北京时间10月13日凌晨,瑞典全国范围内发生的网站访问、电邮发送故障,再次将大众印象中不太起眼的网络基础设施——国家域名系统推向了前台。
据国外媒体报道,导致瑞典网络一夜之间全部瘫痪的乃是瑞典国家顶级域名.se.由于相关技术人员在进行该域名的日常维护时出现严重失误,导致.se之下的90万个域名不能正确解析,并进而影响到了包括网站访问在内的瑞典全国范围内各类互联网应用的正常运转。一国国家顶级域名系统的故障如何会引发整个国家网络的全面瘫痪?发生在瑞典国家顶级域名.se的故障给各国国家顶级域名系统保障敲响了那些警钟?我国在国家顶级域名系统保障方面采取了那些应对措施以确保1300万国家域名.CN的安全无障解析?带着这样的疑问,记者采访了中国互联网络信息中心(CNNIC)副主任兼总工程师李晓东博士。
原因揭秘:域名系统技术小失误引发全国网络大瘫痪
对于瑞典发生的全国网络瘫痪事故,李晓东表示,瑞典国家域名的管理人员使用了错误的配置脚本来更新.se的解析数据,致使全球DNS系统不能正确识别.se下面的域名。
虽然.se顶级域服务器在故障1小时后重新更新数据改正了错误,服务恢复正常,但是由于域名服务系统的缓存机制,整个互联网上的.se解析并不能立即全部恢复正常。一些大型ISP通过清理缓存来恢复正确数据;一些小规模的ISP则未能及时处理,致使部分用户受影响的时间甚至达到24小时。
这是一个很细小的疏忽,但也正是由于这个小小的疏忽,导致全球使用.se的网站访问收到影响,瑞典的互联网一时处于瘫痪状态。
据了解,完整的域名系统由递归域名服务系统(即本地域名服务器)、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个主要环节构成。任何一环节的系统出现故障,都会导致相应范围的网络应用瘫痪,大到一个国家和地区的网将络全面瘫痪,小到某个网站将无法访问。
2009年5月19日,由于暴风影音软件故障触发了大范围网络访问故障(简称“5.19”网络故障),相信很多网民对此事还记忆犹新。李晓东告诉记者,我国“5.19”网络故障与瑞典全国网络瘫痪相比,相同的是,故障原因均与域名系统相关。不同的是,前者的故障原因出在递归层级的域名系统,受影响的仅是局部地区及部分用户,而后者的故障发生在该国顶级域名系统中,影响是全局性的、全国范围的。该故障使得所有.se下的90万网站在全球范围内的一度正常访问受影响。
敲响警钟:国家域名系统安全“牵一发而动全身”
李晓东表示,瑞典的域名系统故障,至少给我们带来两点警示:其一,一国域名系统的安危关乎一国互联网全局。即使像瑞典这样在域名领域技术领先的欧州发达国家,也无法保证国家域名系统不出一点故障,由此可见,域名系统安全保障工作容不得半点麻痹大意。世界各国政府及互联网业界都应该引以为鉴,高度重视国家域名系统安全,持续提高各国各层级域名系统的安全保障水平。其二,各国应加强各层级域名系统安全统一协调保障力度。瑞典部分网民一度受.se故障影响达24小时,究其原因是部分小规模的ISP的未能在递归服务器等环节域名系统实现同步故障处理,并致使网络故障恢复时间过长。
.CN域名作为全球第一大国家顶级域名,其域名系统的安全与否直接关系到3亿中国网民、1200万.CN域名用户和300万CN域名下网站的切身权益。瑞典全国网络瘫痪的梦魇会否在中国国家顶级域名.CN上重演?我国在这方面已经采取了那些应对措施?未来还会如何加强.CN域名系统安全保障?
李晓东表示,我国政府相关部门以及CNNIC自身历来高度重视国家域名(英文“.CN”域名和中文“.中国”域名)系统安全保障工作,进行了很大的部署投入。目前,我国已建立遍布国内主要运营商和亚洲、欧洲和北美的节点部署,构筑起分布更合理的国家域名全球服务平台。即使出现地震、台风、海啸等自然灾害,也可在最大程度上保障全球范围内的CN域名顶级域解析。
我国国家域名系统不仅经受住了2008年北京奥运会的重大考验,也在今年建国60周年庆典期间的实现了零故障运行,不过,李晓东强调,国家域名系统安全保障工作不可能“一劳永逸”,还有很多的方面需要继续努力提升。未来CNNIC将会在国家域名系统安全保障技术和全球合理布局国家域名顶级节点等多方面扎实开展工作,最大限度的保障国家域名系统安全,保障国家互联网安全和信息主权,同时也希望和各个环节域名系统的运行管理者通力合作,共同为我国互联网用户提供稳定可靠的服务,为我国互联网的安全和发展做出积极的努力。