为什么不能在中国设立第十四个根域名服务器

为什么不能在中国增加第14个根域名服务器呢？

为了增加反应速度，网页访问的申请都是由一个数据包所完成的，而一个数据包的长度为256b，这就决定了一个数据包只能有13个块，这就从根本上限制了根域名服务器的数量，也就是说根域名服务器只能有13个。

如果中国要拥有自己的根域名服务器只有两个，一是从现在有根域名服务器的国家移植，二是改变网页访问的申请由一个数据包完成的现状。移植不可能，因为美国不会给，别的国家也不富裕。改变一个数据包的技术模式更不可能，因为牵扯范围和技术变动太大，不现实。

所以，现在中国不会有自己的根域名服务器，除非哪天互联网的底层支持技术发生彻底革命。

假设如果中国有根服务器会怎样？

DNS污染是中国GFW墙技术的一个组件，过滤工具通过在ISP边界路由器上检测DNS查询，一旦发现敏感的域名，如Google, twitter, facebook, youtube等，则回应给用户虚假的DNS响应，从而阻止国内用户对”敏感“网站的访问。由于目前DNSSEC还没有大规模使用，此种DNS注入污染就有了可乘之机。用户的client会先一步接受到被污染后的解析结果，从而忽略了永远慢了一步的正确应答。论文中的数据: 中国范围内的800个DNS解析客户端，99.88%受其影响。

不幸的是，这种看似只是只有国人才有的“福利”，也影响了其他国家的互联网用户。最早由智利的管理员发现：从智利和加利福尼亚发往 I.RootServers.NET 的DNS查询有时会发生应答“污染”。在分析了这次事故后最终发现很多其他国家都在遭受同样的DNS 污染，而问题的源头就在于有三个DNS ROOT server (F, I, 与 J) 的anycast instance 位于中国 。一旦DNS请求途径了中国，污染便无法避免的发生了，即便域名属于其他国家，而解析请求也不在中国，同样难逃污染。

那么是不是互联网的管理者们从中国 CNNIC手中撤回root server的权利，问题就解决了呢？答案是 不完全是。

论文统计了世界范围内的影响，在测试173个国家和地区中的43,842次DNS 递归查询中。由于G{过}F{滤}W的功劳，其中的109个国家受到了不同程度的递归查询DNS污染，伊朗受的影响最重，为88.20%。平均 为26.41% 。

这种DNS附属破坏主要发生在客户端与TLD授权服务器进行会话的过程中，尤其是.de和.kr的TLD.

当然解决DNS污染最根本的办法就是启用DNSSEC，在DNSSEC启用的情况下，被“污染”的DNS应答将会被client自动忽略掉，从而等待真正的应答到来。目前墙的技术应该无力破坏DNSSEC的防御，当然，道高一尺，魔高一丈，也许倒是墙也有了更先进的手段，谁知道呢。