由“斷網(wǎng)”事件引發(fā)的思考與研究
2023年1月21日,國(guó)內(nèi)部分網(wǎng)絡(luò)用戶無法打開以com和net為后綴的網(wǎng)站。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的公告稱,此次斷網(wǎng)事件,初步判斷是由于國(guó)際頂級(jí)域名服務(wù)解析出現(xiàn)異常造成的。通過對(duì)域名服務(wù)器跟蹤測(cè)試分析發(fā)現(xiàn),全球13個(gè)根服務(wù)器中,至少有兩個(gè)根域名服務(wù)器出現(xiàn)問題,造成以com和net為后綴的網(wǎng)站域名被解析到65. 49. 2178這個(gè)無法訪問的美國(guó)IP地址。粗略估算,國(guó)內(nèi)有超過2億的網(wǎng)絡(luò)用戶受到這次斷網(wǎng)事件的影響。因根域名服務(wù)器出現(xiàn)異常導(dǎo)致的斷網(wǎng)事件在全球已經(jīng)發(fā)生過多次。由于全球僅有的13個(gè)根域名服務(wù)器都在國(guó)外,且管理權(quán)掌握在美國(guó)手中,我們無法對(duì)斷網(wǎng)事件做到事前防范,此次斷網(wǎng)事件,再次給我國(guó)的網(wǎng)絡(luò)安全敲響了警鐘。
一斷網(wǎng)原因分析
在互聯(lián)網(wǎng)中發(fā)生大而積斷網(wǎng)事件,主要有兩種原因。一是連接互聯(lián)網(wǎng)的光纜被切斷。2006年12月27日,受臺(tái)灣地震的影響,多條國(guó)際海底光纜被震斷,造成我國(guó)大陸到臺(tái)灣地區(qū)、美國(guó)、歐洲等方向的通信和網(wǎng)絡(luò)中斷;二是域名服務(wù)器出現(xiàn)問題,造成網(wǎng)絡(luò)域名無法正確解析。這次和此前發(fā)生的多次斷網(wǎng)事件,大多都是由于域名服務(wù)器出現(xiàn)異常造成的。為什么域名服務(wù)器出現(xiàn)問題,會(huì)造成大而積的斷網(wǎng),這要從互聯(lián)網(wǎng)的運(yùn)行機(jī)制說起。
(一)IP地址和域名
計(jì)算機(jī)必須被賦予一個(gè)唯一標(biāo)識(shí)才能接入互聯(lián)網(wǎng),這個(gè)標(biāo)識(shí)就是IP地址。IP地址由32位二進(jìn)制數(shù)組成,例如,百度的IP地址表達(dá)成十進(jìn)制形式是:202. 108. 22. 5。在瀏覽器地址欄中輸入這個(gè)IP地址,就能打開百度網(wǎng)站。但由于IP地址難以記住,所以,經(jīng)常使用域名來訪問互聯(lián)網(wǎng)。例如百度的域名是:www. baidu. com,要打開百度,只要輸入這個(gè)域名即可。
實(shí)際上,IP地址和域名表示的是互聯(lián)網(wǎng)中的同一臺(tái)計(jì)算機(jī)主機(jī)。不同的是,一個(gè)IP地址可以用多個(gè)域名來表示,所以,IP地址才是互聯(lián)網(wǎng)中主機(jī)的唯一標(biāo)識(shí)。因此,當(dāng)使用域名訪問網(wǎng)絡(luò)時(shí),只有將域名成功翻譯成正確的IP地址后才能在互聯(lián)網(wǎng)中找到對(duì)應(yīng)的主機(jī)。
把域名翻譯成IP地址的軟件稱為域名系統(tǒng)。域名系統(tǒng)是一個(gè)域名和IP地址相互映射的分布式數(shù)據(jù)庫(kù),它采用分級(jí)授權(quán)的管理機(jī)制,將主機(jī)域名分成不同的層級(jí)。在這個(gè)層級(jí)結(jié)構(gòu)中,最頂層的稱為根域,隨后是處于不同層級(jí)的子域。完整的域名,由從最底層的子域到根域的名字用點(diǎn)連接而成的字串組成。
(二)域名解析和域名服務(wù)器
將域名翻譯成IP地址的過程稱為域名解析。網(wǎng)絡(luò)訪問能否成功,關(guān)鍵是域名能否被成功解析,即找到域名對(duì)應(yīng)的IP地址。域名解析是通過互聯(lián)網(wǎng)中的域名服務(wù)器來完成的。域名服務(wù)器是裝有域名系統(tǒng)的主機(jī),它除負(fù)責(zé)管理域名數(shù)據(jù)外,還接受來自互聯(lián)網(wǎng)的域名查詢請(qǐng)求。域名服務(wù)器分為本地域名服務(wù)器和根域名服務(wù)器。本地域名服務(wù)器上存儲(chǔ)著域名到IP地址對(duì)應(yīng)關(guān)系的緩存數(shù)據(jù),用于提供快速的域名解析服務(wù)。根域名服務(wù)器保存著通用頂級(jí)域名和國(guó)家及地區(qū)頂級(jí)域名的數(shù)據(jù)。常用的COM (商業(yè)/企業(yè))、NET商業(yè)/網(wǎng)絡(luò))等屬于通用頂級(jí)域名,而US(美國(guó)),CN(中國(guó))等屬于國(guó)家及地區(qū)頂級(jí)域名。
由于受到域名解析協(xié)議中數(shù)據(jù)包大小的限制,根域名服務(wù)器最多只能有13個(gè)。目前,這13個(gè)根域名服務(wù)器美國(guó)有10個(gè),英國(guó)、瑞典、日本各有1個(gè),它們由美國(guó)商務(wù)部授權(quán)的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)統(tǒng)一管理。處于最上層的頂級(jí)域名由ICANN授權(quán)給某個(gè)域名注冊(cè)機(jī)構(gòu)進(jìn)行具體管理,例如COM和NET域名的注冊(cè)和管理機(jī)構(gòu)是美國(guó)的威瑞信(VeriSign)公司,而CN域名的注冊(cè)和管理機(jī)構(gòu)是中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心。
當(dāng)用戶輸入一個(gè)域名時(shí),首先由本地域名服務(wù)器進(jìn)行解析。如果本地域名服務(wù)器上保存了要查詢的域名記錄,域名服務(wù)器就立即將查詢到的IP地址返回給發(fā)出查詢請(qǐng)求的客戶端。如果本地域名服務(wù)器上沒有要查詢的記錄,域名服務(wù)器則向最頂層的根域名服務(wù)器發(fā)出查詢請(qǐng)求[ca目39。此時(shí),如果找到了要查詢的主機(jī)IP地址,該地址將被傳回給發(fā)出查詢請(qǐng)求的客戶端,域名解析成功,否則域名解析失敗,網(wǎng)站無法打開。由此可見,在域名解析過程中,根域名服務(wù)器決定了某個(gè)二級(jí)域名下所有主機(jī)域名的解析,如果根域名服務(wù)器出現(xiàn)問題,就有可能使某個(gè)二級(jí)域名下的所有網(wǎng)站都無法打開,造成大而積的斷網(wǎng)。
二、與根域名服務(wù)器有關(guān)的斷網(wǎng)事件
如果域名服務(wù)器出現(xiàn)異常,域名解析就無法正常進(jìn)行,該域名服務(wù)器管理的域名所對(duì)應(yīng)的網(wǎng)站就無法打開,造成局部的網(wǎng)絡(luò)服務(wù)中斷。而如果根域名服務(wù)器出現(xiàn)異常,就可能造成大而積的斷網(wǎng)。
1997年7月,由于在根域名服務(wù)器之間自動(dòng)傳遞新的IP地址分配清單時(shí),誤傳了一份空白的IP地址分配表,造成域名無法解析,導(dǎo)致局部網(wǎng)絡(luò)服務(wù)中斷,網(wǎng)頁無法打開,電子郵件無法發(fā)送。
2002年10月21日,黑客采用被稱為DDOS(分布式拒絕服務(wù))的攻擊手段,在大約1個(gè)小時(shí)的時(shí)間內(nèi),對(duì)13個(gè)根域名服務(wù)器進(jìn)行了超過常規(guī)數(shù)量幾十倍的數(shù)據(jù)攻擊,導(dǎo)致其中的9個(gè)無法正常運(yùn)行,造成部分網(wǎng)絡(luò)服務(wù)中斷。
2007年2月5日晚,至少有3個(gè)根域名服務(wù)器遭到黑客的攻擊,其中包括Nausea:公司的U1traDNS管理的org根域名服務(wù)器、美國(guó)國(guó)防部運(yùn)行的一個(gè)根域名服務(wù)器以及互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)下屬的一個(gè)根域名服務(wù)器。這次黑客攻擊事件使部分網(wǎng)絡(luò)服務(wù)受到了影響。
2023年1月12日7時(shí)左右百度出現(xiàn)大而積的訪問故障,中國(guó)內(nèi)地大部分地區(qū)和美國(guó)、歐洲等地都無法正常登陸百度網(wǎng)站,直至中午12時(shí)訪問才陸續(xù)恢復(fù)。事后調(diào)查發(fā)現(xiàn),黑客攻擊了位于美國(guó)境內(nèi)負(fù)責(zé)百度域名解析的根域名服務(wù)器,篡改了百度域名注冊(cè)信息。此次斷網(wǎng)事件給百度造成的直接損失超過700萬元人民幣。
2023年8月25日凌晨,負(fù)責(zé)CN授權(quán)的根域名服務(wù)器遭到大規(guī)模的分布式拒絕服務(wù)攻擊,導(dǎo)致域名服務(wù)器訪問延遲或中斷,大部分CN域名解析受到影響,造成大量以com結(jié)尾的網(wǎng)站無法打開。直到凌晨4點(diǎn)左右,CN根域名服務(wù)器的解析才部分恢復(fù)正常。
由于美國(guó)擁有全球13個(gè)根域名服務(wù)器中的1個(gè)主根域名服務(wù)器和9個(gè)輔根域名服務(wù)器,而且在1998年10月,美國(guó)商務(wù)部組建了互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN),負(fù)責(zé)根域名服務(wù)器的管理(包括IP地址的分配、協(xié)議標(biāo)識(shí)符的指派、頂級(jí)域名的管理等)。出于國(guó)家利益的考慮,憑借對(duì)根域名服務(wù)器的管理權(quán),美國(guó)可以隨時(shí)屏蔽掉敵對(duì)國(guó)家的頂級(jí)域名,使這些域名無法得到解析,讓一個(gè)國(guó)家在互聯(lián)網(wǎng)中瞬間消失。
2002年,當(dāng)營(yíng)運(yùn)伊拉克國(guó)家頂級(jí)域名IQ的美國(guó)Into-Com公司向伊斯蘭極端組織哈馬斯提供資金后,ICANN收回了IQ域名的所有權(quán)。2003年伊拉克戰(zhàn)爭(zhēng)期間,美國(guó)政府授意ICANN終}f對(duì)頂級(jí)域名IQ的解析,致使所有以IQ為后綴的網(wǎng)站無法打開。直到2005年,ICANN才將IQ域名還給伊拉克電信管理機(jī)構(gòu)國(guó)家通信和媒體委員會(huì)。2004年4月,由于在頂級(jí)域名管理權(quán)問題上與美國(guó)發(fā)生分歧,美國(guó)關(guān)閉了利比亞頂級(jí)域名LY,使得所有以LY為后綴的網(wǎng)站突然無法打開,直到4天后這些網(wǎng)站才恢復(fù)正常。
三、從斷網(wǎng)事件反思我國(guó)的網(wǎng)絡(luò)安全
這次發(fā)生的斷網(wǎng)事件,再次給我國(guó)的網(wǎng)絡(luò)安全敲響了警鐘。我國(guó)是互聯(lián)網(wǎng)發(fā)展最快的國(guó)家之一,網(wǎng)絡(luò)用戶已位居世界第一。為了盡量減少斷網(wǎng)事件給我們?cè)斐傻挠绊懀覀儽仨氝M(jìn)一步加強(qiáng)國(guó)內(nèi)域名服務(wù)器的管理,做好國(guó)家頂級(jí)域名CN下的二級(jí)域名注冊(cè),做好下一代互聯(lián)網(wǎng)技術(shù)條件下自主根域名服務(wù)器建設(shè)的技術(shù)儲(chǔ)備,建立行之有效的網(wǎng)絡(luò)安全保障體系。
(一)進(jìn)一步做好國(guó)家頂級(jí)域名CN下的二級(jí)域名注冊(cè)
在目前的互聯(lián)網(wǎng)域名體系下,COM,NET等頂級(jí)域名均由國(guó)外公司負(fù)責(zé)管理,網(wǎng)絡(luò)安全無法得到保證。而CN下的域名由中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)負(fù)責(zé)管理。盡管注冊(cè)CN下的域名無法徹底擺脫美國(guó)的控制,但它至少可以規(guī)避一些來自外部風(fēng)險(xiǎn)。
一是可以提高域名訪問的穩(wěn)定性。在正常情況下,CN域名主要通過國(guó)內(nèi)的域名服務(wù)器解析。由于中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心在全國(guó)設(shè)置了多個(gè)負(fù)責(zé)CN域名解析的根域名鏡像服務(wù)器,這保證了訪問CN域名下的網(wǎng)站更為穩(wěn)定快捷。
二是可以提高網(wǎng)絡(luò)的安全性。由于COM ,NET等域名由國(guó)外機(jī)構(gòu)負(fù)責(zé)管理,一旦他們不再為我們提供域名解析,這類域名的網(wǎng)絡(luò)服務(wù)將徹底中斷。而CN在國(guó)內(nèi)設(shè)置了多個(gè)根域名鏡像服務(wù)器,即使在根域名服務(wù)器中止CN域名解析這種極端情況發(fā)生時(shí),至少能保證大多數(shù)CN域名下注冊(cè)的網(wǎng)站在國(guó)內(nèi)能正常訪問。
為了提高CN域名的影響力,讓更多的用戶愿意使用CN域名,一要加強(qiáng)CN域名的管理,建立更加靈活、寬松的注冊(cè)機(jī)制,不斷提升CN域名的競(jìng)爭(zhēng)力;二要做好CN域名的宣傳工作,不斷擴(kuò)大CN的影響力;三要完善與域名相關(guān)的法律法規(guī),對(duì)于政府機(jī)關(guān)、金融證券、電子商務(wù)、交通運(yùn)輸?shù)壬婕皣?guó)家安全的重要網(wǎng)站,應(yīng)要求他們使用CN域名。
(二)做好下一代互聯(lián)網(wǎng)技術(shù)條件下自主根域名服務(wù)器建設(shè)的技術(shù)儲(chǔ)備
按照域名解析流程,在層級(jí)式域名解析體系中,處于最頂層的是根域名服務(wù)器,它負(fù)責(zé)管理世界各國(guó)的域名信息; 根域名服務(wù)器下是頂級(jí)域名服務(wù)器,存儲(chǔ)著相關(guān)域名管理機(jī)構(gòu)的數(shù)據(jù)庫(kù);再下一級(jí)是域名數(shù)據(jù)庫(kù)和互聯(lián)網(wǎng)服務(wù)提供商的緩存服務(wù)器。盡管根域名服務(wù)器中沒有存儲(chǔ)域名的完整信息,但其中儲(chǔ)存了負(fù)責(zé)每個(gè)頂級(jí)域名的解析域名服務(wù)器的地址信息。所以,理論上,無論是COM形式的域名,還是CN形式的域名,都必須經(jīng)過根域名服務(wù)器才能順利地實(shí)現(xiàn)域名的解析。
正是因?yàn)楦蛎⻊?wù)器在互聯(lián)網(wǎng)中具有十分重要地位,所以美國(guó)始終不肯放棄對(duì)根域名服務(wù)器的管理權(quán)。在ICANN成立初期,美國(guó)商務(wù)部曾經(jīng)承諾,當(dāng)ICANN滿足一定條件時(shí)將放棄對(duì)互聯(lián)網(wǎng)最終的否決權(quán)。然而,2005年7月1日,美國(guó)政府宣布,美國(guó)商務(wù)部將繼續(xù)與ICANN簽訂合約,將無限期保留對(duì)13個(gè)根域名服務(wù)器的管理權(quán)。所以,要徹底擺脫美國(guó)對(duì)互聯(lián)網(wǎng)的控制,最終出路就是建立自己的根域名服務(wù)器。然而,在現(xiàn)行的網(wǎng)絡(luò)運(yùn)行機(jī)制下這是無法做到的,這只能寄托于下一代互聯(lián)網(wǎng)技術(shù)IPV6 。
IPV6是指互聯(lián)網(wǎng)通信協(xié)定第6版,它是替代當(dāng)前IPV4的下一代互聯(lián)網(wǎng)協(xié)議版本。目前使用的IPV4互聯(lián)網(wǎng)通信協(xié)議,最大的問題是IP地址嚴(yán)重不足,這已成為制約互聯(lián)網(wǎng)發(fā)展的最大瓶頸。而IPV6可提供更多的IP地址,徹底解決IP地址數(shù)量不足的問題。為滿足IPV6的技術(shù)要求,根域名服務(wù)器也將隨之?dāng)U充和調(diào)整,這為我們建立自己的完全獨(dú)立的根域名服務(wù)器提供了難得的契機(jī)。
令人欣慰的是,我國(guó)政府和科技界的有識(shí)之士已經(jīng)看到了建立自主獨(dú)立的根域名服務(wù)器的重要性,相關(guān)部門和機(jī)構(gòu)已經(jīng)開始著手這方而的規(guī)劃和研究。例如,中科院計(jì)算機(jī)網(wǎng)絡(luò)信息中心已經(jīng)開始了基于IPV6根域名服務(wù)器的研究,建立了IPV6試驗(yàn)網(wǎng),解決了IPV6環(huán)境下設(shè)置根域名服務(wù)器的一系列關(guān)鍵技術(shù)。建立IPV6根域名服務(wù)器,將為我國(guó)規(guī);渴餓PV6網(wǎng)絡(luò)域名系統(tǒng)提供有力的技術(shù)支撐,對(duì)保障國(guó)家網(wǎng)絡(luò)安全具有十分重要的作用。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請(qǐng)發(fā)送郵件至 yyfangchan@163.com (舉報(bào)時(shí)請(qǐng)帶上具體的網(wǎng)址) 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除