“没有独立的根域名服务器,就好比在一场核战争中用大刀长矛去应对核武器。南开大学信息技术科学学院副教授史广顺告诉记者,域名解析过程是通过多个层级的域名服务器进行的,对所有网址的解析都需要通过根服务器才能完成。
原标题:摆脱互联网基础资源受制于人局面
没有独立的根域名服务器,就好比在一场核战争中用大刀长矛去应对核武器。目前这种网络威慑持续存在,而我们却没有任何还手之力
文/《瞭望》新闻周刊记者 翟永冠 邓中豪 孙洪磊
去年下半年以来,我国曾多次发生互联网故障。尤以今年1月21日发生的故障为甚。当天下午,我国互联网突现大范围异常。大量国内用户在访问 .com 等域名网站时,页面被链接至美国北卡罗来纳州卡里镇某公司的Ip地址。有消息称,此公司正是翻墙软件 自由门 的开发者。
据本刊记者了解,此次故障时间大约持续了20分钟,最高峰时全国包括新浪、百度、腾讯等在内的约2/3的网站受到影响。微博调查亦显示,事故发生期间,有超过85%的网友遭遇网速变慢或打不开网站的情况。据360公司统计,截至当天19点,全国仍有北京、上海、江苏、江西、四川、福建等十余个地区网民受其 后遗症 影响。
360网站安全专家董方表示,此次故障为国内域名的解析异常,输入的网址被解析到错误的Ip上。由于各省运营商服务器上会缓存域名系统(DNS),短的一个小时更新一次,长的48小时更新一次。这些地区DNS服务器因为缓存原因,需要12到24小时的更新生效时间,当地网民访问网站仍可能会被解析到错误的Ip上。
域名解析异常不排除黑客攻击可能
据受访专家介绍,此次国内互联网出现大规模 瘫痪 ,一个可以肯定的原因是域名解析过程出现了问题。
天津市公安局科技处副处长李渊涛说,人们习惯记忆网址域名,但互联网上的电脑相互之间只认Ip地址。互联网通过一定的机制,将域名与Ip地址相对应。当用户输入域名后,通过一层层的域名服务器进行域名解析,即可指向特定Ip地址,进而从该地址的主机调用网站的内容。
李渊涛举例称,域名与Ip地址的关系,就好比通讯录里的姓名和电话号。当我们发短信时,可以直接选择通讯录里的姓名,而不用直接输入对方的电话号。但事实上,姓名只是电话号码的一个代号。1月21日出现的问题,就相当于无论选择通讯录里的哪个名字,短信都发给了一个错误的电话号,问题肯定出在了域名的解析过程。
董方称,360网站当时对全国各地的域名解析进行追踪,发现各地域名的解析时间出奇地一致,统一为25毫秒。由此推测,此次事件最大的可能是根域名服务器被污染,而且是只针对国内域名。360公司认为,这次事故是由于两个根服务器遭到污染,使得国内通用顶级域名服务出现异常,由此导致国内大量网站无法正常访问。不排除有黑客入侵了根域名服务器,接管了解析响应,或者在网络传输通过的各大型节点处将解析结果进行了篡改与替换。
南开大学计算机科学与信息安全系教授也认为,本次异常表现为对 .com 顶级域名的解析被转移到位于美国北卡罗来纳的一个Ip地址,不排除这是一次有预谋的黑客攻击。
对此,中国互联网络信息中心(CNNIC)执行主任兼互联网域名管理技术国家工程实验室执行主任李晓东表示,从国家域名安全中心的分析情况看,域名根服务器、国家顶级域名服务( .cn 和 .中国 )以及通用顶级域名服务( .com 和 .net 等)自身的运行服务并无故障,此次故障的原因是运营商的域名服务器查询上述服务的中间过程出错,间接导致网民上网失败。
互联网根域名服务器受制于人
据了解,我国曾多次发生类似事件:2013年7月6日,上海联通DNS设备发生故障,导致2G、3G的手机用户无法上网;2013年8月25日, .cn 根域名服务器全线故障;时隔5个月,国内又再次发生DNS故障。
专家表示,无论此次故障是否由黑客攻击根服务器造成,我国在互联网基础战略资源方面受制于人所带来的诸多隐患都需引起高度警惕。
南开大学信息技术科学学院副教授史广顺告诉记者,域名解析过程是通过多个层级的域名服务器进行的,对所有网址的解析都需要通过根服务器才能完成。
刘晓光说,为了规范网址的命名,互联网协议规定,按照网站性质的不同,网址的最后一个名字是固定的,例如商业企业一般以 .com 结尾,政府机构以 .gov 结尾,社会组织以 .org 结尾。全世界所有的网站,都按照网址组成一个类似于树的结构。顶级域名就是树根,对于任何一个网址的解析,都可看作从这棵树的根开始一直查找直到相应Ip地址。
据介绍,根服务器主要用来管理互联网的主目录,全世界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和Ip地址等的管理。
1998年9月美国成立的 互联网域名与地址管理公司 (ICANN),是目前全球互联网的最高管理机构,它管理着13台根域名服务器,决定着互联网域名和Ip地址的分配、域名登记与出售以及相关政策的制定等。
美国是互联网世界的 超超级 大国,掌握全世界绝大多数网络根本资源。据了解,美国商务部曾经承诺,一旦ICANN满足一定条件,美国政府将放弃否决权,并把期限设定在2006年。但是2005年7月1日,美国商务部却宣布将无限期保留对13台域名根服务器的监控权,这也就是保留着对全球互联网最基本的控制权。
史广顺认为,根服务器 可以说是全球互联网的核心命脉 ,互联网上所有网址的解析都需要通过根服务器才能完成,一旦根服务器出现问题,整个互联网都会瘫痪。尽管此次并不能确定是根服务器受到攻击所造成的,但作为全世界网民人数最多的国家,中国并没有自己的根服务器。一旦通过在美国的根服务器对中国发动攻击,我国互联网系统只能坐以待毙。
史广顺指出,中国是互联网技术应用大国,却不是技术和管理大国。对许多关键的核心领域,我们实际上已经受制于人。 IT领域是胜者通吃的环境,欧美国家先行一步,领先世界,我们要想有后发优势,必须具备自主技术体系和自主的管理服务体系。 史广顺强调说。
受制于人的多重风险
多位受访的专家和IT界人士表示,对于一个国家来说,根域名服务器被美国垄断,相当于它的互联网大厦是建立在美国所搭建的基础上,美国拥有随时进行毁灭性网络打击的能力,网络信息安全乃至于国家安全的潜在风险不可估量。
董方介绍说,以这次网络瘫痪为例,根服务器被攻击后,用户正常访问被解析到错误的服务器地址,最直接影响就是大面积断网,用户还有可能被钓鱼网站欺诈,造成群体性个人信息或者财产的损失。而对于一个国家的影响则更加严重。
史广顺认为,对于信息安全和国家战略而言,根服务器意味着 网络指挥部 是否在自己手中。目前的互联网体系中我国没有根域名服务器,在某种程度上,不能完全控制自己所有的网站。如果出现战争、重大国家冲突等问题,只要敌国关闭根服务器,那么我们基于网络的软件和设备将在一夜之间全都变成废品。对国内的解析请求的屏蔽会导致国内全网瘫痪事件。
事实上,其他国家已经出现了这样利用根域名服务进行网络攻击的案例。
南开大学计算机与控制工程学院博士生导师贾春福告诉记者,2004年4月,由于 .ly 域名瘫痪,导致利比亚从互联网上消失了3天。美国《华盛顿邮报》曾经报道说,在伊拉克战争爆发前的一个多月,美国政府曾下令有关机构制定一项针对敌国计算机网络的网络战计划,该计划被称之为 16号国家安全总统令 。在伊拉克战争期间,ICANN曾以伊拉克局势动荡为由,终止了其国家顶级域名 .iq 的申请和解析。
专家表示,假如美国出于自身利益的需要,想使某个国家的互联网陷入瘫痪,使该国无法通过互联网与外部世界进行正常的信息交流,这在技术上是完全可以做到的。 没有独立的根域名服务器,就好比在一场核战争中用大刀长矛去应对核武器。目前这种网络威慑持续存在,而我们却没有任何还手之力。 贾春福说。
建立独立根域名服务体系
根域名服务器对我国网络信息安全乃至国家安全具有重要意义,专家建议,我国应该立足现实,在现有框架体系内争取更多话语权,能够参与规则制定,做好容灾备份。同时着眼长远,探索建立独立的根域名服务体系,把握下一轮网络技术革新机遇,争取更多的网络信息安全和话语权。
首先,在现有信息框架难以突破的情况下,应该尽可能参与其中,扩大影响力和话语权。
贾春福说,美国有控制权,其他国家要想完全摆脱美国在域名管理上的控制权还比较困难。但国内的站点由自己的域名服务器来解析则是比较现实和可行的,还可以跟其他国家合作,扩大影响力。
李晓东认为,鉴于DNS系统牵一发而动全身的地位,我国应该在DNS的容灾和故障响应方面做更多的准备,切实提高对域名系统安全防护的重视程度。应从国家战略的高度,提升对域名系统安全防护的重视程度,同时进一步加强域名体系各环节的服务水平和故障处理能力。
受访专家建议,尽管目前美国垄断的体系难以突破,但立足长远,我国应该把握下一次互联网发展的机会,逐步建立属于自己的根域名服务体系。
刘晓光表示,目前基于IpV6的新一代互联网协议正在建设,是我国建设根域名服务体系可以利用的机会。如果能够在IpV6时代将部分根服务器转移到中国,或许是最佳的选择。
互联网即将进入IpV6时代,重新制定互联网的相关规则是有可能的。 刘晓光说, 可以利用中国的巨大市场和人口,主导相关标准和制度的建立,同时 棱镜 计划的曝光,使得美国丧失了道德的制高点,使其他国家重新建立公平、互信的下一代互联网成为可能。