原文链接:https://blog.csdn.net/qq_42730134/article/details/91429957
2017年11月末,网上曾出现过这样一则新闻:
下一代互联网国家工程中心牵头发起的“雪人计划”已在全球完成25台IPv6根服务器的架设,其中有4台部署在中国,打破了中国过去没有根服务器的困境。
“互联网”如今已经成为了每个人生活中的一部分,我们许多人早已习惯了每天在网上浏览新闻、进行娱乐、购物和聊天。但一个令人震惊并且容易忽视的事实是:从互联网创立到今天,我们每天都暴露在一个巨大的网络安全风险之下,并且一直受制于人。
这个风险是什么?“雪人计划”和“根服务器”到底有什么用?让我们来回顾一段互联网的历史,彻底把这个问题弄清楚。
互联网极简史
1958年,美国高级研究计划局(Advanced Research Projects Agency,简称ARPA)成立,其目的在于让美国在计算机科学研究方面保持全球领先的优势。
1969年,ARPA创建了一个只有4台计算机的网络,这个网络就是ARPANET,也就是我们今天互联网的前身;到1977年,该网络内的计算机达到了111台。
注:ARPANET在建立的时候一台计算机有一个房间这么大,电脑在当年属于绝对的“奢侈品”;8年内ARPANET多了一百多台联网的计算机,这个发展速度在上世纪70年代已经算是很快的了。
1983年,ARPANET中和军事有关的部分被剥离并单独成立了MILNET,最终成为了
美国国防数据网络(DDN)的一部分;而非军用部分则逐渐演化发展成为今天的互联网(Internet)。
其实互联网的历史比上面讲的还要错综复杂一些,但是用一句话来概括,互联网在连接全世界之前最早诞生于美国,这在某种程度上造就了今天美国在互联网中的地位。
互联网中的IP地址和DNS
计算机联网之后,一个伴随而来的问题是:如何找到想要访问的计算机呢?很简单,给每个计算机分配一个类似于身份证号码的地址就可以了,这就是“IP地址”的由来(例如:我现在电脑上网用的IP地址是114.88.125.241)。
但是问题又来了,互联网上的IP地址那么多,我怎样才能知道诸如今日头条和百度这些网站的IP地址呢?
实际上,我们从来都不用记IP地址,而是使用DNS(Domain Name System,或“域名系统”)来解决这个问题。所谓DNS,就是给IP地址分配一个好记的名字(“域名”),就像我们称呼别人的时候不会用他的身份证号码,而是用他的名字一样。
DNS服务器的数据库中记录着IP地址和域名之间的对应关系,比如我们在电脑上访问今日头条首页的时候,只要输入头条的域名toutiao.com所对应的网址,DNS就会自动“翻译”成相应的IP地址。至于IP地址和域名之间对应关系,除了DNS服务器知道以外,我们可以在电脑中用Ping命令来查看:
在我电脑上用Ping命令找到的今日头条网站的IP地址
讲到这里我们不难理解,今天我们之所以可以愉快地上网,是因为DNS一直在默默地承担着互联网世界中“地图”的功能。换句话说,没有DNS的话整个互联网世界将会陷入一片“黑暗”的瘫痪状态中。
DNS和“根服务器”
既然DNS那么重要,显然不是任何人都可以拥有对IP地址和域名之间对应关系的“最终解释权”,那么这种权威到底掌握在谁手里呢?
答案是美国。
虽然互联网的先驱们在设计互联网的时候试图让它变成一个开放、自治的网络,但事实上由于历史原因美国对互联网中的域名和DNS拥有着极大的控制权,并且美国政府也在过去的很多年里试图单方面对互联网进行管理。
随着互联网越来越国际化,美国政府的这些企图遭到了其它国家和组织的反对,迫于舆论压力以及斯诺登“棱镜门”事件的影响,近年来美国对互联网的直接管控在减弱,但依然还是通过各种方法控制和影响着互联网的底层运行逻辑。
至于美国对互联网到底有怎样的影响力,感兴趣的同学可以研究下面列出的几个机构以及它们之间千丝万缕的关系:
1.IANA(Internet Assigned Numbers Authority,互联网号码分配机构)
2.ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)
3.DOC(Department Of Commerce,美国商务部)
4.NTIA(National Telecommunications and Information Administration,美国国家电信和信息管理局)以及“3·14决定”
除了设置管理机构以外,美国还通过DNS中“根服务器”的数量限制拥有了 互联网的主导权。“根服务器”负责互联网最顶级的域名解析,被称为互联网的“中枢神经”,也是互联网的基础设施。通俗地讲,哪个域名对应哪个IP地址,域名所有权等一系列互联网最核心的资源分配问题,在“根服务器上”有着“最终解释权”。
在目前的IPv4的体系下,全世界只有13台根服务器(名字分别为“A”至“M”)。其中美国拥有1台主根服务器,在其余的12台辅根服务器中,其中9台部署在美国,2台在欧洲(英国和瑞典),1台在亚洲(日本)。也就是说,互联网的主导权本质上还是牢牢地掌握在美国手里。
以下为13台根服务器的位置:
A——威瑞信(VeriSign)公司(美国弗吉尼亚州)
B——美国信息科学研究所(美国加利弗尼亚州)
C——PSINet公司(美国弗吉尼亚州)
D——马里兰大学(美国马里兰州)
E——美国航空航天管理局(美国加利弗尼亚州)
F——因特网软件联盟(美国加利弗尼亚州)
G——美国国防部网络信息中心(美国弗吉尼亚州)
H——美国陆军研究所(美国马里兰州)
I——Autonomica公司(瑞典斯德哥尔摩)
J——威瑞信(VeriSign)公司(美国弗吉尼亚州)
K——RIPENCC(英国伦敦)
L——ICANN(美国弗吉尼亚州)
M——WIDEProject(日本东京)
注:其中,威瑞信(VeriSign)公司除了控制着两个根服务器以外,还是.COM、.NET、.CC、.EDU等顶级域名的注册管理机构。
根服务器的重要性以及中国所面临的网络安全风险
根服务器被国外许多计算机科学家称作为“真理”(TRUTH),毫不夸张地说,根服务器就是互联网的命脉。如果这13台根服务器中的某一台或几台出现故障,或遭到黑客攻击而停止服务,则可能影响到域名解析并进而导致互联网的瘫痪。
没有根服务器对一个国家来说是一个巨大的安全风险,这样的风险至少包括以下两个方面:
首先,由于全世界只有13台根服务器,无法抵御大规模的DDoS(分布式拒绝服务,Distributed Denial of Service)攻击。
2002年10月21日下午,13台根服务器遭到互联网历史上最为严重的一次网络DDoS攻击,攻击流量达到平时处理规模的30至40倍,导致9台根服务器无法正常运行,其中7台丧失了对网络通信的处理能力,另外两台也紧随其后陷于瘫痪。
2007年2月5日夜间至6日,不明身份的黑客向3台根服务器发起了长达12个小时的攻击,其中包括运行“.ORG”域名的根服务器和美国国防部运行的根服务器。
2010年1月12日,由于美国负责百度域名解析的根服务器遭到了黑客攻击,百度首页出现大面积的访问故障,全国绝大多数地区均无法访问百度网站。
2014年1月21日,由于解析中国所有通用顶级域的根服务器出现DNS污染事件,百度、新浪、腾讯、京东等许多网站的在此次事件中均被劫持到65.49.2.178这个位于美国IP地址上,一度无法访问。
2015年11月30日和12月1日,DNS根服务器再次遭到两次大规模攻击,攻击者使用了随机分布的IP,攻击流量大约为最高每秒500万次查询。两次攻击都持续了长达一两个小时。
以上互联网局部瘫痪仅仅是因为根服务器异常或黑客攻击所导致,更大的风险在于,由于美国拥有对根服务器的特殊地位以及对.COM等顶级域名的掌控,一旦美国出手,带来的影响将是异常巨大的。
理论上美国可让一个国家在互联网中瞬间“消失”
2014年6月24日的《人民日报》曾经有过这样一段描述:
目前美国掌握着全球互联网13台域名根服务器中的10台。理论上,只要在根服务器上屏蔽该国家域名,就能让这个国家的国家顶级域名网站在网络上瞬间“消失”。在这个意义上,美国具有全球独一无二的制网权,有能力威慑他国的网络边疆和网络主权。譬如,伊拉克战争期间,在美国政府授意下,伊拉克顶级域名“.iq”的申请和解析工作被终止,所有网址以“.iq”为后缀的网站从互联网蒸发。
理论上美国可以截获、丢弃、篡改、伪造经过根服务器的信息,并且由于目前主流顶级域名 .COM、.NET等均由美国威瑞信(VeriSign)公司负责管理,可以说美国想掐断哪个网站,技术上完全有能力做到。我们不妨假设一下:
1.由于美国对根服务器以及顶级域名的影响力,完全可以屏蔽某些特定的域名( 例如: XXX.COM和XXX.NET),让它们的IP地址无法解析,这些域名所指向的网站就等于从网络世界中消失了。
2.通过修改域名记录等技术手段,根服务器和顶级域名的管理者完全可以将互联网用户对某一重要网址(例如:银行网站)的访问转移到他所希望的IP地址上去(例如:伪造的黑客网站),从而盗取信息。
3.根服务器可以对用户访问网站时发出的域名解析请求信息进行长期监测和统计,从中分析出一些重要网站的访问量、访问者分布等敏感信息。例如,可以对某个国家的政治、经济或科学技术等类别的网站进行流量访问统计,大致分析出该国热门网站分布情况和网民的访问喜好等。
我们不难可以看出,以上这些理论上的可能性将会对没有根服务器的国家构成巨大的网络安全风险!
中国在网络安全威胁下的应对
世界上每个国家都有国土的边界,一般用领土、领海、领空来定义。互联网世界虽然是虚拟的,但是其中的服务器、数据以及人们在网络中的经济活动是真实存在的,所以在互联网中也应该有相应的网络主权边界。
出于对互联网信息安全方面的考虑,其他国家纷纷建立了各自的互联网应急安全体系。中国也不例外,CNNIC(中国互联网络信息中心)作为中国的域名管理机构,采取了以下的应对措施:
1.CNNIC成立前,将.CN域名服务器从德国搬回中国,这是掌握国家域名主导权的前提。
2.2003年,CNNIC开始推广.CN域名。
3.2006年,CNNIC开通五大顶级节点,实行备灾管理;对于.CN域名的网站就算全部国际线路中断,CNNIC也有应急措施保障其能够被正常访问。
4.2006月12月,中国开通“根域名中国镜像服务器”,这意味着今后中国网民在访问任何以.COM和.NET为后缀的网站时不必再绕道美国,在本土即可完成访问请求。
虽然中国做出了诸多的努力,但这些措施还是只能保证“互联网中国部分”的安全,域名解析的结果最终还是有可能会汇总到根服务器上。也就是说对中国互联网在中国以外的世界范围内的“断网”和“网络监控”风险依然无法完全排除。
中国为什么不自建根服务器?
由于技术限制,IPv4中DNS协议使用的UDP数据包限制了最多只能有13台根服务器;这13台根服务器的限制,使得中国从加入互联网的那一天起就处于被动的局面。
事实上,互联网的先驱、互联网名人堂入选者Paul Vixie(保罗•维克西)博士曾经在2014年同中国互联网络信息中心(CNNIC)合作向IETF(Internet Engineering Task Force,国际互联网标准化组织)提交了一项新的技术标准,尝试突破根服务器只有13台的限制,但最终该提议没有被接受。
保罗•维克西
IPv6时代的机遇
之前提到的13台根服务器的限制,其实是基于一个前提,就是互联网运行在IPv4协议框架下。
IPv4是“Internet Protocol Version 4”的缩写,也就是“互联网协议第4版”。这是目前全球互联网最广泛使用的核心协议,IPv4的地址采用32位长度,包含了大约43亿个IP地址。
43亿听上去很多,但是今天全世界76亿人口中网民总数已经超过了 40 亿,并且实际上网的设备数量(如:电脑、手机,智能硬件等)要远远超过这个数字,显然43亿个IP地址是不够分的;更不用说美国占据了50%以上的IP地址,而中国能获得的IP地址数量非常有限,目前只能使用“动态IP”、“内网IP”等方法进行技术上的妥协。
随着IPv4地址资源的耗尽,它的升级版本IPv6受到越来越多人的关注。IPv6地址采用128位长度,地址容量达2的128次方个。这一数量级好比“地球上每一粒沙都分配到一个IP地址”,实际IPv6地址的数量接近于无限。
在万物互联的物联网时代,对于网络地址的需求会出现爆发式增长,因为需要联网的设备数量将会远远多于人口数,所以在可预见的将来,互联网核心协议必将会从IPv4升级到IPv6。
于此同时,一个重大的利好消息是,升级到IPv6协议以后,根服务器的数量终于可以突破13个的限制!
中国发起,多方参与的“雪人计划”
在全球从IPv4向IPv6过渡的关键时间点上,由中国下一代互联网工程中心(BII)于2015年6月23日发起,联合日本WIDE机构(M根运营者)、国际互联网名人堂入选者Paul Vixiez(保罗·维克西)博士、互联网域名工程中心(ZDNS)等全球组织和个人共同创立和发起了“雪人计划”。
“雪人计划”的主要目的是在IPv6的时代突破13台根服务器的限制,改变当前互联网“单边治理”的格局,引入更多根服务器运营者进行“多方共治”,实现“同一个世界,同一个互联网”的愿景。
截止2017年11月27日,在与现有IPv4根服务器体系架构充分兼容基础上,“雪人计划”在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设,形成了13台原有IPv4根加25台IPv6根的新格局。其中中国部署了4台根服务器,由1台主根服务器和3台辅根服务器组成,打破了中国过去没有根服务器的困境。
“雪人计划”中根服务器的布局
关于“雪人计划”的一个疑问
在阅读了大量对于“雪人计划”的报道后,发现几乎所有的主流观点都是“因为中国现在也有了根服务器,所以在IPv6时代我们完全可以和美国在互联网治理上平起平座了。”
但事实是不是这样的呢?
“雪人计划”中一些不为人知的细节
1.“雪人计划”其实是一个在测试环境中的“实验室”项目,它将于2018年或晚些时候结束。和大多数人理解的不同,它是一个暂时的、允许失败的前期技术测试项目,严格地来说甚至不能算作是“技术原型”,更不是在生产环境中的“官方”根服务器部署。
2.事实上我国正在努力推进IPv6根服务器在中国的落地,引用中国工程院院士、中国互联网协会理事长邬贺铨的话来讲“我们国家在探讨IPv6建设过程中,提出过要增强主根的部署。不过尚不明确主根最终能否以及有多少可以建在国内。”
3.“雪人计划”设立的IPv6根服务器并非完全独立,而是继承了IPv4中F根服务器中的基础数据,包括所有顶级域名的数据。
4.从技术上来看,根服务器之间也并非完全平等,“雪人计划”新增的25台IPv6根服务器的地位事实上要低于之前的13台IPv4根服务器。还是引用邬贺铨院士的话“IPv4的根服务器对IPv6的根服务器依然拥有解释权,所以即便未来中国有了IPv6的根服务器,也并不意味着中国就能起到主导作用。”
5.基于“同一个世界,同一个互联网,同一个域名空间”的理念,“雪人计划”不会试图进行“域名空间分叉”。也就是说,“雪人计划”目前所做的所有测试都是基于目前IPv4的架构下的拓展,而并非“另起炉灶”重新建立一套新的域名管理系统和根服务器;换句话说,就“雪人计划”本身而言,并没有完全动摇美国在互联网中地位的根基。
从以上可以判断,目前对于“雪人计划”存在着过度报道的情况,有些过于乐观了。
那么究竟如何来比较客观第评价“雪人计划”的意义呢?
“雪人计划”的真正意义
虽然“雪人计划”只是一个测试计划,但是它的真正意义至少包括以下三点:
1.通过联合全球机构来做测试和试运营,实际验证在IPv6协议下根服务器可以突破13台的限制,并且获得了第一手的运营、故障排查和维护的经验,扫清了技术上的障碍;截止2017年8月,“雪人计划”的根服务器流量在两年中增长了20倍,全球用户根服务器访问量达到1.2亿次每日。
2.在全世界范围内获得了一大批支持者,愿意一起在IPv6时代共同治理互联网,形成了打破互联网单边治理的“共识机制”。同时,这也中国争取根服务器管理权行动的有意义的切入点。
3.当“雪人计划”结束,IPv6时代真正来临的时候,如果美国依然想控制根服务器的话,中国已经完全有技术能力和影响力来召集众多“盟友”与之抗衡。事实上,美国已经意识到互联网单边管治的时代已经结束,很早就作为一份子参与了“雪人计划”的测试。
可以这么说,“雪人计划”是中国对下一代互联网战略基础设施的谋篇布局之作!
最后引用国际互联网名人堂入选者Paul Vixiez(保罗·维克西)博士的一句话作为结束:
Open and transparent network science is no threat to Internet governance. "Steady as she goes."
开放和透明的网络技术并不会威胁到互联网的治理。“她会继续前进。”
