為什麼域名根伺服器只能有13台呢？

01-03

大家把13個根伺服器受限於UDP報文 512位元組說的很清楚，但對於為何是512位元組卻沒怎麼談論，這裡談談我的看法。

看上圖，會發現Internet大多數網路介面MTU&>512，即使DNS報文 + UDP+ IP= 512+8+20=540，這個大小几乎可以在Internet上暢通無阻，而無需IP分片。

為何IP分片不好？

一個UDP報文如果因為size &> MTU，則會被IP層分成兩片多片，但是只有一片有埠號，由於其它分片沒有埠號，能否通過防火牆則完全看防火牆的臉色，所以對於能否通信成功是一個未知數。

如果防火牆網開一面，不檢查埠號，分片可以全部通行，到目的地再組裝到一起，IP層提交給UDP/DNS，一點問題沒有。但是防火牆的安全功能大打折扣，如何阻止非法的外來攻擊包？

如果防火牆嚴格檢查埠號，則沒有埠號的分片則統統丟棄，造成通信障礙。

所以選擇一個合適的UDP size至關重要，避免分片。

有同學說，對於MTU &<512物理介面的DNS如何處理？這個其實好辦，這些只是接入層介面，用於接入終端用戶，用戶的DNS請求是請求其上一級DNS伺服器做遞歸查詢（告訴我最終查詢結果），不會直接去根伺服器查詢DNS，所以這個問題可以迎刃而解。

看了一圈答案，說實話還是一頭霧水。

大家都提到了受限於 UDP 512 Bytes 的影響，但具體是怎麼一個結構得出13這個數字，覺得沒有一個回答講清楚的。

@小小郭說位元組長度無法驗證，這個是不對的，既然是數字，一定能計算出來個緣由。

Google 了一番，覺得這篇 Blog 講的最清楚。

Why 13 DNS root servers?

作為翻譯搬運工，總結來說是：

12 Header + 5 Question section + 31 Resource record + 15 * n (Other resource record) + 16*n (A record in additional section)

15的組成：

第一個 Resource record 要是全場度，nameserver name需要20bytes. 加上前面 root label 之類的信息後是 root-label: 1 byte + ttl: 4 bytes + class: 2 bytes + type: 2 bytes + rdlength: 2 bytes + 20 = 31 bytes.

之後的 resource record 的 nameserver name 可以被壓縮(DNS compression)，只需要4bytes. 需要：11 + 4 = 15bytes.

16的組成：

Additional section 類似情況，ttl: 4 bytes + class: 2 bytes + type: 2 bytes + rdlength: 2 bytes + address: 4 bytes = 14 bytes. 外加被壓縮的 nameserver name 2 bytes. = 16 bytes

最後512bytes 的分配為: 12 + 5 + 31 + 31*n = 512

n = 14.96

當初設計的時候，安排了13個，空出了以後位元組空間給以後的 feature 使用。

QED.

希望這樣有說清楚。

要知道為什麼只有13個根域名伺服器，就要了解DNS（Domain Name System，域名系統）的整個原理才行。

DNS是計算機域名系統 (Domain Name System 或Domain Name Service) 的縮寫，它是由域名解析器和域名伺服器組成的。域名伺服器是指保存有該網路中所有主機的域名和對應IP地址，並具有將域名轉換為IP地址功能的伺服器。其中域名必須對應一個IP地址，一個域名只能對應一個IP地址（比如訪問一個域名不可能向兩個ip地址請求），而IP地址不一定有域名且可以對應多個域名。域名系統採用類似目錄樹的等級結構。域名伺服器為客戶機/伺服器模式中的伺服器方，它主要有兩種形式：主伺服器和轉發伺服器。將域名映射為IP地址的過程就稱為「域名解析」。

①DNS是應用層協議，client端（一般指瀏覽器）構建DNS查詢請求，依次被傳輸層，網路層，數據鏈路層等封裝傳送到達DNS伺服器端，最終client端接收到DNS響應消息

②DNS主要基於UDP運輸層協議，這裡解釋下為什麼使用UDP（User Datagram Protocol）這樣的無連接的，盡最大能力交付的不可靠數據連接，而不是使用TCP(Transmission Control Protocol 傳輸控制協議)這樣的面向連接的可靠數據連接。

一次UDP名字伺服器交換可以短到兩個包：一個查詢包、一個響應包。一次TCP交換則至少包含9個包：三次握手初始化TCP會話、一個查詢包、一個響應包以及四次分手的包交換。

考慮到效率原因，TCP連接的開銷大得，故採用UDP作為DNS的運輸層協議，這也將導致只有13個根域名伺服器的結果。

只會在UDP報文中表明有截斷的時候使用TCP查詢。

③為什麼只有13個根域名伺服器？等會再寫

---------------------分割線-------------------------

原因似乎是UDP數據包512位元組（為什麼是512位元組又是一個故事）限制了信息量，又因為要UDP報文中包含所有的根伺服器信息（為什麼？怎麼包含的？）所以只能有13個，但是我查了很多資料，沒有相關敘述。有大神知道求指導

通常網頁訪問的申請都是由一個數據包完成的，而一個數據包的長度為256B位元組，這就決定了一個數據包只能有13個塊，這從根本上限制了根域名伺服器的數量，也就是說根域名伺服器只能有13個。

這裡面有很多13：

根伺服器有13個
一個名字寫NS伺服器，最多允許寫13個NS（僅用於說明在頂級域或根域做NS授權）
一個NS名字對應IP地址，最多允許寫13個（僅用於說明在頂級域或根域對NS名字做指向）

註：在CN註冊局，上述的13個則調整為6個。

為什麼13個？像樓上說的，當時一個udp包是512位元組，為了把13個都放進去，限制了13個而不是130個。具體rfc或文檔？還沒找到，找到再補充。

當然，現在很多dns系統已經支持使用tcp查詢了，可以接收和響應更大更大更大大的包。

http://compnetworking.about.com/b/2008/11/19/why-there-are-only-13-dns-root-name-servers.htm

其他同學指出了回答中的一些問題，我重新修改了下回答，謝謝。

是13個根域名(從a到m a.rootservers.net,b.rootservers.net,...,http://m.rootservers.net )，不是13台伺服器，伺服器到後面其實有很多了(到2016年2月全球有588個地點放根域名伺服器，當前分布參考 Root Server Technical Operations Assn )。

所以問題變成了：為什麼只有13個根域名？

這個...我也不知道..

如有知曉的，煩請告知。

看了其他回答，其中有兩個說法我認為是有問題的，這裡指出下。

說法一:

一個數據包的長度為256b，這就決定了一個數據包只能有13個塊，這就從根本上限制了根域名伺服器的數量

整段話都是錯的：

1.一個數據包的長度不止256b。

2.只能有13塊？這個塊是什麼意思？劃分的依據是什麼？

所以我認為這個說法是無依據的，不可信的。

說法二：

一個UDP數據包的大小為512位元組，一個IPv4的大小為32個位元組（包含IP、埠、協議等），13個IPv4的大小為416個位元組，剩下的96個位元組，用於存放其他信息。

有兩個明顯的錯誤：

錯誤1：普通的DNS報文中只包含了ipv4地址。沒包含ip埠，ip協議這些。

錯誤2：ipv4地址的長度是32位(4位元組)，不是32個位元組，注意單位不一樣。

我們可以看下DNS的報文格式，順便計算下需要多少位元組。

這5個內容可劃分為三部分：頭部(header)，查詢部分(Question)，應答部分(Anser,Authority,Additional 這個三個格式一樣，一個報文中不一定都出現)。

header 頭部，包含12個位元組，格式如下:

Question 查詢部分,含三個欄位:QNAME(可變長度),QTYPE(2個位元組),QCLASS(2個位元組),格式如下

Anser,Authority,Additional 應答部分,格式如下

這部分的各欄位對應如下，必要位元組有2+2+4+2=10位元組

匯總下這三部分的各位元組使用

頭部 12位元組

查詢部分 QTYPE 2位元組 + QCLASS 2位元組 + CNAME最大63位元組 = 67位元組

應答部分 一個ip長度是4位元組，加上必須的10位元組，則是10+13*4=62位元組

總共 12+67+62=141位元組

如果應答部分都算上則是 12+67+62*3=265位元組

評論中指出了這種情況不存在，則以兩部分的情況來算(這種情況是有的)： 12+67+62*2=203位元組

通過計算髮現，必要位元組是遠遠少於512位元組的，加上報文的擴展欄位也還有富足的空間，那應該可以再放多幾個ip，只要不超過512就行了。

所以還是解釋不了為什麼是13個。

或者這個計算方法也有問題的，如果能抓個根域伺服器間通信的包來看看，情況應該馬上明了吧。

不是13個。準確的說是13個集群。

第一次玩，好緊張...

bbs.chinaunix.net/thread-1490948-2-1.html

這邊13樓解答的比較好。之前我也一直搞不明白，看了就懂了。

有時候某些域名(http://www.lengmenyuming.ir)的確不會在 dns（比如114.114.114.114）緩存裡面，那麼只會告訴你13台（實際上並不是13台）根dns的ip地址（這13個ip地址一般不變，但是曾經換過哦，我猜測就是這個原因才會返回13 個ip的），然後你去問其中某台，假設是 A，當然，A是不會告訴你這個域名的具體 ip的(13台根伺服器不負責具體解析，只負責指路)，而是再讓你去找 .ir 對應的頂級dns伺服器，然後它會告訴你 http://www.lengmenyuming.ir 對應的ip（.ir對應的頂級域名是否負責具體解析我忘了，如果它也不負責具體解析，那麼還會繼續返回能具體解析的dns ip）。對了，上述解析過程，一般是由114.114.114.114 代你完成的。很久之前看過，有點忘了。。。但是為什麼只有13台，應該能說得通。

大家都不能畫個圖么……純文字有點難以理解。