網路傳言美國能分分鐘掐斷中國網路,是因為美國掌管著全球13臺根伺服器中的10臺。這是真的嗎?8月15日,在2018中國網路安全年會上,網際網路域名系統北京市工程研究中心主任董事長毛偉表示,關閉根伺服器讓中國斷網是無稽之談。
IPv6環境下,國際網際網路秩序或將重塑
每個網站都有一個IP地址,如的IP是202.108.8.82,很明顯,這種無規律的長串數字不容易記住。為了方便記憶(或出於其他目的),每個IP地址都有對應的域名,如央視的域名為:ityears.com。每一個IP地址對應一個域名,眾多對應值形成一個個列表,這些列表就儲存在DNS域名伺服器中。
當你在瀏覽器位址列中輸入ityears.com、欲訪問該網站時,你會先去DNS域名伺服器中找到對應的IP地址,然後才能與站連線,實現對網站的訪問。透過DNS域名伺服器將域名轉化成IP地址的過程就叫域名解析。
美國的根伺服器就是全球總的DNS域名伺服器。據毛偉介紹,根伺服器中儲存著1000多個頂級域名資訊,而常用的不到10個。
毛偉指出,美國斷了根伺服器,並不能讓中國斷網,主要影響的是國際互通,比如國外網民可能訪問不了中國的一些網站,但並不影響中國的網民訪問中國的網站。他還表示,其實,網民在瀏覽網站的時候,域名解析並不是在根伺服器中進行的,而是在本地域名伺服器中進行的,本地域名伺服器通常設立在運營商處,此時本地伺服器就相當於根伺服器。
“就算美國真的斷了根伺服器,也有應急手段。”毛偉說,比如將根伺服器中的資料寫到自建的根伺服器中或建一套映象根伺服器。據隱私護衛隊瞭解,我國早在10多年前就開始搭建自己的DNS域名伺服器,複製了根伺服器中的IP地址和域名資訊。
不僅如此,未來國際網際網路的秩序或將重塑。隨著網路的發展,IPv4的資源已逐漸耗盡,IPv6應運而生。據隱私護衛隊瞭解,基於全新技術架構的全球下一代網際網路(IPv6)根伺服器測試和運營實驗專案——“雪人計劃(Yeti DNS Project)”已於2016在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺IPv6根伺服器架設,其中中國部署了4臺,1臺主根,3臺輔根伺服器。
企業域名服務能力不足帶來安全風險
雖然不用擔心根伺服器被斷的隱患,但毛偉表示,企業域名服務存在的風險更大、更現實。據瞭解,域名服務包括兩個大類,一是通常所說的域名註冊服務,另外一個就是域名安全運營服務。
近年來,因域名故障導致的企業安全事件頻發。2016年10月,美國提供域名服務的Dyn DNS遭到了大規模DDoS攻擊,導致美國大半個網際網路斷網,其中受影響的包括Twitter、Airbnb等知名企業;2015年3月,蘋果旗下iTunes商店、App Store及多個網際網路線上服務發生了全球性大面積故障,中斷時間長達11個小時,蘋果公司稱事件原因是遭遇一個內部域名系統錯誤,這個錯誤導致當日蘋果股價大跌市值嚴重縮水;2014年12月,國內爆發規模最大的針對運營商網路的惡性DDoS攻擊事件,導致多個省份網頁無法訪問。
對此,毛偉表示,“無論是內部穩定性問題,還是外部駭客攻擊,一旦域名服務入口發生故障,就會影響企業基於網路的所有服務,給企業帶來不可避免的嚴重損失。”
毛偉指出,域名服務系統是企業所有網路服務的入口,支撐企業網路安全穩定執行的關鍵基礎設施,一旦出現故障,將影響基於網路的所有服務,造成企業斷網,給企業帶來無法衡量的巨大損失和嚴重危害。“這是擺在企業面前更現實的威脅!”
那麼,企業域名服務面臨的威脅來源於哪兒?毛偉表示,一是域名註冊地帶來的合規風險。域名的管理機構通常為商業公司,這些管理機構有能力刪除、鎖定域名,它們受所在國家法律法規管轄。企業透過域名註冊服務商註冊域名,這些服務商也受所在國法律管轄。如果企業網站註冊域名的管理機構或服務商是國外公司,則存在觸犯他國法律法規或其他原因而被關停的風險。
毛偉建議,企業在註冊域名時,可以選擇國內合規的註冊局或註冊商,有能力的企業也可申請自己的頂級域名。比如國內以“BAT”為代表的網際網路公司和一些大企業,已經申請了“.baidu”“.taobao”的企業頂級域名,將管理權控制在自己手中。
另一方面,域名服務能力不足也帶來安全風險。毛偉表示,域名系統是企業網路重要的基礎服務,但國內大部分企業還在採用開源軟體並加以簡單配置的初級階段。域名系統長期處於缺乏管理的狀態、沒有專業人員維護,缺乏相應的執行管理規範,導致配置錯誤、效能不能充分發揮、軟體版本不能及時升級、出現故障不能及時有效處理等情況普遍發生。例如上文提到的蘋果公司斷網事件,就是因為域名配置出現問題。
業內資深人士建議,提高域名服務能力可以從內部、外部展開。在內部,企業應避免人工失誤,避免程式出錯。網路加強災備,有條件的企業,可以接入多家運營商網路,避免網路出現阻塞時,導致使用者訪問異常。對於外控,企業應加強自身安防能力,防範攻擊和劫持。