摘要
- PANDI 是印度尼西亚
.id国家顶级域的非营利注册局,并非销售常规零售注册的注册商,也不是云服务商或托管服务商。印度尼西亚法规、PANDI 当前说明以及 IANA 根区授权都汇聚在这一定位上。 - 实时网络证据指向 AS132647。在 2026 年 7 月 15 日的 RIPE NCC 视图中,它宣告了 8 个 IPv4
/24和 7 个 IPv6/48,且具有完全可见性;而 AS56088 则无任何宣告,且在该数据中最后一次出现是在 2024 年 2 月 15 日。 - PANDI 曾描述过广泛的 anycast 覆盖、一套设计容量为 200 万个域名的注册系统、DNSSEC、独立的 APNIC 辅助服务以及节点扩展历程。这些事实支持其具有实际运营实质,但公开资料并未揭示当前的机架地址、供电馈给、区域生成拓扑、数据库复制边界或经过测试的恢复目标。
- 2023 年的三宝垄 DNS 事件既展示了 anycast 的价值,也体现了其局限性。PANDI 和 APJII 撤回了受影响的 BGP 路径,为受影响用户恢复了服务,随后在现场修复了节点。这是在路由层面进行的故障转移实践,并不能证明每个城市、设施和控制系统在物理上都是独立冗余的。
名称中的号码并非服务于.id 的网络
从标签PANDI-ID起步的基础设施研究人员很容易找到 AS56088。APNIC 注册信息是真实的:该自治系统于 2011 年注册,在注册数据库中仍标记为活跃,且将 PANDI 列为持有者。然而,注册与运营是不同的问题。RIPE NCC 对 AS56088 的路由状态视图显示,在 2026 年 7 月 15 日未观察到任何 IPv4 或 IPv6 前缀。其历史字段记录了最后一次宣告203.119.112.0/24是在 2024 年 2 月 15 日。
现在跟随 DNS 而非标签。IANA 对.id的授权记录列出了五个权威名称:b.dns.id、c.dns.id、d.dns.id、e.dns.id和ns4.APNIC.net。四个 PANDI 名称解析为位于103.19.176.0/22、45.126.56.0/22、2402:ee80::/32和2001:df5:4000::/48内的地址。APNIC 记录将这些资源与 PANDI 关联。当前路由观察显示,其可见的/24和/48宣告位于 AS132647 之后,而非 AS56088。
第二个自治系统并非遗留的残余。APNIC 对 AS132647 的 RDAP 记录将其称为IDNIC-PANDI-AS-ID,标记为活跃,并记录了最近一次变更为 2026 年 6 月 3 日。RIPE NCC 路由状态结果统计到 8 个可见 IPv4 前缀共 2048 个地址及 7 个 IPv6/48。该结果中每一个 RIPE RIS 对等体都看到了 IPv4 和 IPv6 空间。这是当前公共路由足迹的有力证据。
这一区别的重要性在于,ASN 可在流量迁移后仍作为管理对象存在;而且已注册的导入或导出声明与活跃的 BGP 路径并不等同。负责任的结论是狭义的:AS56088 依然存在,但目前并未实际承载.id的传输;而 AS132647 做到了。导致这一划分的原因、迁移历史以及 AS56088 保留的任何私有功能,在公开记录中均未披露。
这使得 PANDI 成为一个有用的案例,说明为何基础设施身份应通过控制权、地址分配和实时运营来综合判断,而非仅凭单一名称。重要的对象并非目录中最先出现的那个 ASN,而是控制注册局政策和系统的机构,以及实际提供权威服务的网络和供应商集合。
国家注册局,而非零售托管商
PANDI 的身份有着异常坚实的根基。其自身的机构描述称其为一个非营利协会,是印度尼西亚顶级域的注册局。它援引了 2014 年第 806 号部长令(后经 2023 年第 218 号部长令更新)。独立的根区记录将 Perkumpulan Pengelola Nama Domain Internet Indonesia 列为.id的管理者。一份ICANN 重新授权报告记录了 PANDI 如何在印度尼西亚政府授权下运营多年后于 2013 年成为赞助组织。
印度尼西亚法律明确划定了角色边界。2013 年第 23 号部长条例定义注册局为负责管理、运营和维护电子域名系统的运营商,并区分了为最终用户提供注册服务的注册商。该条例赋予注册局政策制定、基础设施、监督和争议解决职责,并要求在注册局停止运营时做出连续性安排。
PANDI 以更通俗的语言解释了商业边界。其注册局、注册商和注册人指南指出,注册局通常不直接向公众营销和销售顶级域名;经认证的注册商向注册人提供注册服务。PANDI 维护共享的权威,认证注册商并治理域名空间。零售支持、捆绑虚拟主机、电子邮件、网站建设和客户计费可能由注册商提供,但这些并不能证明 PANDI 本身出售计算能力。
正因如此,云服务分类不能成立。IANA 授权、印度尼西亚法律框架、PANDI 现行使命、其注册局政策以及所观察到的 DNS 网络,均不支持 PANDI 主要是一家 IaaS、VPS、裸金属或托管服务商的结论。它运营的是关键互联网基础设施和受监管的机构控制面。其注册局之外的公开产品,如短链接和域名滥用服务,并不改变.id角色的性质。
这一区别并非语义层面。托管客户关心虚拟机在何处运行以及如何导出数据。而注册局用户需要知道域名能否创建、续费、转移、授权和解析;区域是否保持真实性;注册商故障能否被遏制;以及某一路由或城市的故障是否不会影响其他可用的权威。PANDI 的基础设施应当对照这些依赖关系来评估。
PANDI 实际控制的范围
注册局的运营面包含若干层次。第一层是权威注册数据库:域名对象、注册商归属、状态码、域名服务器、过期和安全授权数据的标准记录。PANDI 称其自建平台为 Sistem Registri Mandiri,即 SRM。注册商通过该系统进行交易;公众通过 WHOIS 和 RDAP 查看部分注册数据。PANDI 当前的 RDAP 端点出现在 IANA 授权记录中,确认注册数据服务是公共边界的一部分。
第二层是区文件生成。注册数据必须转换为权威 DNS 服务器所发布的.id区文件。即使零售交易成功,若最终授权未能到达区文件、区文件生成延迟或辅助服务器收到不一致的版本,都是无效的。公开报告提到了这些服务,但未记录生成链、签章器位置、传输拓扑或最大传播间隔。这些仍属运营上的未知数。
第三层是权威 DNS。根授权中的五个名称是逻辑服务标识。其中四个是 PANDI 名称,一个是 APNIC 的ns4.APNIC.net。解析器可以向任何响应的权威查询.id数据。多名称、IPv4 和 IPv6、anycast 路由以及外部辅助服务器带来了多种多样性,但它们并不相互等效。不同的主机名仍可能共享来源网络、软件镜像、签章系统、服务商或设施。
第四层是密码学完整性。在本次研究截止时,DNSViz 对.id的分析揭示了 DS 至 DNSKEY 的认证路径,并为签名链提供了独立的检查面。DNSSEC 保护 DNS 数据的真实性和完整性;它不能保持服务器在线、增加带宽或修复坏的授权。因此密钥管理既是安全控制,也是故障域。
第五层是注册治理。PANDI 认证注册商,设定技术和运营要求,监督合规情况,处理投诉并提供争议解决机制。其2024 年注册商自我评估报告称有 25 家经认证的注册商参与了该计划,结果参差不齐,平均合规得分为 85.92%。这些注册商构成了分布式的客户界面,但 PANDI 仍是它们背后共同的注册局依赖项。
最后还有支持服务:帮助台、监控、安全评估、域名滥用情报和争议管理。这些之所以重要,是因为注册局事件不仅是数据包问题。当注册商关闭、转移卡住、滥用争议或注册数据错误时,注册人可能需要人工升级。韧性包括在压力下执行可控变更而不降低安全性或失去问责制的能力。
授权的 DNS 有五个名称但不止五台机器
IANA 的五名称授权是稳定的公共合约。它不会透露机器台数。PANDI 反复描述过这些名称背后更大的单播和 anycast 部署。其2022 年度报告称其在雅加达、班达楠榜、巴厘巴板、万隆和三宝垄安装了国内节点,加上此前位于雅加达、茂物、日惹、泗水、巴厘和望加锡的节点。它还列出了在印度和韩国新设的海外节点,以及美国、荷兰、澳大利亚、中国和俄罗斯已有的节点。
一份较晚的PANDI DNS 解析演示描述了 17 个国内节点和 23 个海外节点。它将 PANDI 名称与多个城市和国家关联,并单独列出了ns4.APNIC.net的 APNIC 位置。它还提到了 BIND9、Knot、NSD 和 CoreDNS 研究,以及在更广泛的 DNS 和 BGP 环境中的 BIRD、Quagga 和 FRRouting。这是一项有意义的披露,因为它表明一个逻辑名称可能散开到多个系统和路由会话之上。
但这不是一份设施清单。一个城市标签并不能告知读者哪个数据中心容纳该节点、谁拥有机架、哪家运营商提供交叉连接、两个所列节点是否共享一栋建筑,或它们的电源和管理网络是否独立。这一统计还合并了不同的运营边界:APNIC 的辅助服务器即便服务于.id区,也并非 PANDI 运营的机器。演示中的位置可能在发布后发生变化,而 anycast 将用户引导至路由选择的实例,而非固定的地理端点。
公开路由图景强化了地理和服务商分散的存在,但未定位机架。RIPE NCC 对 AS132647 的宣告前缀结果返回了 7 月上半月可见的 8 个 IPv4/24和 7 个 IPv6/48。通往103.19.179.0/24和45.126.57.0/24的 BGP 路径在公共收集器中显示了不同的相邻网络集合。这与多供应商 anycast 交付是一致的。但这并不能证明每个节点都是活动的、健康的或在物理上是分离的。
PeeringDB 揭示了披露上的缺口。其AS132647 档案标识了 PANDI,提供了 NOC 和滥用联络联系人,并描述了开放策略,但未列出任何公共交换点和互联设施。PeeringDB 是自愿性的,因此空的设施字段并不否定观察到的 BGP 连通性。它们意味着公众无法使用该档案来绘制 PANDI 的机架地图或验证声称的站点多样性。
三宝垄事件展示了故障转移的运作方式
2023 年 6 月 15 日,PANDI 发布了一份异常具体的关于三宝垄 DNS 事件的通知。通知称,三宝垄 anycast 服务器上的 BIND9 服务无法正常运行。通过印度尼西亚互联网交换中心(IIX)访问.id的部分互联网服务提供商受到影响。PANDI 联系 APJII 三宝垄团队断开 BGP 连接,随后受影响的访问恢复正常。PANDI 随之进行了现场修复并恢复了 BGP 路径。
该事件揭示了一种真实的恢复机制。不健康的 anycast 实例可从路由中移除,使查询选择其他可用路径。这相比单一固定服务器故障后仍继续吸引流量要优越得多。它还展示了一个运营边界:PANDI 依赖 APJII 人员控制交换侧的连接,并依赖本地人员进行物理或系统修复。
不应将该通知曲解为全国性.id故障的声明。PANDI 描述了使用特定交换路径的部分 ISP 受影响,而非全面故障。其他 DNS 节点继续提供服务。同样不应说网络是自动愈合的。该描述涉及人员协调、BGP 撤销和现场工作。因此恢复速度取决于检测、正确诊断、可联系的人员以及变更路由的权限。
该事件还将软件冗余与路由冗余分开。一个守护进程故障发生在一个节点上。BGP 仍能将用户吸引过来,直到运营方撤销路径。anycast 可用性需要健康监测,能够自动抑制坏路由,或足够快地告警人员进行处理。公开资料并未说明 PANDI 目前是否使用自动路由健康检查、多少查询失败会触发撤销、每个节点是否有带外路径,或路由恢复是否需要手动批准。
对用户而言,教训不是 anycast 失败了,而是 anycast 是由 DNS 软件、路由策略、交换关系、监控和人员组成的运营系统。同一 IP 地址可以导向不同物理实例,但共享的配置错误仍能同时影响多个实例。地理分散可应对某些故障,但无法消除共用的软件、签章、配置或治理风险。
AS132647 提供了可见的路由多样性
AS132647 当前的公开记录比典型的小公司 ASN 要强大得多。APNIC 将该 ASN 及其地址块关联至 PANDI。RIPE RIS 两个地址族均可见。命名的权威 IPv4 地址落在可见的 PANDI 前缀内,等效的 IPv6 地址也进行了公共路由。一个采样的RIPE NCC 对103.19.179.0/24的 BGP 状态视图包含了数百条以 AS132647 结尾的收集器路径。
这些路径有多个倒数第二个网络。在该样本中,大量路径通过 AS29802 和 AS20473 到达,而其他路径使用了不同的印度尼西亚和国际 ASN。对45.126.57.0/24的单独视图显示了不同的相邻 AS 组合,包括 AS58396、AS56630、AS34927 和 AS38496。这一模式与独立的 anycast 部署和多个交付供应商一致,但仅凭路由快照无法确立相邻 ASN 的持有者名称或商业角色。
将这些观察到的相邻路径称为合约上的上游更为安全。收集器在某时间某观察点看到的是被选中的路径。它不揭示商业协议,无论是付费转接、结算对等、远端对等还是托管 anycast 安排。它也不能证明路径使用了物理上分离的管道、入口或电力域。
路由授权增加了另一层。RIPE NCC 对103.19.177.0/24的 RPKI 验证结果在观察时刻发现了 AS132647 的有效路由来源授权。这仅是对一个采样 IPv4 前缀的证据,并非对所有前缀的审计。对于该路由,验证降低了执行路由来源验证的网络接受未授权来源的可能性。但它不能阻止 PANDI 宣告错误路由、授权供应商错误配置传播或有效路由背后的应用故障。
APNIC 外部权威创建了有用的分隔。RIPE NCC 网络信息结果将授权的 NS4IPv4 地址和IPv6 地址置于 AS18366 之后,而非 AS132647(观察时刻)。APNIC 的服务状态页面将 NS4 标识为面向区域注册局和国家顶级域的 anycast 服务,并在研究期间显示为正常运行。这意味着至少有一个根授权的权威跨越了组织和网络边界。剩下的未知数包括区数据如何在 PANDI 与 APNIC 之间传输、验证和监控,以及传输停止时的旧数据行为。
DNSSEC 使控制面更安全,也更不容出错
DNSSEC 对.id至关重要,因为国家命名空间是缓存投毒和未授权修改的高价值目标。根区的 DS 记录告诉验证解析器应信任哪个.id密钥;子区中的签名随后验证答案。PANDI 还将 DNSSEC 支持纳为注册商认证的一部分,并持续举办政府和注册商培训,包括一次2026 年 2 月的 DNS 和 DNSSEC 研讨会。
安全收益附带了运营约束。如果 PANDI 发布的签名过期、失去对签章密钥的访问,或因不正确地协调根区进行密钥轮转,验证解析器可能会拒绝原本可达的数据。路由可能健康而答案却验证失败。反过来,有效的 DNSSEC 链条对底层 Web 服务是否安全或注册名称是否滥用不作任何说明。
公开证据确认了签名的存在,但未描述密钥保管。资料未说明密钥签章密钥是否保存在硬件安全模块中、一次轮转需要多少授权人员、签名是在线还是离线进行、备份密钥材料存储何处,或上一次完整的恢复演练在何时。这些细节并非全都需要公开,但独立的保证可以确立控制质量,而无需暴露敏感的实施方案数据。
注册商边界在此也很重要。希望为子域启用 DNSSEC 的注册人通常通过注册商将 DS 数据发送至注册局。注册商接口、SRM 事务、验证逻辑和.id区发布必须全部保持正确的值。PANDI 的认证要求规定注册商系统必须支持 DNSSEC 管理,且工作人员应具备相关专业知识。这是一个有用的基准,尽管2024 年自我评估结果显示各注册商的合规成熟度并不均匀。
因此运营观察点应是端到端的:根区 DS、.id密钥、签名、子区 DS 发布和注册商处理。仅统计已签名域名的数量无法证明密钥生命周期管理是安全的。更强的公开度量应报告成功验证情况、轮转演练、DS 事务错误率以及通过 DNSSEC 技术测试的认证注册商比例。
注册局容量以域名和事务衡量,而非虚拟机
PANDI 在 2025 年底表示,.id已达到 1,431,960 个注册域名。此项带日期的公告提供了一个相较于没有观察时间戳的实时计数更清晰的基线。它还设定了 2026 年 150 万个域名的目标。已安装的注册局和 DNS 系统必须支持这一规模,但域名数量并不等同于服务器容量。
PANDI 的2022 年度报告描述了一次旨在容纳至少 200 万个.id域名的 SRM 升级。其中提到了主-主服务器方案、注册局连接速度达到 1 Gbps、本地服务器连接速度高达 100 Gbps 以及额外的防火墙。在其对 2023 年的回顾中,PANDI 再次指出 SRM 已得到改进,可容纳 200 万个域名,并进行了架构变更及数据和应用程序优化。随后一份2024 年 2 月的通知记录了已完成的基础设施迁移和迁移后的配置工作,并监控到事务正常进行。
如果 200 万的设计数字仍然有效且 2025 年的域名计数可直接比较,则已注册域名约占该名义容量的 71.6%,在达到所述阈值前还有约 568,000 个域名空间。这一算术计算是有用的,但并不完整。它未计入为审计而保留的已删除对象、联系人、主机、历史记录、DNSSEC 记录、事务突发、报告副本、争议扣留或数据库开销。也未说明 200 万是经测试的最大值、工程目标还是舒适运营水平。
权威 DNS 容量则是另一回事。查询负载取决于解析器行为、否定回答、TTL、攻击以及特定名称的流行度,而不仅仅是已注册域名的数量。一个正常的流量容量充足的 anycast 节点可能在分布式拒绝服务攻击期间饱和。公开的节点数量和路由多样性暗示了一种吸收和分发负载的策略,但目前未披露当前的每秒查询容量、正常利用率、攻击余量或每节点限制。
硬件采购仅提供历史片段。一份2022 年 3 月的 PANDI 规范为三台 DNS 服务器要求八核处理器、32 GB 内存、镜像的 480 GB 固态硬盘和双电源。这证明了一个具体的设备采购计划,并非安装的总机队或当今的可用容量。这些机器可能已被部署、替换、重新调配或补充。绝不应以某基准值乘以采购数量来虚构服务容量。
因此,实用的容量结论是混合的。PANDI 透露了一个超过过往域名计数的注册局设计规模、一个可观的 DNS 节点主张以及可见的多供应商路由。但未透露足够的信息来计算注册局事务余量、权威查询余量、存储增长、失去一个主要站点后的故障转移容量,或在维护期间机队中可同时使用的比例。
物理韧性仍是最大的公共未知数
在IANA 记录中的办公地址是位于丹格朗的法律和行政联络点。它不是生产数据中心的证明。PANDI 的2020 年年度报告称其将基础设施从 Tier 3 迁移至 Tier 4 数据中心,但未指明供应商、地址、认证范围、电力设计或这些标签是否指代正式认证。2022 年年度报告和2024 年 DNS 演示仅识别城市和国家,而非建筑物。
这使得重要问题尚无答案。SRM 是两个地铁区域分开放置,还是仅在一个园区内的两个房间?主-主描述的是跨故障域的主动写入,还是一个站点内的服务器?注册局数据库、区文件生成器和 DNSSEC 签章器是共址的吗?国内 anycast 节点是否从一个中央控制器接收配置?哪些海外节点是 PANDI 自有的硬件、租赁的虚拟系统、托管的 anycast 实例或合作伙伴运营的辅助服务器?
电源冗余同样不透明。服务器中的双电源只有在连接到独立的配电路径时才有帮助。一个 Tier 标签并不确立客户实际的机架配置、维护历史或燃料安排。物理多样性需要有独立的市电路径、发电机、冷却、防火分区、运营商入口和本地支持安排的证据。这些都无法从 BGP 推断。
因此,应将该公开地图解读为服务存在图,而非线缆或设施图。在2024 年演示中多次出现的雅加达可能表示多个节点,但并不能证明多座建筑。若干 DNS 名称下出现的美国可能表示供应商多样性,但并未指明城市或共用的供应商。PANDI 在2023 年报告中新增的开罗和圣保罗,显示了当时日期的扩张;它们并不确立 2026 年 7 月的当前运营状态。
外部 APNIC 服务器是最明确的独立边界,因为它属于一个独立的组织和 ASN。即便如此,逻辑独立并不等同于完全的故障独立。APNIC 仍需要一份真实、及时的区副本。PANDI 生成的坏区可能被每个辅助服务器忠实地分发。DNSSEC 签名错误可被全球复制。注册局最重要的共享依赖项很可能在 anycast 边缘的上游。
这并非主张公开机架坐标或敏感的安全设计。注册局可通过经审计的控制描述、广泛的都市区域披露、恢复测试结果、依赖关系分类和总体可用性来展示其韧性。当前的缺口在于,公开证据在扩张上丰富,而在经过测试的故障域上却很稀薄。
注册商多样性不等于注册局多样性
PANDI 的认证注册商在零售层为用户提供了选择。它们在价格、支持、捆绑服务和客户体验上竞争。它们也创造了运营备选:如果一家注册商退出,域名原则上可转移至另一家。PANDI 的2025 年关于 PT Indonesia Satu Tujuh 认证终止的通知描述了针对受影响域名的转移服务,说明了注册局的连续性角色。
但所有认证注册商最终都依赖 SRM 和.id权威系统。25 个注册商并不等同于 25 个注册局。中央注册数据库故障可停止整个市场的创建、续费、更新和转移操作,即便现有域名继续通过已发布的区文件解析。反过来,一家注册商的计费中断可能阻断其客户,而不影响 DNS 或其他注册商。
PANDI 的公开认证条件要求注册商申请者在印度尼西亚运营应用、数据库、Web、电子邮件和 DNS 服务器;维护备份;支持 DNSSEC;提供最低人员配备;并制定无法继续运营时的域名转移计划。这些要求将部分连续性责任置于边缘。2024 年自我评估之所以有价值,是因为它承认了书面要求需要验证。
故障模式有不同的时钟。如果注册商门户中断一小时,客户可能不便,但现有域名仍可解析。如果一直到过期或紧急安全变更时仍不可用,影响就会增大。如果 SRM 不可用,注册和变更可能暂停,而 DNS 继续运行。如果区文件生成或权威 DNS 故障,即使注册局记录完好,用户也可能失去解析。恢复计划应分别说明这些层次。
注册人保护还取决于数据可携带性。注册商退出需要准确的归属记录、验证控制和防止劫持同时允许合法转移的流程。PANDI 的注册政策及公开的退出通知表明它认识到这一责任。公开指标可以进一步报告转移完成时间、未解决的退出案例,以及紧急流程是否在注册商实际失败前进行过演练。
主权并非意味着每个 DNS 数据包都留在印度尼西亚境内
PANDI 将.id描述为印度尼西亚的数字身份,法律框架将注册局责任置于印度尼西亚权威之下。这是一种有意义的主权形式:政策、授权和机构问责都依附于印度尼西亚协会和政府框架。但这并不意味着每个区文件副本或每次查询都留在国境之内。
anycast 特意将服务放置在靠近用户的地方。PANDI 的报告描述了分布在亚洲、欧洲、美洲和澳大利亚的节点,而 APNIC 的独立权威本身也是全球分布的。印度尼西亚境外的解析器可能连接到就近的海外节点。印度尼西亚境内的解析器也可能在路由策略更优时选择海外路径。BGP 选择路径,而非国家政策目标。
对于数据本地化分析,这一区别应当明确。公开的 DNS 区数据本就是为广泛服务而设计的,它们并不等同于注册局的非公开客户和运营记录。公开证据未定位权威注册数据库、备份、日志、滥用数据、争议文档或密钥管理系统。因此不能确认所有敏感注册数据都保存在印度尼西亚境内,也不能确认它们离开了境内。
该架构可以同时支持国家控制和全球可用性。注册局可将标准写入系统和敏感数据保留在国内控制下,同时将签名的公开区数据分发到海外辅助服务器。这种设计是自洽的,但不能在没有证据的情况下假设。运营方在讨论本地性时,应当区分标准注册数据、公开区副本、监控遥测数据和支持记录。
该话题也延伸到注册商层面。PANDI 的认证页面为申请者设立了印度尼西亚服务器和数据中心的要求,而零售服务商可能将其他服务捆绑在不同的位置。一个.id名称本身不说明相关的网站、电子邮件或客户数据托管在何处。国家命名空间身份和工作负载本地性是分离的属性。
可信的故障路径
第一条故障路径是坏的 anycast 实例。PANDI 的三宝垄恢复通知展示了机制:DNS 守护进程失败,路由继续吸引部分用户,监控发现问题,运营方撤销 BGP 直到修复。相关的控制措施包括感知服务的健康检查、快速路由抑制、本地访问、配置一致性和谨慎的重新引入。
第二条是路由或供应商故障。RIPE NCC 路由状态视图显示 AS132647 通过众多观察路径到达公共收集器,减少了对单一可见路径的依赖。然而采样的前缀显示了不同的相邻 AS 集合,单个节点的备选路径可能比 ASN 层面的图景所显示的更窄。商业 anycast 主机、交换中心、转接网络或路由服务器均可能故障。恢复取决于每个前缀在何处宣告以及另一健康实例是否仍对受影响解析器具有吸引力。
第三条是共同的配置故障。畸形的区文件、错误的访问控制、损坏的软件版本或坏的路由策略可能传播到众多节点。地理复制随之扩散错误。对于此类事件,分阶段部署、多样化实现、发布前验证和快速回滚比节点数量更为重要。PANDI 的2024 年演示提到了几个 DNS 软件家族,但并未说明哪些生产名称使用何种软件,或更新是否分阶段进行;因此实现多样性仍未经证实。
第四条是区文件生成、签名或传输故障。这介于 SRM 和边缘之间。过期但正确签名的区文件可能继续解析,直到签名或运营策略到期;新生成的坏区可能迅速传播。APNIC 的辅助服务器仅在其拥有好副本时才有帮助。有用的控制包括序列号监控、签名过期告警、独立验证器、受保护的传输通道以及经过演练的保留或回滚发布的方法。
第五条是 DNSSEC 密钥事件。丢失、泄露或轮转错误可能影响每一个验证用户。硬件、仪式和备份至关重要,与 IANA 的协调以及留给缓存的时间同样如此。PANDI 的2026 年 DNSSEC 研讨会显示了机构对 DNSSEC 的关注;这不能替代 PANDI 自身密钥恢复测试的证据。
第六条是注册商故障或受陷。故障的注册商可困住客户;受陷的注册商可提交恶意变更。认证、验证、变更控制、异常检测和注册局锁定可限制损害。转移流程需要在保持连续性的同时不成为接管途径。
第七条是人员和组织的集中。网络可以分布,但知识和权限仍集中在小型团队中。事件响应可能需要 PANDI、APJII、APNIC、数据中心供应商、anycast 主机以及一家或多家转接网络。联系方式的时效性、上报权限和演练决定了在压力下技术多样性是否可用。
即时应答是运营的证据,而非可用性保证
2026 年 7 月 15 日的时间点公开记录增添了有用的确认。IANA 授权记录列出了五个预期的.id权威;DNSViz 的.id分析暴露了签名授权和 DNSKEY 链;而 PANDI 对pandi.id 的 RDAP 响应返回了一个结构化记录,其中的数据库更新时间戳就在同一天。RIPE NCC 路由状态视图显示所有代表的对等体都看到了 AS132647 的 IPv4 和 IPv6 空间。这些公共端点共同确定了注册局的授权、注册数据和路由表面在研究截止时是可观察的。
它们并不能确立年度服务水平。递归 DNS 应答可能来自缓存。即使成功的权威查询也只能证明所达实例进行了应答,而非每个 anycast 实例都健康。路由收集器从参与的对等体采样 BGP,而非互联网上的每个网络。RDAP 响应仅说明那一刻读服务有效;它并未测试注册商写入、区发布、故障转移或数据库恢复。
对注册局而言,有意义的监控需要在功能和地理上的双重多样性。探针应通过 IPv4 和 IPv6 询问每个逻辑权威,验证 DNSSEC,比较 SOA 序列号,测试 TCP 以及 UDP,观察路由,查询 RDAP 并执行受控的注册商事务。这些结果应当关联,以便运营方能区分不可达节点、过期区、损坏的签名、路由泄露和中央注册局问题。
正因如此,本文更倚重汇聚的公开记录,而非单一的 ping 或查询。IANA 证明了授权合约;APNIC 证明了资源注册;RIPE RIS 显示了公共路由可见性;DNSViz 暴露了可观察的信任链;PANDI 的报告解释了预期架构;三宝垄通知披露了真实的事件机制。每种证据类型回答不同的问题,任何一类都不应被过度引申。
证据所支持的,以及所不支持的
在身份和可观察的网络功能方面,运营判断是积极的。IANA 记录将 PANDI 标识为.id注册局,并将区授权给四个 PANDI 权威和 APNIC 的辅助服务器。AS132647 具有广泛的双栈路由可见性,权威地址位于其宣告的资源内,且DNSViz 暴露了签名链在研究截止时有效。PANDI 附有日期的报告显示了对 SRM、DNS 节点、安全性和注册商监督的持续投资。
关于当前物理韧性的证据是中等水平的。历史报告和2024 年技术演示描述了许多位置。三宝垄通知证明至少有一个命名的 anycast 节点存在于 2023 年并就地修复。BGP 显示了多个相邻 ASN。但这一切都没有揭示当前的设施矩阵、独立的电力域或中央系统拓扑。
关于容量的证据也是中等水平的。PANDI 的2022 年报告宣称了一项 200 万域名的 SRM 设计,而其2025 年计数为 143.1 万注册,处于该数字以下。然而目前没有公开的事务测试、利用率、DNS 查询容量、攻击余量或故障转移容量。注册局可能在 2023 年后增加了容量;也可能存在简单域名计数所忽略的约束条件。
证据有力地表明,最初的托管论点是错误的。注册局和注册商在法律和 PANDI 自身材料中均被明确区分。公共网络资源支持权威 DNS 和注册局服务。没有可信证据表明 PANDI 销售面向客户的计算、VPS、裸金属或云容量。将该协会视为云供应商会掩盖真正重要的基础设施。
下一步能够使图景更加清晰的披露
最有用的改进将是一份故障域层面的当前服务拓扑,而非精确地址。PANDI 可以说明每个逻辑名称背后有多少活跃的国内和海外 anycast 实例,哪些是 PANDI 运营的,哪些是合作伙伴运营的,有多少独立的地铁区域托管中央注册局服务,以及签章器和区文件生成器是否与 SRM 共用站点。
其次,可用性报告应将 DNS、RDAP/WHOIS、SRM 事务、区文件发布和支持分开。PANDI 的2022 年年度报告在某种程度上做到了这一点,公布了 DNS、WHOIS 和 SRM 的服务水平结果。当前的滚动数字、事件定义和维护处理将显示增长是否保持了可靠性。
第三,容量披露应使用服务单位。注册域名余量对 SRM 有用。每秒事务数、注册商峰值会话数、区构建时间、签名有效期余量、每秒权威查询数和经测试的攻击吸收量则描述不同的约束。失去最大站点的测试将揭示故障后的可用容量,而非仅是故障前的安装容量。
第四,组织可以发布汇总的恢复证据:最近一次注册局故障转移、区回滚、DNSSEC 密钥恢复和注册商退出演练的日期和范围;目标是否达成;以及随后进行了哪些改进。此类报告可以保护敏感细节,同时为注册人和政府利益相关者提供冗余有效的证据。
最后,AS 编号的分立值得解释。一份关于 AS56088 保留目的、为何公开来源移至 AS132647 以及两者之间是否存在任何依赖关系的简明声明,将防止过时的分类。当前数据已讲述基本故事:.id注册局是一项活跃的分布式机构服务,但其运营重心是 AS132647。仅看 AS56088 会错失网络全貌;称 PANDI 为云服务商则误解了该机构的性质。

