因特網(wǎng)“斷網(wǎng)停服”的技術(shù)分析及新型DNS體系研究

章峰 蔣文保 費禹

摘 要：美國廢除了網(wǎng)絡(luò)中立原則，由此引發(fā)了很多人對于Internet的擔(dān)憂?，F(xiàn)在的DNS架構(gòu)體系，導(dǎo)致ICANN組織成為DNS體系的中心，擔(dān)任著DNS管理者的角色。因此，一些媒體以及大眾開始擔(dān)憂，美國對敵對國家可能進(jìn)行斷網(wǎng)攻擊，攻擊其他國家的網(wǎng)絡(luò)服務(wù)。論文將針對該問題，從技術(shù)的角度進(jìn)行分析，說明斷網(wǎng)可能產(chǎn)生的危害，以及提出一套自主可控、去中心化、實現(xiàn)網(wǎng)絡(luò)主權(quán)平等的新型DNS架構(gòu)體系。

關(guān)鍵詞：DNS；去中心化；網(wǎng)絡(luò)主權(quán)；斷網(wǎng)；停服

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

Abstract： The United States abolished the principle of network neutrality， which has caused many people to worry about the Internet. The current DNS architecture system has led the ICANN to become the center of the DNS system and to act as the administrator of the DNS. Therefore， some media and the public are beginning to worry that the United States may attack the hostile countries with making their network broken and attack the network services of other countries. This paper will analyze the problem from the technical point of view， explain the possible harm caused by network disconnection， and propose a new DNS architecture system that can self-control， decentralize and achieve network sovereign equality.

Key words： DNS； decentration； network sovereignty； interent disconnection； DoS

1 引言

網(wǎng)上流傳一種說法，“因為美國廢除了網(wǎng)絡(luò)中立原則，因此可以在需要的時機(jī)使用網(wǎng)絡(luò)武器對特定目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊，甚至令中國斷網(wǎng)”?！熬W(wǎng)絡(luò)中立”這一原則于2015年6月12日（美國時間）正式實施，卻在2017年12月被FCC投票廢止，并于2018年6月11日（美國時間）正式停止執(zhí)行，這一舉措將可能導(dǎo)致斷網(wǎng)停服計劃的產(chǎn)生。

在2015年12月18日，美國國會通過了“2015年賽博安全信息共享法案”。這一法案在國內(nèi)被譯為“2015美國網(wǎng)絡(luò)安全法”，為網(wǎng)絡(luò)的斷網(wǎng)停服提供了法律依據(jù)。

許多媒體在擔(dān)憂，美國對中國的網(wǎng)絡(luò)實施斷網(wǎng)停服，從而達(dá)到癱瘓中國網(wǎng)絡(luò)的目的。如果一旦發(fā)生了斷網(wǎng)事件，那中國又該如何應(yīng)對。本文將從技術(shù)的角度來給予一定的解釋與建議。

本文先闡述一下，現(xiàn)有的DNS服務(wù)器分配情況。根域名服務(wù)器分布在世界各地，使世界上大部分DNS（Domain Name System）域名服務(wù)器都能就近找到一個編號為A～M的13臺根域名服務(wù)器。根域名服務(wù)器定期從主根域名服務(wù)器同步根區(qū)文件。其中，9臺根域名服務(wù)器在美國，1臺在英國，1臺在瑞典，一臺在日本。主根服務(wù)器在美國，基本上這種管理方式就代表著美國就是整個Internet的管理者。而我國只引入了F、I、L、J四個根的鏡像節(jié)點。此處所指的13臺根服務(wù)器是指13個IP地址用于查詢的根服務(wù)器網(wǎng)絡(luò)。一個常見的誤解是世界上只有13臺根服務(wù)器。實際上還有更多，但仍然只有13個IP地址用于查詢不同的根服務(wù)器網(wǎng)絡(luò)。DNS原始體系結(jié)構(gòu)的限制要求根區(qū)域中最多有13臺服務(wù)器地址。

今天，13個IP地址中的每一個都有幾臺服務(wù)器，它們使用Anycast路由來根據(jù)負(fù)載和接近度分配請求。現(xiàn)在，有超過600種不同的DNS根服務(wù)器分布在地球上每個人口稠密的大陸上。

那么，誰擁有DNS根服務(wù)器的權(quán)限呢？根區(qū)域的最終權(quán)限屬于美國國家電信和信息管理局（NTIA），后者是美國商務(wù)部的一部分。NTIA將根區(qū)域的管理委托給互聯(lián)網(wǎng)域名與數(shù)字地址分配機(jī)構(gòu)（ICANN）。

ICANN為根區(qū)域中的13個IP地址之一運行服務(wù)器，并將其他12個IP地址的操作委托給各種組織，包括NASA、馬里蘭大學(xué)和Verisign，后者是唯一一個運營兩個根IP地址的組織。

域名系統(tǒng)（DNS）是因特網(wǎng)的電話簿。人類通過域名在線訪問信息，如baidu.com或google.com。Web瀏覽器通過Internet Protocol（IP）地址進(jìn)行交互。DNS將域名轉(zhuǎn)換為IP地址，以便瀏覽器可以加載Internet資源。

連接到Internet的每個設(shè)備都有一個唯一的IP地址，其他計算機(jī)可以使用該IP地址來查找設(shè)備。DNS服務(wù)器無需人類記憶IP地址，如192.168.1.1（IPv4），或更復(fù)雜的新字母數(shù)字IP地址，如2400：cb00：2048：1：：c629：d7a2（IPv6）。

根域名服務(wù)器一旦斷網(wǎng)停服、發(fā)布虛假信息或者篡改消息實現(xiàn)訪問的重定向，大量Internet用戶將無法正常訪問域名。所以，集中式的管理無法擺脫美國的控制。正因如此，我國需要積極做好相對的應(yīng)對措施，才能更好地保護(hù)我國的國家以及集體利益。

2 DNS解析流程

2.1 DNS相關(guān)概念

域名服務(wù)系統(tǒng)（Domain Name System，DNS）是互聯(lián)網(wǎng)的一項服務(wù)。它是一個將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，使人們可以更加方便的訪問Internet。DNS是基于現(xiàn)有的TCP/IP協(xié)議，這就意味著IP地址就是Internet中的地址。DNS使用UDP的53端口。目前，對于每一級域名長度的限制是63個字符，域名總長度則不能超過253個字符。

DNS系統(tǒng)中，常見的共有五種記錄類型：

（1）主機(jī)（A）記錄；

（2）別名（CNAME）記錄；

（3）郵件路由（MX）記錄；

（4）IPv6（AAAA）記錄；

（5）服務(wù)器資源（SRV）記錄。

DNS服務(wù)器共有四種類型：遞歸解析器、根域名服務(wù)器、頂級域名服務(wù)器、權(quán)限域名服務(wù)器。

（1）遞歸解析器（DNS Recursor）。充當(dāng)客戶端和DNS服務(wù)器之間的中間人角色，收到Web端的DNS查詢后，先進(jìn)行遞歸查詢，或者向其他域名服務(wù)器進(jìn)行迭代查詢。

（2）根域名服務(wù)器。根域名服務(wù)器接受包含域名的遞歸解析器查詢，并且根域名服務(wù)器通過將遞歸解析器指向TLD域名服務(wù)器進(jìn)行響應(yīng)。

（3）TLD域名服務(wù)器，也是頂級域名服務(wù)器。其維護(hù)共享公共擴(kuò)展名的所有域名的信息。TLD服務(wù)器分為兩大類：

通用頂級域：這些域不是特定于國家/地區(qū)的，一些比較出名的通用頂級域名包括.com、.org、.net、.edu等；

國家/地區(qū)代碼頂級域：這些域包括特定于國家/地區(qū)或州的所有域，示例包括.cn、.us、.ru等。

（4）權(quán)限域名服務(wù)器。當(dāng)遞歸解析器收到來自TLD服務(wù)器的響應(yīng)時，該響應(yīng)會將解析程序指向權(quán)限域名服務(wù)器。權(quán)限域名服務(wù)器通常是遞歸解析器在IP地址旅程中的最后一步。權(quán)限域名服務(wù)器包含特定于它所服務(wù)的域名的信息（例如baidu.com），它可以提供遞歸解析器，其中包含DNS A記錄中找到的該服務(wù)器的IP地址，或者域名是否具有CNAME記錄（別名）它將為遞歸解析器提供別名域，此時遞歸解析器必須執(zhí)行新的DNS查找以從權(quán)限域名服務(wù)器（通常是包含IP地址的A記錄）獲取記錄。

2.2 DNS區(qū)域（DNS Zone）

DNS被分解為許多不同的區(qū)域，不同的區(qū)域區(qū)分DNS命名空間中明確的管理區(qū)域，由特定組織或管理員進(jìn)行管理。域名空間是分層樹的結(jié)構(gòu)如圖1所示，DNS根域位于頂部，DNS區(qū)域從樹中開始劃分，也可以向下擴(kuò)展到子域，方便一個實體管理多個子域。

DNS服務(wù)器中存儲著區(qū)域文件，區(qū)域文件中包含區(qū)域的實際表示形式，并包含區(qū)域中每個域的所有記錄。區(qū)域文件必須始終以授權(quán)開始（SOA）記錄開頭。該記錄包含重要信息，包括區(qū)域管理員的聯(lián)系信息。

2.3 動態(tài)DNS

動態(tài)DNS（Dynamic DNS），許多Web資源（如API或網(wǎng)站）在Internet連接上運行，其IP地址經(jīng)常更改；如果這些屬性的操作者想要為托管資源提供特定域名，則必須在域名系統(tǒng)（DNS）記錄中存儲IP地址。動態(tài)DNS（DDNS）是一種服務(wù)，可以使用Web屬性的正確IP地址更新DNS，即使該IP地址不斷更新也是如此。

在互聯(lián)網(wǎng)發(fā)展初期，IP地址很少發(fā)生變化，這使得域名管理變得更加簡單。但是，具有互聯(lián)網(wǎng)接入的網(wǎng)絡(luò)和家用計算機(jī)的快速增長造成了可用IP地址的短缺。這導(dǎo)致了動態(tài)主機(jī)配置協(xié)議（DHCP），它允許ISP動態(tài)地為其用戶分配IP。ISP通常會維護(hù)一個共享的IP地址池，并在連接期間或直到達(dá)到最大時間后，根據(jù)需要將這些IP地址分配或“租賃”給用戶。這就導(dǎo)致了，較小的服務(wù)往往會頻繁地看到其IP地址被其ISP更改，因此它們需要動態(tài)DNS解決方案來保持其DNS記錄的最新狀態(tài)。這些較小的服務(wù)包括小型企業(yè)網(wǎng)站、個人網(wǎng)站、DVR和安全攝像頭等。

2.4 DNS解析具體流程

DNS解析流程中，本機(jī)會先查詢?yōu)g覽器緩存，若不存在則查看本地Hosts文件，若不存在則查詢本地DNS緩存，若不存在才會向本地DNS解析器發(fā)起查詢請求，即向遞歸解析器發(fā)起解析請求，此時遞歸解析器也會首先查看自身緩存是否存在記錄，才會決定是否向根域名服務(wù)器發(fā)起查詢請求。

其中設(shè)計一個問題就是緩存存在的時間。

（1）本機(jī)瀏覽器的緩存時間和TTL（Time To Live）無關(guān)，如Chrome中過期時間為1分鐘，在這個期間內(nèi)不會重新請求DNS解析。

（2）本機(jī)DNS緩存會參考DNS服務(wù)器響應(yīng)的TTL值，但不完全等于TTL值。Windows DNS默認(rèn)值是MaxCacheTTL，為86400s，即一天。

（3）如果服務(wù)器只有一臺，可以設(shè)置TTL長一些，一般為3600即可。

（4）如果有備份或者多臺服務(wù)器，由于可能發(fā)生宕機(jī)需要及時切換，TTL值越短切換越及時，但是也會導(dǎo)致DNS運營商緩存時間短，一般來說，設(shè)置TTL 600即可，如果要求嚴(yán)格，可設(shè)置120。百度的TTL值為55。

（5）ISPDNS的緩存時間，則是不同的運營商設(shè)置的值都不同，有些緩存服務(wù)器會忽略網(wǎng)站DNS提供的TTL，自己設(shè)置一個較長的TTL。這就會導(dǎo)致不能及時拿到新的IP地址，但是會提高解析速度。相對而言，如果設(shè)置了較短的TTL，則會影響到解析速度。

DNS的解析流程如圖2所示。

如圖2所示，舉例說明。

（1）當(dāng)我向訪問www.baidu.com域名時，首先PC會查看本機(jī)緩存有無該緩存，若沒有，查看Hosts文件有無記錄。若都沒有記錄，則向本地DNS服務(wù)器發(fā)起請求。

（2）本地DNS服務(wù)器收到請求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒有，則向根域名服務(wù)器，發(fā)起請求。

（3）根域名服務(wù)器收到請求后，返回該域名中頂級域名（.com）的域名服務(wù)器地址。

（4）本地域名服務(wù)器再向頂級域名服務(wù)器發(fā)起請求。

（5）頂級域名服務(wù)器收到請求后，返回該域名中二級域名（.baidu.com）的域名服務(wù)器地址。

（6）本地域名服務(wù)器會向該權(quán)限域名服務(wù)器發(fā)起請求。

（7）權(quán)限域名服務(wù)器收到請求后，就會查看存在的記錄，并將其結(jié)果返回給本地域名服務(wù)器。

（8）本地域名服務(wù)器接收到回應(yīng)后，會將記錄存入緩存，將解析結(jié)果返回給PC，至此，可以打開百度頁面。

（9）PC收到解析后的IP地址，就會訪問該IP地址。

（10）www.baidu.com的服務(wù)器接受到訪問后，就作出響應(yīng)。

3 斷網(wǎng)停服的結(jié)果分析

3.1未采取措施的結(jié)果分析

現(xiàn)在我們假設(shè)這么一種情形，我國遭遇到了斷網(wǎng)停服攻擊。在此說明一下，我國僅負(fù)責(zé).cn域名的管理權(quán)，我國引入的四個鏡像根，僅是提高了訪問速度，遞歸服務(wù)器對根域名服務(wù)器的訪問策略是初始輪詢，性能擇優(yōu)，所以大部分的域名，都能就近訪問根鏡像服務(wù)器。

那么，從圖3中就可以發(fā)現(xiàn)，遞歸服務(wù)器請求根域名服務(wù)器的第2、3步驟就斷了，在不考慮任何措施的情形下，由于遞歸服務(wù)器采取的是迭代查詢，所以自第2、3步驟以后的流程將全部失效。那么，就將在短期內(nèi)產(chǎn)生兩種后果。

（1）從國內(nèi)用戶的角度來說，我國的IP地址發(fā)出的所有請求，根域名服務(wù)器都將不會解析，這就意味著，國人將無法訪問除自身以及遞歸服務(wù)器緩存域名以外的所有域名地址，且該緩存時間較為短暫。整個網(wǎng)絡(luò)將陷入癱瘓狀態(tài)，無法提供相應(yīng)的服務(wù)。

（2）從國外用戶的角度來說，國外的任意訪問我國的域名請求，都將不會被根域名服務(wù)器解析，即國外將無法正常的訪問我國國內(nèi)的域名地址，這將會對我國以及整個世界造成極大的負(fù)面影響。

3.2 僅備份根域名服務(wù)器的結(jié)果分析

如圖4所示，當(dāng)訪問正常備份的域名時，流程分為幾個步驟。

（1）當(dāng)訪問www.baidu.com域名時，首先PC會查看本機(jī)緩存有無該緩存，若沒有，查看Hosts文件有無記錄。若都沒有記錄，則向本地DNS服務(wù)器發(fā)起請求。

（2）本地DNS服務(wù)器收到請求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒有，則向備份根域名服務(wù)器，發(fā)起請求。

（3）備份根域名服務(wù)器收到請求后，返回該域名中頂級域名（.com）的服務(wù)器地址。

（4）本地域名服務(wù)器再向頂級域名服務(wù)器發(fā)起請求。

（5）頂級域名服務(wù)器收到請求后，返回該域名中二級域名（.baidu.com）的域名服務(wù)器地址。

（6）本地域名服務(wù)器會向該權(quán)限域名服務(wù)器發(fā)起請求。

（7）權(quán)限域名服務(wù)器收到請求后，就會查看存在的記錄，并將其結(jié)果返回給本地域名服務(wù)器。

（8）本地域名服務(wù)器接收到回應(yīng)后，會將記錄存入緩存，將解析結(jié)果返回給我的PC，至此，將成功打開百度頁面。

（9）PC收到解析后的IP地址，就會訪問該IP地址。

（10）www.baidu.com的服務(wù)器接受到訪問后，就作出響應(yīng)。

但是，當(dāng)訪問新的不在備份服務(wù)器記錄內(nèi)的域名，解析流程如圖5所示。

如圖5所示，舉例說明。

（1）當(dāng)我訪問www.example.com域名時，先PC會查看本機(jī)緩存有無該緩存，若沒有，查看Hosts文件有無記錄。若都沒有記錄，則向本地DNS服務(wù)器發(fā)起請求。

（2）本地DNS服務(wù)器收到請求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒有，則向備份根域名服務(wù)器，發(fā)起請求。

（3）備份根域名服務(wù)器收到請求后，查詢到不存在該記錄，或者存儲這已經(jīng)失效的解析記錄，向本地DNS解析器，返回不能解析或者錯誤的IP地址。

（4）本地域名服務(wù)器則向PC返回解析后的結(jié)果。

（5）由于返回的是無法解析或者是錯誤的IP地址，導(dǎo)致 PC不可以訪問目標(biāo)DNS。

上述的流程是考慮了，我國采取備份根域名服務(wù)器文件措施的情形。從上述流程我們可以發(fā)現(xiàn)，在短期內(nèi)將會產(chǎn)生三種結(jié)果。

（1）從國內(nèi)用戶角度來看，當(dāng)實施斷網(wǎng)攻擊后，遞歸解析器與根域名服務(wù)器之間的連接將會停止，但是可以和現(xiàn)有的備份根域名服務(wù)器正常運行、通訊、解析，基本上的各個大型網(wǎng)站，如百度、阿里、騰訊等都是靜態(tài)IP，并不會影響正常訪問以及使用。同時，.cn域名下的子域名我國是擁有著管理權(quán)的，這就意味著這些網(wǎng)站是可以正常訪問的。但是，在只考慮本國服務(wù)器運行的同時，我們需要考慮服務(wù)器的緩存時間的問題，一旦緩存時間過短，本地緩存以及遞歸解析器的緩存過期，那么國內(nèi)網(wǎng)民將只能訪問 .cn域名下的各個域名，國外的域名，比如 .com和.net等頂級通用域名都將無法正常訪問，要明白頂級通用域名在現(xiàn)有的Internet域名中占有者相當(dāng)大的比重，這將直接影響國內(nèi)網(wǎng)民的正常網(wǎng)絡(luò)需求。

（2）從國外用戶的角度來說，只有一些擁有者頂級域的國家與我國保持著良好的關(guān)系，互相提供頂級域名服務(wù)器的地址，這將會實現(xiàn)雙方國家的正常訪問。但是，其他國家將仍然無法正常訪問我國的域名地址，我國也無法正常訪問他們的域名地址。

（3）除此之外，一旦備份的根區(qū)文件中的頂級域名服務(wù)器的IP一經(jīng)變動，根區(qū)文件將無法得到正常的更新，這就會導(dǎo)致國內(nèi)IP地址無法訪問相對應(yīng)的頂級域的域名地址。

3.3 備份根服務(wù)器和頂級通用域服務(wù)器的結(jié)果分析

由于我國引入了F根、I根、J根和L根的鏡像服務(wù)器以及 .com和 .net兩大頂級域的鏡像服務(wù)器，那么現(xiàn)在假設(shè)，我國備份了根服務(wù)器以及備份了相應(yīng)的通用頂級域 .com和 .net下的頂級域名服務(wù)器，那么國內(nèi)的DNS解析流程如圖6所示。

如圖6所示，舉例說明。

（1）當(dāng)訪問www.example.com域名時，先PC會查看本機(jī)緩存有無該緩存，若沒有，查看Hosts文件有無記錄。若都沒有記錄，則向本地DNS服務(wù)器發(fā)起請求。

（2）本地DNS服務(wù)器收到請求后，查看是否有該域名的記錄，如果有，則返回解析記錄，如果沒有，則向備份根域名服務(wù)器，發(fā)起請求。

（3）備份根域名服務(wù)器收到請求后，返回 .com的備份頂級域名服務(wù)器的地址。

（4）本地DNS解析器向備份頂級域服務(wù)器發(fā)起解析請求。

（5）備份的頂級域服務(wù)器接受請求，返回目標(biāo)域名www.example.com的IP地址。

（6）本地DNS解析器接收解析結(jié)果，存入緩存，并將結(jié)果返回給PC。

（7）PC接收到IP地址，發(fā)起訪問請求。

（8）目標(biāo)服務(wù)器收到訪問請求，并返回結(jié)果。

上述流程是考慮了，我國采取備份根域名服務(wù)器文件以及 .com和 .net頂級域名信息措施的情形。從上述流程可以發(fā)現(xiàn)，在短期內(nèi)將會產(chǎn)生兩結(jié)果。

（1）從國內(nèi)用戶的角度來看，首先，.cn下的各個域名都是可以正常運行并提供服務(wù)的。國內(nèi)注冊的 .com 以及 .net的域名也是可以正常運行，提供服務(wù)的。但是，一些未在國內(nèi)注冊的 .com以及 .net下的域名，在實施更新IP后，我國的備份頂級域服務(wù)器并不能收到相關(guān)的更新信息。這就會導(dǎo)致在域名更新變動后，我們都將無法訪問更新后的 .com以及 .net的相關(guān)域名。

（2）從國外用戶的角度來看，國外無法訪問國內(nèi)IP所綁定的域名地址，斷網(wǎng)停服是從根域名服務(wù)器處進(jìn)行封鎖，從目前的流程來看，對于普通用戶來說，這是無法繞過去的核心問題。所以，常規(guī)步驟將一直無法訪問我國域名地址。其中一個規(guī)避方法就是，鏡像我國的解析服務(wù)器或者將自身的本地解析器流程不再指向自身根域名，而是直接指向我國備份根域名服務(wù)器。

4 解決辦法

4.1 體系結(jié)構(gòu)

為了避免上述危害的產(chǎn)生，提出一套去中心化的、自主可控的新型DNS體系架構(gòu)（DDNS），致力于實現(xiàn)網(wǎng)絡(luò)主權(quán)平等、平等互聯(lián)的網(wǎng)絡(luò)世界。

這種基于區(qū)塊鏈的去中心化根域名服務(wù)方法及系統(tǒng)，設(shè)置基于區(qū)塊鏈的去中心化根域名服務(wù)系統(tǒng)，整體網(wǎng)絡(luò)架構(gòu)如圖7所示。

基于區(qū)塊鏈的去中心化根域名服務(wù)系統(tǒng)包括各國的本地域名子系統(tǒng)，每個本地子系統(tǒng)至少包括多個客戶端、遞歸解析器、本地服務(wù)器集群以及一個本地根服務(wù)器；骨干網(wǎng)區(qū)域是由各個國家頂級域名，包括通用頂級域名參與其中的聯(lián)盟鏈。聯(lián)盟鏈包括各個本地子系統(tǒng)中的本地根服務(wù)器；其中，任一本地子系統(tǒng)中，任一客戶端、本地根服務(wù)器以及聯(lián)盟鏈之間執(zhí)行頂級域名變更流程，流程分為幾個步驟。

4.2 工作流程

客戶端向本地根服務(wù)器發(fā)送域名變更請求。

（1）本地根服務(wù)器接收域名變更請求，驗證域名變更請求的合法性。

（2）本地根服務(wù)器在域名變更請求合法的情況下，向聯(lián)盟鏈發(fā)送決議請求。

（3）聯(lián)盟鏈中的各個本地根服務(wù)器接收決議請求，進(jìn)行決議，并在決議通過后，將域名變更寫入各自的區(qū)塊鏈。

（4）本地根服務(wù)器在決議通過后，向客戶端發(fā)送決議結(jié)果。

該系統(tǒng)執(zhí)行域名解析流程分為幾個步驟。

（1）客戶端向本地服務(wù)器集群發(fā)送域名解析請求。

（2）本地服務(wù)器集群接收域名解析請求，遞歸解析緩存，在緩存中不存在域名時，向本地根服務(wù)器發(fā)送域名解析請求。

（3）本地根服務(wù)器接收域名解析請求，解析域名解析請求，在域名存在時，向本地服務(wù)器集群發(fā)送域名位置。

（4）本地服務(wù)器集群接收域名位置，向目標(biāo)服務(wù)器集群發(fā)送解析申請，接收目標(biāo)服務(wù)器集群解析后發(fā)送的解析結(jié)果，并向客戶端發(fā)送解析結(jié)果。

子系統(tǒng)中本地根服務(wù)器以及聯(lián)盟鏈之間執(zhí)行根服務(wù)器密鑰變動流程分為幾步。

（1）本地根服務(wù)器向聯(lián)盟鏈發(fā)送密鑰變動請求。

（2）聯(lián)盟鏈中的各個本地根服務(wù)器接收密鑰變動請求，進(jìn)行決議。

（3）本地根服務(wù)器決議通過后，執(zhí)行密鑰變動操作，并廣播本地根服務(wù)器變動后的公鑰；聯(lián)盟鏈中的各個本地根服務(wù)器接收變動后的公鑰，進(jìn)行記錄。

本系統(tǒng)執(zhí)行域名記錄驗證流程分幾個步驟。

（1）客戶端向目標(biāo)服務(wù)器集群發(fā)送域名驗證請求。

（2）本地服務(wù)器集群接收目標(biāo)服務(wù)器集群發(fā)送的域名域，向本地根服務(wù)器發(fā)送驗證請求。

（3）本地根服務(wù)器接收驗證請求，向本地服務(wù)器集群發(fā)送驗證信息。

（4）本地服務(wù)器集群接收驗證信息，對驗證信息進(jìn)行驗證，并在驗證通過后，向客戶端發(fā)送驗證結(jié)果。

本系統(tǒng)考慮到通用頂級域的特殊性，特意獨立通用頂級域的申請流程，該執(zhí)行頂級通用域名的下屬域名申請流程分為幾個步驟。

（1）客戶端向本地根服務(wù)器發(fā)送獲取域名位置請求。

（2）本地根服務(wù)器接收獲取域名位置請求，解析獲取域名位置請求，向客戶端發(fā)送通用域名位置。

（3）客戶端接收通用域名位置，向通用域名集群發(fā)送域名申請請求，并接收通用域名集群發(fā)送的處理結(jié)果。

4.2 效果分析

（1）由于DDNS采用的是去中心化的架構(gòu)模式，實現(xiàn)了各個根服務(wù)器的數(shù)據(jù)一致性，不再出現(xiàn)現(xiàn)有的中心化模式，打破了現(xiàn)有的DNS中心化管理方式，明顯地削弱了美國手中的權(quán)利，避免了一家獨大的可能性的出現(xiàn)。

（2）基于區(qū)塊鏈技術(shù)構(gòu)建的底層區(qū)塊保存著DNS記錄，其實現(xiàn)了不可更改、可追蹤溯源的特性，極大地避免了出現(xiàn)惡意攻擊的可能性，以及出現(xiàn)了攻擊以后的責(zé)任追蹤，定位到具體的時間、地點、機(jī)器。

（3）本套新型DNS系統(tǒng)采用的共識機(jī)制，保證了各個根節(jié)點的平等，不存在權(quán)利的不同，所有的根節(jié)點的權(quán)利全部一致，保證了參與到該DDNS的各國的網(wǎng)絡(luò)主權(quán)。

（4）從上述的流程，可以看出，即使有個別根服務(wù)器斷網(wǎng)，或者停止活動，也不會影響其他根服務(wù)器的正常運行，這極大地保證了各國網(wǎng)絡(luò)的獨立自主。

5 結(jié)束語

目前來講，美國無疑是Internet的管理者，這是由現(xiàn)有的管理模式以及網(wǎng)絡(luò)架構(gòu)所決定的。但是，美國實施斷網(wǎng)攻擊的話，我國也不是毫無應(yīng)對能力，但是這都不是根本的解決辦法，如果要擺脫這樣的困境，需要我國提出并架設(shè)一套自主可控、去中心化、能夠?qū)崿F(xiàn)平等互聯(lián)的新型DNS網(wǎng)絡(luò)架構(gòu)。

基金項目

1. 論文得到中國科學(xué)院網(wǎng)絡(luò)測評技術(shù)重點實驗室資助；

2. 促進(jìn)高校內(nèi)涵發(fā)展—“信息+”—網(wǎng)絡(luò)空間安全一級學(xué)科創(chuàng)新實驗平臺建設(shè)項目（項目編號：5111823609）資助。

參考文獻(xiàn)

[1] 張宇，夏重達(dá)，方濱興，等. 一個自主開放的互聯(lián)網(wǎng)根域名解析體系[J].信息安全學(xué)報， 2017， 2（4）：57-69.

[2] 朱國庫，蔣文保.一種去中心化的網(wǎng)絡(luò)域名服務(wù)系統(tǒng)模型[J].網(wǎng)絡(luò)空間安全， 2017， 8（1）：14-18.

[3] Mockapetris P， Dunlap K J. Development of the domain name system[M]. ACM， 1988.

[4] Arends R. DNS security introduction and requirements[J]. RFC 4033 （Proposed Standard， 2005.

[5] 呂述望，丁嶠，李長紅.網(wǎng)絡(luò)停服戰(zhàn)的法律準(zhǔn)備——透析“美國2015網(wǎng)絡(luò)安全法”[J]. 網(wǎng)絡(luò)空間安全， 2017， 8（1）：8-13.