美国断了根服务器, 并不能让中国断网, 主要影响的是国际互通, 比如国外网民可能访问不了中国的一些网站, 但并不影响中国的网民访问中国的网站. 他还表示, 其实, 网民在浏览网站的时候, 域名解析并不是在根服务器中进行的, 而是在本地域名服务器中进行的.
网络传言美国能分分钟掐断中国网络, 是因为美国掌管着全球 13 台根服务器中的 10 台. 这是真的吗? 8 月 15 日, 在 2018 中国网络安全年会上, 互联网域名系统北京市工程研究中心主任董事长毛伟表示, 关闭根服务器让中国断网是无稽之谈.
IPv6 环境下, 国际互联网秩序或将重塑
每个网站都有一个 IP 地址, 如央视网的 IP 是 202.108.8.82, 很明显, 这种无规律的长串数字不容易记住. 为了方便记忆(或出于其他目的), 每个 IP 地址都有对应的域名, 如央视的域名为: cctv.com. 每一个 IP 地址对应一个域名, 众多对应值形成一个个列表, 这些列表就保存在 DNS 域名服务器中.
当你在浏览器地址栏中输入 cctv.com, 欲访问该网站时, 你会先去 DNS 域名服务器中找到对应的 IP 地址, 然后才能与 cctv 网站连接, 实现对网站的访问. 通过 DNS 域名服务器将域名转化成 IP 地址的过程就叫域名解析.
美国的根服务器就是全球总的 DNS 域名服务器. 据毛伟介绍, 根服务器中保存着 1000 多个顶级域名信息, 而常用的不到 10 个.
毛伟指出, 美国断了根服务器, 并不能让中国断网, 主要影响的是国际互通, 比如国外网民可能访问不了中国的一些网站, 但并不影响中国的网民访问中国的网站. 他还表示, 其实, 网民在浏览网站的时候, 域名解析并不是在根服务器中进行的, 而是在本地域名服务器中进行的, 本地域名服务器通常设立在运营商处, 此时本地服务器就相当于根服务器.
域名解析过程. 图自网络.
"就算美国真的断了根服务器, 也有应急手段." 毛伟说, 比如将根服务器中的数据写到自建的根服务器中或建一套镜像根服务器. 据隐私护卫队了解, 我国早在 10 多年前就开始搭建自己的 DNS 域名服务器, 复制了根服务器中的 IP 地址和域名信息.
不仅如此, 未来国际互联网的秩序或将重塑. 随着网络的发展, IPv4 的资源已逐渐耗尽, IPv6 应运而生. 据隐私护卫队了解, 基于全新技术架构的全球下一代互联网 (IPv6) 根服务器测试和运营实验项目 --"雪人计划(Yeti DNS Project)" 已于 2016 在美国, 日本, 印度, 俄罗斯, 德国, 法国等全球 16 个国家完成 25 台 IPv6 根服务器架设, 其中中国部署了 4 台, 1 台主根, 3 台辅根服务器.
企业域名服务能力不足带来安全风险
虽然不用担心根服务器被断的隐患, 但毛伟表示, 企业域名服务存在的风险更大, 更现实. 据了解, 域名服务包括两个大类, 一是通常所说的域名注册服务, 另外一个就是域名安全运营服务.
近年来, 因域名故障导致的企业安全事件频发. 2016 年 10 月, 美国提供域名服务的 Dyn DNS 遭到了大规模 DDoS 攻击, 导致美国大半个互联网断网, 其中受影响的包括 Twitter,Airbnb 等知名企业; 2015 年 3 月, 苹果旗下 iTunes 商店, App Store 及多个互联网在线服务发生了全球性大面积故障, 中断时间长达 11 个小时, 苹果公司称事件原因是遭遇一个内部域名系统错误, 这个错误导致当日苹果股价大跌市值严重缩水; 2014 年 12 月, 国内爆发规模最大的针对运营商网络的恶性 DDoS 攻击事件, 导致多个省份网页无法访问.
对此, 毛伟表示,"无论是内部稳定性问题, 还是外部黑客攻击, 一旦域名服务入口发生故障, 就会影响企业基于网络的所有服务, 给企业带来不可避免的严重损失."
毛伟指出, 域名服务系统是企业所有网络服务的入口, 支撑企业网络安全稳定运行的关键基础设施, 一旦出现故障, 将影响基于网络的所有服务, 造成企业断网, 给企业带来无法衡量的巨大损失和严重危害."这是摆在企业面前更现实的威胁!"
那么, 企业域名服务面临的威胁来源于哪儿? 毛伟表示, 一是域名注册地带来的合规风险. 域名的管理机构通常为商业公司, 这些管理机构有能力删除, 锁定域名, 它们受所在国家法律法规管辖. 企业通过域名注册服务商注册域名, 这些服务商也受所在国法律管辖. 如果企业网站注册域名的管理机构或服务商是国外公司, 则存在触犯他国法律法规或其他原因而被关停的风险.
毛伟建议, 企业在注册域名时, 可以选择国内合规的注册局或注册商, 有能力的企业也可申请自己的顶级域名. 比如国内以 "BAT" 为代表的互联网公司和一些大企业, 已经申请了 ".baidu"".taobao" 的企业顶级域名, 将管理权控制在自己手中.
另一方面, 域名服务能力不足也带来安全风险. 毛伟表示, 域名系统是企业网络重要的基础服务, 但国内大部分企业还在采用开源软件并加以简单配置的初级阶段. 域名系统长期处于缺乏管理的状态, 没有专业人员维护, 缺乏相应的运行管理规范, 导致配置错误, 性能不能充分发挥, 软件版本不能及时升级, 出现故障不能及时有效处理等情况普遍发生. 例如上文提到的苹果公司断网事件, 就是因为域名配置出现问题.
业内资深人士建议, 提高域名服务能力可以从内部, 外部展开. 在内部, 企业应避免人工失误, 避免程序出错. 网络加强灾备, 有条件的企业, 可以接入多家运营商网络, 避免网络出现阻塞时, 导致用户访问异常. 对于外控, 企业应加强自身安防能力, 防范攻击和劫持.
来源: http://server.51cto.com/ManageDC-581991.htm