvs. fyrre gange den sædvanlige mængde anmodninger.
Det anycast systemet blev oprettet efter dette angreb at neutralisere DoS typen angreb.
Det 6. februar 2007, blev serverne F, G, L og M angrebet i 24 timer fra kl. 10:00 UTC . G og L blev alvorligt ramt, mens F og M rapporterede om en usædvanlig ladning. Virkningen på M blev mindsket takket være anycast.
Kilden viser sig at være et botnet på 5.000 maskiner primært baseret i Sydkorea og instrueret fra USA .
November 30, 2015 (06:50 UTC til 09:30 UTC) og 1 st december 2015 (05:10 UTC til 06:10 UTC), har de 13 root-servere været to angreb DDoS, der forårsager timeouts på rod-servere B, C, G og H. Ca. 5 millioner anmodninger blev sendt pr. Sekund til servere med to unikke domæner, der forårsagede angrebet, en for hvert angreb. Ifølge rapporten fra root-servers.org oplevede tre af de tretten rodservere afmatninger, men indvirkningen på Internettet som helhed var begrænset.
Rodzonefilen er offentligt tilgængelig. Det er ret lille (i størrelsesordenen 2.1MB ) og indeholder 1.531 topdomænedelegationer , 7.295 navneservere, 4.265 A-poster og 3.641 AAAA-poster fra april 2019.
DNSSEC RRSIG- signaturer blev føjet til rodfilerne i juli 2010. Den 11. oktober 2018 blev Root Zone Key Signing Key ( KSK ) ændret med succes af ICANN . I april 2019 blev 1.388 af alle 1.531 topdomæner til stede underskrevet med DNSSEC.
Det er muligt at oprette et alternativt DNS- hierarki med et sæt alternative rodservere . En server, der ønsker at bruge den, skal have listen over rodservere til dette alternative DNS- hierarki .
Disse hierarkier kan definere andre topdomæner. Disse domæner er ikke tilgængelige for klienter, der ikke bruger dette sæt servere. Der er også muligheden for, at et topdomæne vil blive defineret forskelligt mellem alternative hierarkier.
Blandt disse alternative hierarkier kan vi citere:
Den Internet Architecture Board (IAB) udtrykt i RFC 2826 behovet for at opretholde en enkelt hierarki for at sikre sammenhængen i internet-netværk.
Forskellige peer-to-peer- netværkssystemer er også oprettet med det formål at tilbyde et levedygtigt alternativ og samtidig reducere infrastrukturomkostningerne, herunder: