我们的网络是英特网,一但关闭,有“备胎”吗?
应邀回答本行业问题。
现在互联网的确是掌握在美国手中的,不过如果说"美国关闭中国的互联网",我们还真是有备份的。
第一种方式如果不是到了非常严重的情况下,是不会有哪个国家敢做的,这个和打别国家的卫星的区别也不大了,你可以砍我的,我也可以砍你的,这个还是相互制约的。
另外一种办法就是使用"根服务器"这个大杀器。
全球IPV4的根服务器,共有13个,主要是在美国,其中又分为主根服务器和副根服务器,主根服务器只有1个在美国,辅根服务器之中9个在美国,剩余的2个在欧洲(英国和瑞典),1个在日本。
根服务器的作用在DNS寻址上。当我们访问一个网址的时候,需要根服务器参与域名的解析。
而如果美国启动根服务器这个大杀器的话,可以关闭中国用户对互联网的访问,也可以让外界的电脑无法访问中国的网站,这个也相当于关闭了中国的互联网了。
曾经,美国将伊拉克的域名"iq"封杀,导致了伊拉克在互联网中消失了。
互联网实际上是有很多大大小小的局域网组成的,而现在绝大部分用户访问的互联网实际上是中国的"局域网",可以访问"外网"的只有少部分人。
而中国有自己的镜像服务器,早就把这些根服务器的内容抄了一遍,即使根服务器关闭了,也可以通过镜像服务器来进行互联网的访问,影响的可能更多的是其他国家访问中国的网站。
为了避免在极端的情况下受制于人,而且也是为了获得更多的公网IP,中国一直都是IPv6的积极推进者,启动了雪人计划,并且在国内部署了1主根、3辅根的IPV6根服务器,也打破了中国没有根服务器的 历史 。
而现在全球已经部署了25台IPv6的根服务器,而且国内的三大运营商已经基本的完成了IPv6的改造,现在我们大多数的终端也都是支持IPv6的,至少新的终端和设备是这样的。
总而言之,我们在因特网上其实是有备胎存在的,而且还不止一套,所以大家不必过分担心。
很遗憾的说,目前来说因特网一但关闭,我们真没有什么“备胎”,但是我们访问国内的网站应该影响不大,有的朋友说有备份,那也仅仅是对国内的网站而言,对国外的网站来说,基本是封杀的干干净净了
因特网的关闭,从技术商来说,主要是有几种手段,其一主要是通过封锁DNS的根服务器来完成。全球有13台根服务器,其中美国有一台主根服务器和9根副根服务器。而日本,瑞典,英国分别有三台副根服务器,中国一台没有。
DNS的根服务器有什么用?简单的说,如果我们要访问后缀是com或net的网站,就需要通过根服务器来解析WWW域名对应的IPv4地址,如果根服务器被关了,我们无法获取这些网站的IP地址,也就无法正常的访问网站。同样,如果位于国外的根服务器不让解析中国的cn的域名,那么外国人也无法访问中国网站
不过没有关系,我们国家也有镜像DNS根服务器,镜像根服务器的意思就是我们拷贝了一份根服务器的数据到中国的镜像根服务器,这样我们在访问网站做域名解析时,就不用绕道国外的根服务器了,直接在中国的镜像的DNS根服务器访问就可以,目前我们国家有四台镜像根服务器,全国60%的流量实际上是到中国自己的镜像根服务器访问的
是不是觉得高枕无忧了?当然不是的,我们模拟一下敌对国家的极限攻击手段,顺带说一下,一些朋友说的切断国外的通信光缆,根本就是很愚蠢的方法
攻击1:M国切断全球13台IPv4的根服务器对中国的服务
此时中国的四台镜像根服务器发生作用,中国依然可以解析com这些网站,依然可以获取IPv4地址。但是如果国外网站的IPv4地址如果变了,比如美国把联合国的IP地址变成其他的地址,由于中国镜像的根服务器无法获得美国根服务器的最新数据,中国将无法访问。
攻击2:M国更换重要机构的IPv4地址
中国镜像的根服务器无法获得美国根服务器的最新数据,中国将无法访问这些更新后的地址
攻击3:M国屏蔽中国的cn域名
国外的用户将无法访问中国的所有网站,除非知道中国网站的IP地址,此时中国基本被封杀,只有通过IPv4地址直接和海外机构联系
攻击4:M国直接在全球IXP、ISP封杀来自中国的IP地址流量
IXP是全球互联网交换流量的机构,全球所有运营商互相访问的流量通过IXP转发。ISP是运营商,例如移动电信就是ISP。这种封杀根本无需断什么海底光缆,只要在全球非中国的IXP和ISP的路由器上,把来自中国的流量过滤和丢弃,这样会完全切断中国和国外的任何沟通,中国彻底成为孤岛。唯一的解决方案就是中国通过第三方国家和世界联系
所以我们可以看到,真的有这种极限封杀,中国哪有什么备胎?也就是保证我们在中国内部的网络访问没有问题罢了。以前俄罗斯做过一次极限测试,就是这种情况
至于很多人说中国的雪人计划,中国主导“雪人计划”于2016年在全球16个国家完成25台IPv6根服务器架设,事实上形成了13台原有根加25台IPv6根的新格局,中国有四台根服务器,这个计划可以阻挡攻击1、2、3,挡不了攻击4
而且,目前中国的互联网流量80%还是IPv4的,所以目前雪人计划应该没有任何作用。所以为了国家的安全,国家才在2017年底和2018年初两次发文要求推进IPv6的网络建设,这也是从国家安全入手的必经之路
所以,这个问题的答案是,美国真要完全关闭中国的网络,中国一点办法也没有,没有什么备胎,只能通过第三国和世界联系 。但是这种手段是一个双刃剑,真到了那个地步,可能就是“不惜一战”的阶段了
目前世界上使用的是是Internet,音译过来就是所谓的英特网。
按您这所提问的一旦关闭,是指米国吧。如果想深入了解这个问题,我们首先要了解一下这个英特网的来由。这个可以直接百科上就有介绍,或是对应网络的书本也有这些的介绍,这里我也简要介绍一下。
英特网主要是用于信息交流或交换,这里的信息包括各种各样,但是这个信息是如何交换或是交流的呢?这里就要做一个区分了,国与国之间的交流,国内之间的交流,省与省或是同城间的交流。
说到这里,大伙可能就会问了,为什么要这样区分呢?如果是网络大神就略过吧,其他的同学跟上来。
首先说省与省或是同城间的交流。我们要实现信息交流,就先得有一个IP地址,就像一个人要一个住的地方一样,尽管这个地方随时有可能要搬走,但在一个时刻内都会有一地址。然而这个地址是谁分配给我们的呢?是电信、移动、联通这些电信运营商,他们分配了一个地址给咱们,这地址可以有很多人共用,如同户口本一样,里面可以挂靠很多人一样的道理,咱们拿到这个地址就可以给其他地址的人写信了,当然,我们也得有省内或是同城其他同学的地址他们才可以收到信,否则不知道寄往何处。
那么省与省之间,或是国与国之间也是同样的道理,只是我们不用跑邮局寄信。
以上这些是用通讯的原理简单的描述,接下来深入点。
只要同城或是省内的网络线路正常,而且省内间或是同城的DNS服务器(动态域名解析服务器)正常,尽管省外的线路中断,都可以正常访问,除非是一些特殊服务或是有与省外做交互的会受影响。
由此来看国与国之间的,如果我们将DNS的根服务器(DNS根服务器在米国)在国内做了备份,不管美国那边发生了什么事中断了网络,我们都可以访问其他国家的网端,如果我们没有对根服务器做备份,就像前几年那一件事那样,在美国的DNS根服务器受到了攻击,咱们国内的用户使用DNS访问网站时就出现访问失败。
那么我们可以不用管其他国家的事情,就算我们出口国外的网络通讯电缆中断了,我们国内也是可以正常使用网络,只是这个网络只能在国内,无法访问国外的网站了。
总结:只要国内的网络线路或是网络服务正常,不管国外的如果,对访问国内的服务器不有什么影响,如果要访问国外的,那就用不了啦。
至于说到备胎,自从几年前美国DNS根服务器受攻击造成我们网络服务中断的事件发生之后,我们国内也开始是DNS服务器备份,不再强依赖国外的DNS服务器了。
希望能解开你的疑问。
一直有一个不愿意被承认的现实:我们真的没有英特网。我们现在使用的是美国的“英特网”!假如美国关闭了我们的网络,似乎比谷歌关闭安卓系统;微软停止Windows更严重。那,真的如此吗?
目前全球有13台根服务器,其中美国有一台主根服务器和9根副根服务器。而日本,瑞典,英国分别有三台副根服务器,我们的服务器确实一台没有,如果美国想不开,将服务器关闭,我们确实没有任何手段。
但是,我们真的没有任何缓解之力吗?显然这种说法是不准确的。一方面美国如果关闭根服务器,影响的不仅仅是我国,美国自己也会受波及,而且依赖网络运行的所有活动可能面临影响,这是全球性的,美国除非和世界为敌!另一方面,不要小看我们国家的“备胎”。
所以,我们不用担心美国关闭英特网,美国也制约不到我们。
英特网也就是我们所说的互联网,在IPv4时代,美国属于“霸权地位”,对互联网拥有绝对的控制权,如果美国断开我国的互联网连接,会导致什么问题呢?我国有“备胎”计划吗?下文具体说一说。
通常情况下,我们使用域名访问一个网站,即DNS域名解析,将域名转换为IP地址,才能访问某个网站。DNS域名服务器采用了树状的结构, 全球有13台根域名服务器,唯一的1个主根服务器位于美国 ,因此,理论上美国可以通过主根服务器切断任何一个国家的网络。
美国能够随意关闭其他国家的网络吗?实际上不可能完全做到,如果美国关闭了我国的DNS服务,那么只能影响到中国与国际的互通, 我国的内网是不受影响的,可以正常访问国内所有的网站 ,况且,除非经过特殊方式,我们也很少能够访问到国外网站。也就是,美国关闭我国的DNS服务,影响不是很大。
目前,我国在大力推进IPv6的进程,已经实现了核心网的IPv6改造,各大互联网巨头可以提供IPv6接入,某些地区连接到宽带网络,可以获取到IPv6地址。
在IPv6时代,我国主导了“雪人计划”, 全球有25个IPv6根服务器国家,共同打造第六代互联网协议,其中1台主根服务器,3台辅根服务器在我国 。“雪人计划”采用了多种寻址方式,打破了现有的13个根域名服务器的局面,引入了多个根域名服务器运营者,实现了“多边共治”的局面,也就是,在IPv6时代,美国无法继续维持全球互联网霸权。
总之,即便美国关闭了我国的DNS服务,断开了我国与互联网的连接,也不会产生太大的影响,毕竟我们访问网站以国内网站为主。随着IPv6的普及,美国的在互联网领域的“霸权地位”将会受到越来越多的挑战。
这个说实话,对于普通用户来说根本不会产生任何的影响。
美国关闭我国的英特网有两种实现方式:
无论哪种方式,你我该上网上网、该聊天聊天、该 游戏 游戏 ,几乎不会受到影响。
基本上国内用户很少有访问国外网站的习惯,本地应用完全能够满足所有需求。
不信您可以想象一下自己的上网应用:
几乎很少使用,只是今后海淘是没法使用了,可以和联想thinkpad笔记本告别了!
当然,特殊职业除外,例如经常需要访问国外网站、查找国外文献的工作者等,不过教育专网能够解决绝大部分的问题。
说完了普通用户的使用习惯,来看看网络是如何实现访问的吧!
一、DNS服务器
这里就需要使用功能到域名解析服务器,称为DNS。
全球根域名服务器绝大部分位于美国,这也就是美国能够遏制我国互联网的主要原因(包括一台主根服务器,9台辅根服务器)。
二、DNS服务器工作原理
DNS服务器主要是将用户的域名解析成为具体的IP地址,用于产找具体服务器的位置。
简单点说,就是一个翻译,没有这个翻译就无法和服务器进行通讯。
一般用户提出请求,会转向本地DNS服务器,本地DNS服务器匹配自身条目是够匹配。匹配则将信息反馈至用户,否则将会向上级DNS服务器进行查找。逐级查找无匹配后,最终才会到达美国的根域名服务器。
结合我国用户使用习惯,基本上在各自运营商建立的内部DNS服务器就能够完成解析工作。
根本没有机会到达美国的根域名服务器,并且我国网络管控较严,用户很难具有外网访问的权限。民间一般通过**解决。
三、具体举例
也可以简单的把各个国与国之间看成是一个大的互联网,各国内部简单看成是一个大的局域网。
当然,这样举例并不恰当,也就是这个意思。
因此,即便关闭也不会对我们产生任何影响。
英特网成立的初衷便是开放、共享,希望美国不会出此昏招。
您觉得英特网关闭后,是否能够对我国造成影响呢?
在以前IPv4时代,美国对互联网拥有绝对的控制权,我国是否有“备胎计划,请看下文:
全球有 13台 根 域名服务器 ,唯一的 1个主根服务器位于美国 ,这就是美国的强大之处,想断谁的网就断谁的。
其实也不是想断就全部断掉的毕竟我们还有内网,中国互联网,只是不能和国外的人一起,我们国家早在很久前就有布置。
名为:“雪人计划”俗称IPv6
雪人计划”是2015年6月23日在国际互联网名称与数字地址分配机构(ICANN)第53届会议上正式对外发布的。在IPv6时代,我国主导了“雪人计划”,全球有25个IPv6根服务器国家,共同打造第六代互联网协议,其中1台主根服务器,3台辅根服务器在我国 随着我国的强大,美国的在互联网领域的“霸权地位”就会被不断挑战,这就是我国做的准备。
我们的网络是英特网,一但关闭,有“备胎”吗?确实互联网是不能叫英特网,英特网更不能叫互联网,全球目前使用的是老美的“英特网”,在这个网上老美是拥有控制权的。但说到如果美国关闭英特网,是否就完全失去了网络访问呢?那倒不是这样的。
域名系统是目前所谓互联网的关键,如果域名系统不同,整个网络的域名访问就不通了。目前域名根服务器数量被限定为13个,美国10个、英国、瑞典、日本各有一个,而主根服务器只有一台放在美国。而管理这些根服务器的是被美国政府授权ICANN统一管理,名誉上为国际非盈利组织,但实际上美国对其管理拥有极大发言权。
那美国把根服务器给断掉,是否就把我们的网络全部断掉呢?曾经有传言说伊拉克战争期间,美国授权停止伊拉克"IQ"的申请和解析,一夜之间所有"IQ"的域名就不能访问。但事实上如果做好准备,是不会达到不能解析的,其重要的就是题主所说的“备胎”。而我们是有备胎的,所以要断掉国内"com"、或者"com,cn"等诸如此类域名的。
首先在运营商处,根服务器的记录可以缓存在递归服务器中心,递归服务器就可以作为根服务器的作用。
其次建立根服务器的镜像。目前在国内已经建立了多个根服务器镜像,国内的根服务器镜像就可以提供服务,而不需要根服务器。
再次即使美国通过根服务器断掉中国服务,最多也只是达到断掉国内和国外的互联互通而已,国内网基本不受影响,国内的网络该干啥还能干啥。
为了建立一个真正的全球互联网,“雪人计划”将彻底改变目前受制于美国的现状。在全球部署了25台IPv6的根服务器,中国就部署了1台主根服务器和3台辅根服务器,冲破了IPv4只能13个根服务器的限制。通过更多的IPv6根服务器的架设,属于真正的“互联网”时代才会来临,这样的“备胎”真在慢慢转正。
所谓的互联网实质是由一些公开的网络协议和网络中的各个节点(服务器)组成的,所以实在不能理解你说的“关闭”是怎样一种方式,最多切断,切断海底光缆,切断与国外的联系,那么我们国内的所有网络都还在,BATT照样该访问还访问,只是我们的网络的范围缩小了,变成了国内网,但不存在关闭这种说法。
或许你真正担心的是我们的网络会受制于人,但这个问题其实并不需要太过担心,国内有完整的一整套互联网设备,有DNS有核心组件,并且实际上我们一直以来很多国外网站也都是访问不了的,对普通网民来说真的不会有多少差别。
退一万步说,国外势力收回IPV4的地址所有权,我们完全可以启用IPV6,这是个很好的契机,目前国内在推广IPV6上并不顺利,而一但国内都用上IPV6了,互联网的命脉就已经掌握在我们自己手上了。
万物互联,5G真正强大的地方,还没看到,未来,可以部分扩展因特网功能,延伸功能,通过5G无线网络,实现电脑联网运行,随时,随地都可以,联网运行,把不同地方的电脑,连接起来,你出差外地,家里电脑,连接上手机,跟对方拨通手机,连接到那边电脑上,可以实现组网运行,手机当做《连接桥》实时数据共享,在外边,启动家里电脑工作,我们中国,人口密度高,光纤网络,分摊成本低,尤其,美国这种,地广人稀的国家,用无线网,成本更低,美国这些,近视,短视的家伙,脑子拐不过这个湾子,真是,脑子又被驴踢了,等着被全世界,甩几条街把,这总统,太愚蠢。
这样做起来,节约资源,电脑也会,变成,共享单车。
汽车 也可以,共享了,节约 社会 资源。
难怪美国,要打压华为,这因特网,要退居二线了。以后,再也没法,拿人一把了,华为干的漂亮,人类总需要,不断前进,美式霸权的时代,开始终结,华为敲响了霸权丧钟。
从另一方面看,这叫,缺乏战略思维,可以看出,川普打了乱仗了,美国外强中干,极度虚弱,已经是纸老虎了,川普在做我们的卧底。
给几张图看看,西方文明,陨落的步伐。
下表是这些机器的管理单位、设置地点及最新的IP地址: 字母 IPv4地址 IPv6地址 自治系统编号(AS-number) 旧名称 运作单位 设置地点
#数量(全球性/地区性) 软件 A 1984104 2001:503:ba3e::2:30 AS19836 nsinternicnet VeriSign 以任播技术分散设置于多处
6/0 BIND B 19222879201
(2004年1月起生效,旧IP地址为12890107) 2001:478:65::53 (not in root zone yet) none ns1isiedu 南加州大学信息科学研究所
(Information Sciences Institute, University of Southern California) 美国加州马里纳戴尔雷伊
(Marina del Rey)
0/1 BIND C 19233412 2001:500:2::CAS2149 cpsinet Cogent Communications 以任播技术分散设置于多处
6/0 BIND D 19979113(2013年起生效,旧IP地址为12881090) 2001:500:2::DAS27 terpumdedu 马里兰大学学院市分校
(University of Maryland, College Park) 美国马里兰州大学公园市
(College Park)
1/0 BIND E 19220323010 AS297 nsnasagov NASA 美国加州山景城
(Mountain View)
1/0 BIND F 19255241 2001:500:2f::f AS3557 nsiscorg 互联网系统协会
(Internet Systems Consortium) 以任播技术分散设置于多处
2/47 BIND G 192112364 AS5927 nsnicddnmil 美国国防部国防信息系统局
(Defense Information Systems Agency) 以任播技术分散设置于多处
6/0 BIND H 12863253 2001:500:1::803f:235 AS13 aosarlarmymil 美国国防部陆军研究所
(US Army Research Lab) 美国马里兰州阿伯丁(Aberdeen)
1/0 NSD I 1923614817 2001:7fe::53 AS29216 nicnordunet 瑞典奥托诺米嘉公司(Autonomica) 以任播技术分散设置于多处
36 BIND J 1925812830
(2002年11月起生效,旧IP地址为19841010) 2001:503:c27::2:30 AS26415 VeriSign 以任播技术分散设置于多处
63/7 BIND K 193014129 2001:7fd::1 AS25152 荷兰RIPE NCC 以任播技术分散设置于多处
5/13 NSD L 19978342
(2007年11月起生效,旧IP地址为198326412) 2001:500:3::42 AS20144 ICANN 以任播技术分散设置于多处
37/1 NSD M 202122733 2001:dc3::35 AS7500 日本WIDE Project 以任播技术分散设置于多处
5/1 BIND 中国大陆地区内只有6组根服务器镜像(F,I(3台),J,L),在少数极端情况下(比如全球互联网出现大面积瘫痪、或者中国互联网国际出口堵塞),至少能保证国内的站点由国内的域名服务器来解析。虽然国外的用户连接到我国的网络会出现问题,但是我国可以自己解决中国境内的域名解析问题,保证国内网络正常使用。
现如今由ICANN这个组织掌握着全球“互联网地址簿”包括互联网协议(IP)地址的空间分配、协议标识符的指派、通用顶级域名(gTLD)、国家和地区顶级域名(ccTLD)系统的管理、根服务器系统的管理。但美国依然掌握着生杀大权。
ICANN现在所提供的这些服务都是最初美国政府资助的组织IANA(互联网号码分配机构)负责管理。
互联网最早起源于美国,在很早以前(90年代之前)一直作为军事、科研服务。90年代初由美国国家科学基金会(NSF)代表美国政府提供资金将互联网顶级域名系统的注册、协调与维护交予NSI,而互联网地址资源分配交予IANA来负责。由IANA将地址分配给北美地区(ARIN)、RIPE(欧洲地区)和亚太地区(APNIC),再由这些地域性的组织再将地址分配给各个ISP。
事实上绝大多数国家都不希望由美国独自对互联网进行管理,因为这样很可能会威慑到他国的网络疆域和主权。比如伊拉克战争期间,在美国政府的授意下,伊拉克顶级域名“iq”的申请和解析工作被终止,所有以“iq”为后缀的网站从互联网上蒸发。
一个国家在有镜像服务器的情况下,从根服务器里断开本质来说并不会对本国的网络安全产生影响,镜像服务器在没有父节点的前提下回自己进化成根服务器。但这样就不好玩了,像单机游戏和网络游戏的区别,断网了只能自己和自己玩就特别没有意思了。没有接入移动网络的手机不能叫手机,没有接入全球互联网的网不能叫互联网。
美国政府迫于各方面的压力,于是由1998年10月成立的民间性非盈利组织ICANN开始参与管理互联网域名及地址分配。2016年10月1日美国商务部下属机构国家电信和信息局把互联网域名管理权完全交予了ICANN。现如今ICANN为了保证数据库安全并没有让某个人来控制整个数据库,而是选择7个人来保管钥匙,以及7个人作为替补的保管者。
截至2020年10月31日,IPV4的13个根域名服务器由12个独立的组织运营,根服务器和镜像服务器一共有1329个。根服务器只有13个(分别以“A”至“M”的字母表示),主根服务器在美国,其余12个均为辅根服务器。在IPV4的时代,中国互联网起步较晚并没有根域名服务器,根服务器9个在美国,2个在欧洲(位于英国和瑞典),亚洲只有日本有1个。IPV4根服务器为什么只能有13个?DNS协议(域名解析协议)早期并不适用EDNS0和TCP协议,而通过UDP协议传输DNS消息最大长度需要限制在512字节,超出部分就会被截断。所以当我们查询根域的记录时512字节只够返回包含13个由A-M命名的根服务器的响应。
但这一切有了改变,IPV6与现有的IPV4根服务器体系架构兼容的前提下,由下一代互联网国家工程中心牵头发起的“雪人计划”于2016年在美国、日本、俄罗斯、德国、法国等全球16个国家完成了25台IPV6根服务器的架设。至此,中国有4台服务器(1台主根服务器和3台辅根服务器),打破了过去没有根服务器的格局。
IPV4的地址总数约43亿,IPV6的地址总数340282366920938463463374607431768211456个。这个数量,即使是给地球上每一颗沙子都分配一个IP,也是妥妥够用的。以上个人浅见,欢迎批评指正。认同我的看法,请点个赞再走,感谢!喜欢我的,请关注我,再次感谢!
7月12日,北京国家会议中心报告厅内,中国网络安全论坛正式举办。作为2017中国互联网大会的分论坛,中国网络安全论坛聚焦于“依法保障网络安全 为互联网+护航”主题。北京泰尔英福网络科技有限责任公司(Teleinfo)域名事业部总经理吕洪泽应邀出席论坛,并进行了题为“域名市场及应用安全状况报告”的演讲。
长期以来,我国对互联网域名产业的系统研究稍显薄弱,对这一重要基础资源的产业发展现状和趋势及其对互联网产业的影响缺少必要的数据统计和分析。此次论坛上,吕洪泽总经理旨在通过对全球及中国域名市场发展状况及特点的详细解析,解读域名产业的演变会对域名系统性能和安全带来哪些影响,同时通过对国内外域名设施建设及应用情况的对比,域名安全防护技术的剖析,让观众可以更加轻松、清晰地明了到当前影响和制约域名安全的关键因素。
域名行业演变及其对互联网安全的影响
域名是互联网的关键资源,域名系统的安全与稳定直接关系到互联网的安全与稳定。在投入使用至今的30余年中,互联网域名的种类与数量不断扩展,产业生态日趋成熟,管理体系逐步完善。尤其是2011年通过的新通用顶级域(gTLD)计划带来大量新进入者,行业生态活跃度大幅提高,推动顶级解析服务生态变化,市场竞争日趋激烈。
(1)大量新的非传统顶级域名服务主体涌入顶级域名服务,如谷歌、泰尔英福等。(2)原来顶级域运营管理机构自建自营的局面被打破,形成了新的竞争市场。传统顶级域运营机构(如CentralNic等)和有实力的新进入者在自建自营的同时开始向新进入者开放托管和运营业务。顶级解析服务竞争的引入,带动有实力的顶级域运营机构不断完善解析服务设施,提升对外服务的竞争力。CentralNic在除南极洲外的全球六大洲均部署了解析及镜像节点;谷歌利用原有网络基础建设了全球化的解析服务系统,在美洲、欧洲、亚洲的许多国家均部署了解析及镜像节点;域名全生命周期平台服务商Teleinfo,建成面向全球的多中心、多节点的服务平台,开发部署域名云注册局、数据托管、合规等服务,解析节点分布于欧、美及国内核心运营商。目前Teleinfo的国内解析服务设施主要分布在成都、北京等地,覆盖了我国主要运营商,同时也在英国伦敦、美国旧金山、荷兰阿姆斯特丹部署了解析节点。
这些域名生态上的变化,将大幅提升互联网基础设施的访问性能和安全冗余性: 一方面提高了DNS的安全冗余性,分流攻击流量,增强整体抗攻击能力,使得DNS整体架构更富有弹性;另一方面,镜像服务器为部署地区用户提供就近的根解析服务能力,提升区域用户的根解析响应时间和解析成功率。
国内互联网行业与国际存在的显著差距
互联网新技术和新业务的不断涌现也对域名系统的发展提出新的要求,其效率与安全直接关系到互联网的健康稳定运行。如果要概括当前国际域名设施建设及应用的情况,可以用五句话来形容其特点:(1)根镜像全球分布式扩展,性能与安全冗余性大幅提升;(2)顶级解析服务竞争日趋激烈,设施快速增长完善;(3)权威解析服务TOP企业优势明显,GoDaddy一枝独秀;(4)递归解析应用价值突出;(5)域名解析安全成为互联网安全重要环节。
相较而言,国内的情况也可以用五点来描述:(1)我国根访问以国内引入镜像为主,根镜像数量仍显不足;(2)国际知名通用域设施引入较少,自主顶级域基础设施国内外布局逐步完善;(3)权威解析服务商跻身国际前列,行业关注度不断提升;(4)接入服务商递归解析占据主流,第三方市场百家争鸣;(5)域名解析性能不断提升,与国际先进水平仍有差距。
据统计,目前美国根服务器及镜像约占全球总量六分之一左右,我国只引入四个根(F、I、J、L)镜像节点,总数量位居全球第19位,不及美国十分之一。由于递归服务器对根服务器的访问策略采用“初始轮询,性能择优”的原则,目前我国根域名解析中,约六成可实现对国内已引入根镜像服务器的就近访问。
作为宽带网络通信的一环,我国固定宽带用户的域名解析性能低于发达国家,各基础电信运营企业之间的解析时延差异较大。据统计,2015年,我国固定宽带用户DNS解析时延的平均值为4677ms,比2014年欧盟30国平均DNS解析时延高出87%。
其中,我国访问引入镜像4个根平均解析性能为70 ms左右,远小于其它未引入镜像根平均解析性能190 ms。但由于受引入镜像数量、网络访问质量等因素影响,根镜像服务器访问性能与国际主流国家尚存在较大差距,解析时延约超过国际发达国家两倍左右。
域名解析安全成为互联网安全重要环节
域名解析故障是引起互联网安全问题的最频发原因之一。DNS是Internet的重要基础,包括Web访问、Email服务在内的众多网络服务都和DNS息息相关,DNS的安全直接关系到整个互联网应用能否正常使用。近年来,针对DNS的攻击越来越多,影响也越来越大,因此如何保护DNS系统的安全就成为了目前互联网安全的首要问题之一。
(1)针对域名系统的攻击已成为互联网最重大的威胁之一,拒绝服务(DDoS)攻击、域名劫持、缓存投毒等频发。据统计,DNS是全球受攻击最为严重的三大互联网业务之一,DNS是全球DDoS攻击的第二大目标。国内外域名安全事件层出不穷,影响范围广,破坏性强。(2)域名体系的桥梁作用被恶意利用,成为攻击互联网的手段。如反射放大攻击利用了DNS递归请求等特性,以较低的成本向网络发动巨大的流量攻击。
DNS安全防护主要面临如下威胁:(1)针对DNS的DDoS攻击;(2)DNS欺骗;(3)系统漏洞。
各国高度重视域名解析系统安全,提升域名系统的安全性已成为全球业界协作的发力点。目前,DNSSEC在根和顶级域的部署取得阶段性进展,根服务器已全部部署了DNSSEC验证服务,截至2015年底,已有803%的顶级域名服务器部署了DNSSEC。此外,在反垃圾邮件、治理钓鱼网站等方面的国际合作近年来继续加强。
此次论坛上还发布了《中国互联网站发展状况及其安全报告(2017)》,《报告》由中国互联网协会和国家互联网应急中心联合发布,获得了北京泰尔英福网络科技有限责任公司、中国电信集团等单位支持。
北京泰尔英福网络科技有限责任公司(Teleinfo)依托“信息”顶级域,自建了面向全球的域名全生命周期服务平台,是完全覆盖域名实/命名验证、解析托管、云注册局、监测服务等环节的域名全生命周期服务商。Teleinfo负责运营托管的新顶级域已然超过10个,包括“信息”、“在线”、“中文网”等。泰尔英福是中文域名应用创新的坚定推动者,致力于实现更广范围的互联互通,更优质的网络在线服务和用户体验。
平时我们进行域名解析所用到的DNS服务器,是面对客户的一线的服务器。在服务器家族里还有一种叫做“DNS根服务器”的服务器。根服务器主要用来管理互联网的主目录,全世界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。
这13台根服务器可以指挥Firefox或互联网 Explorer这样的Web浏览器和电子邮件程序控制互联网通信。由于根服务器中有经美国政府批准的260个左右的互联网后缀(如com、net等)和一些国家的指定符,美国政府对其管理拥有很大发言权。这使得我们显得相当被动。
中国网民访问COM等境外域名时,大多仍需要经过国外的域名服务器进行解析,中美海底光缆一旦断裂,便会发生解析问题。中国东部、太平洋西海岸地区,属于地震多发地带,再加上台风等环境因素影响,形势显得更加严峻。台风“莫拉克”相信大家一定还有印象!
8月9日至13日,在台风“莫拉克”经过海域,共有9条国际海缆发生中断等不同程度的损坏。由于电信企业采取有效措施及时恢复,这些损坏没有对中国国际通信造成太大影响。但是,北京、上海、杭州、青岛、武汉等地大量MSN用户依然出现故障。
受伤的远不止MSN,如卡巴斯基等杀毒软件同样会发生不能升级、无法更新等故障。原因只有一个,它们的服务器都不在中国。
莫拉克”台风“重创”MSN再次提醒我们,无论设置多少台根镜像服务器,都不能彻底解决互联网的安全问题,一旦海底光缆断裂,中国的互联网通信将受到非常大的影响。
常备应急预案在一定程度上的确能降低损失,但只是权宜之计,治标不治本,要想根除这一问题,就只有一个办法,我们要参与游戏规则的制定。
全球互联网的13台DNS根服务器分布
美国VeriSign公司 2台
网络管理组织IANA(Internet Assigned Number Authority) 1台
欧洲网络管理组织RIPE-NCC(Resource IP Europeens Network Coordination Centre) 1台
美国PSINet公司 1台
美国ISI(Information Sciences Institute) 1台
美国ISC(Internet Software Consortium) 1台
美国马里兰大学(University of Maryland) 1台
美国太空总署(NASA) 1台
美国国防部 1台
美国陆军研究所 1台
挪威NORDUnet 1台
日本WIDE(Widely Integrated Distributed Environments)研究计划 1台
现在世界上一共有13个根域名服务器,10个在美国,2个在欧洲,1个在日本。而中国只有3个根域名“镜像”服务器。这13台逻辑根域名服务器中名字分别为“A”至“M”,真实的根服务器在2014年1月25日的数据为386台,分布于全球各大洲。
根域名服务器是架构因特网所必须的基础设施。在国外,许多计算机科学家将根域名服务器称作“真理”(TRUTH),足见其重要性。换句话说——攻击整个因特网最有力、最直接,也是最致命的方法恐怕就是攻击根域名服务器了。
在根域名服务器中虽然没有每个域名的具体信息,但储存了负责每个域(如COM、NET、ORG等)的解析的域名服务器的地址信息,如同通过北京电信你问不到广州市某单位的电话号码,但是北京电信可以告诉你去查020114。世界上所有互联网访问者的浏览器都将域名转化为IP地址的请求(浏览器必须知道数字化的IP地址才能访问网站)理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative name server) ,当然现实中提供接入服务的ISP的缓存域名服务器上可能已经有了这个对应关系(域名到IP地址)的缓存。
根域名镜像服务器之所以多了“镜像”二字,是因为DNS解析的结果最终还会汇总到根域名服务器上,也就是说中国一天没有根域名服务器,无论再多多少镜像服务器,提高也只是网民访问网页的速度,安全问题得不到彻底解决,拥有10个根域名服务器的美国照样可以根据得到中国互联网DNS解析的相关数据,这对中国的国家安全是非常大的威胁。
而为什么不能在中国增加第14个根域名服务器呢?
为了增加反应速度,网页访问的申请都是由一个数据包所完成的,而一个数据包的长度为256b,这就决定了一个数据包只能有13个块,这就从根本上限制了根域名服务器的数量,也就是说根域名服务器只能有13个。
如果中国要拥有自己的根域名服务器只有两个,一是从现在有根域名服务器的国家移植,二是改变网页访问的申请由一个数据包完成的现状。移植不可能,因为美国不会给,别的国家也不富裕。改变一个数据包的技术模式更不可能,因为牵扯范围和技术变动太大,不现实。
所以,现在中国不会有自己的根域名服务器,除非哪天互联网的底层支持技术发生彻底革命。IPV6只能解决中国码号资源问题(最新数据,中国网民已经激增到15亿,IPV4码号资源只有1亿,这也是中国采用动态IP最根本的原因),国家安全问题还要靠其他的附加技术实现。
另外 有一点,中国动辄就封,墙,拦截,屏蔽。。。要知道根服务是全球都要共享的,是一个开放的网络根本原则,照这种大局域网的趋势。。。根本没人想放进来,国际惯例也不允许。。。
0条评论