导读
许多媒体和读者担忧中国会轻易被美国断网从而瘫痪,但真正了解互联网基本规则的人不多。今天计算机硕士陈经就为大家原原本本地讲解互联网相关的常识,让你明白:美国到底能不能给中国断网?美国能对中国的网络造成什么样的损害?如何防御?中国能否反制?
IPv4、IPv6这种网络协议好比即时战略游戏的地图,本身是公开的,许多人对它们有误解,单凭主根服务器是不可能断网的。实际上真正应该关注的不是断网这种粗糙的手段,而是黑客和设备中安置的后门。
互联网大家天天在用,近来出现了一些关于互联网国家主权与安全的争议。有对中国提出警示的如“中国没有互联网,只有美国的因特网”。有关于技术标准的,如IPv4、IPv6、IPv9,这些网络名词对中国的互联网主权有什么意义。还有关于技术细节的,如有记者报导”全球电子邮件都要到美国转一圈“,这是真的么?还有对美国攻击中国互联网的疑问,是不是美国可以关掉中国的互联网?
即使是有相当知识水平的人,对于天天在用的互联网,也容易产生误解。例如不少人会以为,IPv6与IPv4的区别,就是IP地址从4个数字升为6个,这种理解其实错大了。
要明白这些问题,首先是名词不要混。在本文中,互联网是泛指各种按网络连接标准连结出来的网络系统,可以有多个。Internet或者“因特网”,指的是目前全球互相连接在一起的大网,本文称为“全球大网”。因为一般公众用的网络就是因特网,所以有时互联网和因特网会被当成一回事。但是也有一些特别的网络,是独立的,和因特网分离的,如军网、公司内网。
其实几台机器用网线连接起来,理论上就能组个“局域网”,可以联网打游戏对战了。当然这是互联网早期时代的事,后来干脆都连到全球大网上去了。如果是几台机器,联网就很简单,所有信息都广播出去发给所有人就行了,和你无关的就扔掉拉倒,就和一伙人在屋里聊天一样。这种“全连接”的技术实现最简单,但是规模一大就不经济了。然后再从这个简单模型开始,优化出各种网络结构。如星形网络,所有节点都只连到中心节点,什么信息都由中心节点转发。再如令牌环网,环形网上有个令牌,交给各个平权的节点,持有令牌的才能说话,往环网上发数据。用现在的通信概念来理解,这个“令牌”就相当于“控制信道”,说话就相当于“数据信道”。
这些联网技术发展下来,越来越复杂,经过多种标准的变迁,终于在1990年代成熟了。某种程度上来说,标准虽然复杂了,但是做事简单了。只要买来几种联网设备,网线、交换机、网卡、路由器之类的,就可以建一个网络了。大约1994、1995年左右,中国各大学校园就开始挖地埋线建网,没有什么困难,都组网成功了。这其实是很了不起的事,这相当于说,不需要专家,互联网就可以推广了,应用傻瓜化了。当然能建起网的人还是需要一些专业技能的,但没多难。就和装电脑一样,电脑是高科技,实用的电脑软件要写出来也不容易,但大学里很多小伙子都学会了装机,有了一门让女生崇拜的手艺。互联网虽然一直飞速发展,但是基础和90年代差不多,人们能发现的重要变化是加入了无线,如无线网卡、无线路由。
那年头,各地建起了很多“局域网”。这些局域网即使完全与外部隔绝,内部也是可以互相通信的,如发电子邮件。有一些ip地址,如192.168.0.1,到现在人们还经常用到,如设置wifi路由器时要用。在很多相互独立的局域网里,有很多节点的ip都是192.168.0.1,完成一样的功能,因为不相干,所以ip一样也不冲突。
对于一个机器来说,其实可以同时处于多个独立的网络中。例如机器的某个IP叫192.168.1.101,这是某个“内网”的IP地址,如屋内几个机器和wifi路由器组的小无线网,所有机器包括路由器的IP都是192.168.1.XXX的样子,前三位一样,有时没弄好还会告诉你IP地址冲突了。全球其实有无数机器都有一样的“内网”IP地址,因为是一样的网络结构,只不过互相独立。可以肯定的是,内网是完全可以独立运作的。就算你家里的网络坏了,连不到外面,但是无线路由器开着,仍然可以手机、电脑都连上它,然后互相倒文件。例如你要把一个小说文件从电脑上传到手机上某种阅读器里,这个阅读器就会说,请你在电脑浏览器上输入http://191.168.1.100:10123就能上传文件了,不需要外网。
一个机器连到“外网”,会同时还有另一个IP比如叫202.96.128.166。这是指在全球大网中的地址,世界各国很不相同,但是又有规律。以前中国的机器基本都是202开头的,因为分配的就是这个“字段”,而美国一个大学就能有一个字段,美国占有的IP资源远多于中国,这和全球大网发展历史有关。在windows的cmd里,输入”ipconfig /all”,就可以看到各种IP了。
这个IP地址就是互联网的核心概念,或者说理解互联网最好的起始点。为什么给机器分配一个IP地址,它就能和其它IP地址网络通信了,这很神奇,是计算机学界多年发展出来的研究成果,但概念上就这么简单。你要和一个网络节点通信,最简单的就是在cmd里输入”ping XXX.XXX.XXX.XXX”,对方就会给出回应,告诉你两个节点之间是通着的,通信延时是多少,或者不通。有时发生了意外,某些地址就ping不通了,那更复杂的访问肯定就不行了。如果能理解ping的机制,复杂的互联网应用无非就是数据多一些,概念是一样的。
其实互联网通信理解起来不难。比如有人说,我要捣乱,给风云学会会长袁岚峰工作单位的IP地址发信息,我来ping 218.22.21.25 (微尺度国家研究中心互联网访问主机的IP地址)。在电脑上发出这个指令,你的机器看到这个地址,说我发到无线路由那去。无线路由说,这不是内网的地址不归我管,我交给外网最近的“网关”去。外面的网关根据这个地址,很容易明白是发到再上级的网关,还是发到下级网关,直到进入目标主机。218.22.21.25收到信息,就给回应,再原路返回(或者找个新路也可能),发回你这个机器。这和快递分发其实差不多,我们查淘宝上的“物流信息”,能看到说包裹到哪哪了,中间会有很多“网关”一样的分发节点。
理论上,我们只要输入这种“IP地址”,就能完成互联网访问。有一些应用其实就是这样的,直接让你输入数字的IP地址。但是数字IP地址难记,微尺度国家实验室需要www.hfnl.ustc.edu.cn这样的字母(有时也有数字)组成的“域名”,真的象人类的快递地址一样了,什么国家、哪个单位、哪个部门。在前面那个域名中,cn就是指中国,edu就是教育部门包括各大学,ustc是指中国科学技术大学,hfnl就是微尺度国家研究中心。域名中间有数个“。”,最少一个点就可以,前面的www其实不加也行,如中国政府网gov.cn。但各种域名,对应的都是四个数字的IP地址。
其实机器的IP地址是可能变的,网络结构调整会动态分配。但是域名这个机制不错,IP地址变了不要紧,反正别人也是用域名来访问的,只要网络系统里的“域名解析”做对了就行。这个域名解析,是个挺重要的事,我们稍一想就知道,这可不是不同内网里IP地址重合了不要紧,域名是不能重合的,而且是个全球事务。所以,如果只谈IP地址通信,那可以各种内网、局域网随便玩,用不着全球统一管理。如果要谈域名,我们就需要引入国家概念,引入互联网政治相关的概念了。
我们在windows机器上输入”ipconfig /all”,会看到“DNS服务器”这么个东西,它有一个202.96.134.133这样的地址。其实深圳的很多机器,都会发现自己的“DNS服务器”地址是这个,它就是深圳的域名解析服务器,DNS是Domain Name Server的缩写。你可不可以换一个“DNS服务器”?可以!比如你抱怨说,深圳这个DNS机器老出问题,太烂了,我换成广州的DNS服务器202.96.128.143,这是可以的。你打入一个www.hfnl.ustc.edu.cn这样的地址,这个字符串就会被发给你选用的DNS服务器(用IP地址通信的方法发的),这个服务器会负责找出这个字符串对应的IP地址,然后你再和目标IP地址用IP通信的方法传送信息。所以,你ping 218.22.21.25,这个就直接访问了,如果你输入的是ping www.hfnl.ustc.edu.cn,那这个命令会先由DNS服务器处理一通。
那么,一个DNS服务器的本事有多大?是不是全世界任何一个域名,它都能独立找出对应的IP地址?我们想一想就知道,这是不可能的。全球各种域名地址有几十亿个了,都放进一个机器会有麻烦。一是重复,如果所有DNS服务器都象区块链节点一样有全部“域名账本”,这种“去中心化”非常浪费。更重要的是,域名不断在增加与注销,要通知全球所有DNS服务器更新账本,去中心化是极为低效的架构,全球DNS要同步账本得烦死。所以肯定得层级管理,要中心化。例如,深圳的DNS看到www.hfnl.ustc.edu.cn,虽然hfnl.ustc看不懂,但是edu.cn一看就明白,不就是中国的教育分部么,交给上级DNS就行了。上级DNS一看,ustc.edu.cn,扔到ustc的DNS那去查。ustc的DNS一看,hfnl我知道,是微尺度国家研究中心的,IP地址我这有,就给出了答案,原路传回给深圳的DNS。这样,各级DNS各司其职,统一将全球的域名都解析得好好的,是个高效的中心化机制。
我们这提到了“上级DNS”的概念,那就出来一个问题了,上级也可能有上级,最后是个啥?最后就是根服务器!再没有上级了,到这就是根了,是顶级了。到这,我们终于绕不开美国了。由于历史的原因,全球最顶级的根服务器在美国。一开始,只有美国有互联网,所有DNS服务器,包括最顶级的DNS服务器当然都在美国。别的国家连进来,有两种选择,一种是接入美国这个网,自己弄一个次顶级DNS服务器(这是所有国家的选择),另外一种是自己建一个顶级DNS服务器。第二种选择美国会说,你可以这么干,但那是你自己的网,甚至也可以拉别的国家来;但我美国和已经加入我的其它国家,和你的网会有冲突,技术上会乱套,只好互相不连了。因为这种“路径依赖”,人们虽然觉得美国占了大便宜,但也没办法,只好让美国当根服务器。
其实,根服务器可以不只一个,事实上有13个。但是这13个功能全都一样,你用到根服务器时,找近的一个查到了就行。互联网访问非常多,一个根服务器顶不住,开多个是必须的。但是这13个不能互相矛盾了,得有一致性,就是和在美国的“主根服务器”保持一致。美国的主根内容更新了,就会同步到其它12个辅根去。12个辅根其实也有9个在美国,欧洲2 个(英国瑞典各一个),还有1个在日本。
那这种架构,美国确实能大占便宜,不仅名义上地位高。比如域名层级分配,中国的大学是XXX.edu.cn,美国的就直接是XXX.edu,少了一级。再比如IP地址分配,美国的网建的早,已经将大段地址占掉了,只留下些边角地址分给其它国家。再比如,美国说我维护这个根服务器要钱啊,这么重要的互联网服务不能免费,你们各国用了我提供的服务,得根据流量交钱。再比如,对于外面来的服务请求,是不是一视同仁?如果按“网络中立”原则,不分用户大小,用户来自哪国,都应该一样,按公平原则服务,不要故意延迟。但是美国内部在吵,要放弃“中立”,大客户优先,或者美国优先。
对这个事情,要平衡观察。一方面,确实要注意,现在这个“全球大网”,美国有特殊优势,能占到不小的便宜。但是另一方面,也不能过分夸张,其实就是域名解析根务器的事,出于实际考虑放在美国。不能夸张成,什么服务都要经过美国了,电子邮件都要跑到美国去,这从技术上说不通。发个电子邮件,理论上邮件地址有可能到美国的根服务器去解析,但是IP地址解析完了,邮件内容就可以找合适路径传输了,不需要到美国。如果硬的网络线路要经过美国,那没办法,邮件内容也会到美国。但从软的体系结构来说,只是邮件地址解析要访问美国根服务器的概率大一些。如果美国把互联网体系真设计得这么笨,邮件等数据内容也要到美国去,那线路会堵得不得了,学术上更会被喷死。
我们不排除有可能性,美国公司搞的硬件网络设施做了手脚,一些内容会偷偷发到美国。但是基于IP的网络体系结构是公开透明的,谁都可以看标准搞明白,不可能有这种设计。IP体系结构的理念是,互联网是“强壮”的,缺了谁都行,只要还有线路连着都能通信。如果不要域名服务,那根本不需要“根”,节点可以尽量平等。
当然,域名服务由于历史的原因,极端偏向美国,这是很不公平。最突出的矛盾就是各国地址不够用了,美国占着那么多IP地址没用,别的国家却挤爆了,特别是中国。四个数字的IP地址,如202.96.128.143,每个位置256种可能,一共才不到43亿个,比世界人口还少,是真不够分。而且老早就不够了,要找美国要地址。这种事都是由ICANN(InternetCorporation for Assigned Names and Numbers)管理,原来叫IANA (Internet Assigned Numbers Authority)。这个IANA是个和美国政府签了合同的管理机构,是个合同工。升级成ICANN以后,理论上是全球事务非营利机构,但是还是受美国影响极深,当初美国占的IP要让出来,很麻烦。
其实美国克林顿政府1998年直接说,因特网是美国搞出来的,各国加进来,就得服美国管! 这种赤裸裸的网络霸权主义当然遭到了世界各国的反对。这实在说不过去,美国就让合同商IANA转型成ICANN,给出了“路线图”,理论上同意互联网要全球平等,但是由于历史因素,美国还是得负责一段时间。到2009年,ICANN从美国政府独立了。2016年10月1日,美国商务部将互联网域名管理权,完全移交给了ICANN,解除了合同关系。理论上来说,ICANN是一个全球共治的管理机构,美国不再有特殊地位。
公平地说,一方面要看到由于历史因素,警惕美国在全球大网中的特殊地位,提防美国利用特殊地位搞事。另一方面,也不要一味地只说美国的坏话,要看到全球各国的共同呼声,看到世界各国对美国网络霸权主义的斗争成果,积极参与到ICANN的全球共治框架里,实现世界各国网络主权平等。
ICANN一个重大成果,就是IPv4升级到了IPv6。我们看202.96.128.143这种地址,它是4个0-255的数字,用计算机的术语说,一个数字占8个比特,四个数字就是32个比特,一共有2的32次方等于42.9亿种组合。IPv4升级到IPv6,很多人常见的误解是,4个数字的IP我熟,是不够用;升级到6个数字了,一举增多65536倍到281万亿种组合,真是够用了,IPv6太好了。错!这种理解小看了IPv6。这个IPv6说的是“互联网协议第六版”,不是6个数字。其实IPv6的一个地址,是128个比特,相当于16个0-255的数字组合,有2的128次方即3.4乘以10的38次方个组合。有一种说法是,IPv6可以给地球上每一粒沙子一个IP地址,那么6个数字对应的那个281万亿是不够的,16个数字对应的10的38次方才够。
其实IPv6早在数年前就已经推行开来了。并不是某天ICANN发公告说,全球IPv4切换成IPv6了,大家全部升级!想想技术细节,就知道这不可能,全球互联网用户的机器没法统一行动。唯一可行的选择是,一个机器,既支持已经有的IPv4,又可以支持新的IPv6,慢慢增加IPv6地址的数量。也就是说,一个机器,除了内网的192.168.1.101这种地址,以及202.96.128.143这种IPv4地址,还新多出来一个IPv6地址,如:
2001:0:9d38:953c:1442:170f:3f57:fe9a(注意,这是128个比特)。
为了支持这个IPv6地址,其实我们机器里的软件也发生了变化。比如我们看windows里的网络选项,看TCP/IP,会发现除了IPv4,还多支持了一个IPv6。只不过一般人没注意,机器系统软件自动更新都帮做了。从概念上来说,其实我们的机器,有一个无线路由器管的内网;也有一个美国主根服务器管的IPv4版的“全球大网”;还有一个IPv6版的“升级版全球大网”,算是ICANN管的。只不过这几种网,共用了一些硬件设备,IPv4或者IPv6网络体系,是这些硬件设备上的逻辑概念。
IPv6当然也需要域名解析DNS服务器,这和IPv4一样的,只不过能用的IP地址多了,也会有多台根服务器。那么IPv6的根服务器是什么情况?
IPv6的根服务器多了,有25台!2016年,这25台在中国、美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成了部署。中国有四台,分别在北京、上海、广州、成都。放在美国的比中国还少,是三台,印度也有三台。这25台中有三台主根,分别在中国、美国、日本。可以看出,IPv6根服务器的分布要公平多了,相比IPv4,更能体现全球共治互联网的理念。IPv6这25台,加上IPv4的13台,就是全球互联网的核心机器了。一些文章里提到了“雪人计划”,就是中国推动的,在全球部署25台IPv6根服务器的工程计划。中国负责的机构叫“下一代互联网国家工程中心”。
但是要注意,这个“雪人计划”,以及建成的IPv6根服务器体系,实际上是一个“测试验证”,从工程规模以及应用频率上,还不能和IPv4相比。虽然IPv4的根服务器只有13台,但是下面的各级DNS服务器非常多。到2017年8月,25台IPv6根服务器在全球范围内累计收到2391个递归服务器的查询,这说明整个规模并不大。IPv4的体系已经很成熟了,发展出了很多优化用应的办法,如各机器会备份DNS查询的结果。IPv6还谈不上,处于开局阶段,应用不多,优化开发还没有深入。
现在支持IPv6的网站还不够多。据《2017 IPv6支持度报告》,目前全球排名前50的网站支持IPv6访问的有42%,我国排名前50的网站里仅1家支持稳定的IPv6访问。也就是说,全球网站还是更把自己当成IPv4网的成员,对于IPv6不够重视。IPv4网可以说是全球最重要的基础设施之一,没有不行;IPv6网还只是一个测试性的网络,没有也不太影响全球经济。利好消息是,由于手机、PC的终端软件更新很快,支持IPv6的终端操作系统达到了90%。这是因为手机升级快,PC操作系统软件更新也较为容易。但是家庭无线路由器需要更新,支持IPv6的还不多。当然以后IPv4地址逐渐枯竭,人们不得不转向IPv6,各种IPv6的软硬件逐渐准备好了,如物联网大规模应用上来了,IPv6的网络规模应该会超过IPv4。
有时新闻里还会出现IPv9,这个事就有点糊涂。在国际上,IPv4、IPv6是说互联网协议版本,作为互联网协议的IPv9也是有的,1992年提出来了。这个IPv9并不是IPv6的后续高级版本,而是90年代初大家就发现IPv4地址不够用,同时提出了几个新的选择,IPv6、IPv7、IPv8、IPv9都有。IPv9算是和IPv4、IPv6不同的一种选择,目前看只是理论研究,从理论上来说在低碳环保上有优势。
中国新闻里出现的IPv9,就会经常提到“十进制网络”。可以肯定,这是中国特色的IPv9,和国际上的IPv9不是一回事。而中国研究者提出的“十进制网络”,是借了IPv9的名,实质就是“十进制网络”。说实在的,有些高深莫测,也引发了一些争议。这个十进制网络,是说除了数据是二进制,其它全部用0-9的数字来做。域名是0-9的数字组合,中英文全不要,网卡物理地址也全用数字,不要字母。为了支持十进制网络,一些网络软硬件设备要改一下,如DNS服务器要改。个人感觉,这个研究比较偏门,不可能成为IPv6这样的全球通用协议,只能算是某种特别的选择,据说可以帮助保密,比如某些特殊部门的机器里,多了一个“IPv9十进制网络”协议。从科研意义上看,这个十进制网络,也只是表面上的,其实内在逻辑仍然是二进制的,根本上来说只是加了一个编码协议,软硬件创新不大。这个应用做出来,会是一种小众的偏门应用,似乎没有多大的理论意义。如果说有积极意义,通过研究十进制网络,能理解网络体系是怎么回事,要改哪些设备才能把十进制域名跑起来。其它的意义看不太出来。个人感觉这种网络协议研究,还是应该象华为公司在国际上推Polar码一样,到国际会议上去推行标准,而非自己做一个别人不可能接受的古怪网络。
以上介绍了互联网基于IP寻址信息传输的基础知识,介绍了IPv4、IPv6、IPv9的基本常识。个人认为,中国的IPv9可以不用太关注,是个奇怪的非主流。IPv4是美国主导的网络体系,美国占了很大便宜,但是各国也有斗争。IPv6是IPv4之外的一个新选择,技术上已经成熟了,而且不是美国主导了,由各国共同主导。但是IPv6需要在市场份额上大幅跃升,才能取代IPv4的主流地位,现在IPv6还只是实验性的网络。
美国会在占优的IPv4体系上搞什么花招,中国要如何防备,就需要了解更多网络入侵攻防的专业知识,软硬件非常复杂。为此,中美两国在网络设备上经常发生较量,美国不让用华为的设备,中国也怕美国公司装在中国的网络设备有后门。但是IPv4、IPv6本身是公开透明的网络体系结构,理解起来不难,不应该过多牵扯进这些争议里。
有了这些基础知识,下面就可以回答一些流传的具体疑问,例如下面这几个问题就是很多人关心的。
1。 美国到底能不能给中国断网?或者说,美国能对中国的网络造成什么样的损害?
2。 如何防御美国的网络攻击?中国有没有反制的手段?
3、IPv6的主根服务器有三台,它们之间如何保持同步?会不会导致混乱?主根服务器的持有者是不是有损害其他国家的潜在能力?
4、断网对于美国来说是最笨的一招,我们可以理解了。但美国如果真的用这最笨的一招,那么中国会怎么做?会很快启动自己的根服务器,恢复网络服务吗?会不会导致国外的域名不能更新?如果恢复网络很容易,为什么朝鲜、利比亚、伊朗就被断了网?为什么美国可以随便修理这些小国,对中国就不能用这种笨招呢?
提问:美国到底能不能给中国断网?或者说,美国能对中国的网络造成什么样的损害?
回答:美国给中国断网,有两种方式,一种是明招,一种是黑招。
明招就是上文说的根服务器,不给中国提供域名解析服务了,或者胡乱服务,中国的IPv4网络访问就会碰到一些麻烦。这种事其实发生过,但不是美国故意做的,而是故障。2014年1月21日,全球不少知名网站被错误解析指向了同一个IP地址,中国百度新浪等网站也受影响。1997年,由于根服务器错误地使用了空白名单,互联网局部地区几天之内网页无法访问,邮件无法发送,是历史上最严重的一次事故。
如果美国决定用根服务器破坏中国的IPv4服务,是可以的,就是这些域名解析问题。但是通过前面的内容我们知道,这极不可能发生,毫无意义。首先公开这样做,美国毫无道理,因为ICANN是个国际组织,根服务器虽然放在美国,但这么做等于是践踏人类社会基本规则。其次这么做破坏力不大,无非是中国一些网站域名解析出问题,找到问题要修复并不难,换上新的根服务器就行了,还正好顺势废掉美国的老根。我相信美国的恶意,但不相信美国人会用这么笨的法子。如果有人说,IPv4网是美国主导的,中国会因为这个架构问题被断网,我绝不相信。暂时出了事一些网址上不了,我也只会认为是故障,这类故障其实挺常见。
美国真正可怕的,是用黑招给中国断网。比如说,中国主干网络里有Cisco的服务器、网关之类的重要部件。我非常倾向于相信,这里有美国人埋下的逻辑炸弹。例如,美国人发送一个特殊字串到中国,Cisco的部件检测到了这个特殊字串,就激活进入破坏模式。据说Cisco公司有美国军方的人不知道在干啥,很可能就是埋逻辑炸弹。
这个破坏模式不是说不工作了,而是保持网络不断,但是瘫痪或者扰乱网络,让你根本不知道哪出了问题。钻研这些破坏方法也是研发,能发展出各种办法和工具。正因为美国人自己干了,所以对华为的网络部件特别小心,根本不让进美国。这方面不能抱幻想,美国人肯定埋炸弹了,到时激活炸弹,中国网络就会瘫痪,断网只是最基本的,更可怕的事都有。
显性的破坏是比较容易被发现的,更可怕的是不知不觉的损害。另一种大类的攻击是数据窃密。中国的机密信息,放在网络上,美国人在网络基础设施里可能放了各种后门。比如你机器用了美国部件,用了某种加密算法,引用了一个库函数,用美国公司开发的编译器,这里都可能有后门。你的密码可能被美国人弄去了,或者美国人能用一个万能密码进你的系统。后果非常可怕,平时信息泄露,极端的时候会被搞破坏。比如把中国金融部门的数据库都给整死,中国金融就遭到灭顶之灾了。
其实网络黑客们整天琢磨的就是这些,因为比较专业,讨论的人不多。美国人要干起黑客的活,破坏力不会小。美国用根服务器给中国断网不可怕,因为架构是公开透明的,能做什么可以想象。但是美国埋在中国的逻辑炸弹就很可怕,因为不知道是哪出事,会出多大的事。
还是得说,IPv4、IPv6这些协议是公开透明的,是客观的。美国对中国发起网络攻击,相当于IPv4是战场,对战场越了解,攻防起来越有利。但是战场本身是中立的,战场地形研究得再清楚,战争的胜负还是由参战双方的能力决定的。不能说美国人用IPv4攻击中国,中国用IPv6来防守。不要给这些公开透明的技术协议强行抹上政治色彩。从技术上说,如果认为美国人的“大招”只是IPv4架构或者根服务器,那就太过简单了。
提问:如何防御美国的网络攻击?中国有没有反制的手段?
回答:中国的国家网络安全是中国研发人员的重要课题。IPv4,IPv6只是基础知识,专业的网络攻防非常复杂。
第一,要对中国的网络基础设施进行考察,用国产的替换掉美国部件,提升安全性。
第二,重要的关键网络通信应用,要从物理层面考察通信过程,避免留下可能被美国做手脚的环节,即使可疑都不行。
第三,我不知道中国有没有做,但美国人说做了。最出名的就是蓝翔技校,美国人说这里有中国网军,中国搞了一些人在研究网络攻击美国。
这些反制措施比较专业,当然要非常重视。但是对IPv4、IPv6等透明公开的协议,个人认为还是应该从全球共同治理的角度去说事,不要把美国网络攻击扯进来。
这里一个值得提到的问题,就是量子保密通信,这是人类目前已知的最安全的信息传输方法。有许多媒体报道和所谓科普文章把量子保密通信说得令人云里雾里,其实这些文章都是胡扯。袁岚峰博士写过很多量子信息的科普文章,例如《你完全可以理解量子信息》,把量子保密通信的原理解释得很清楚了,有兴趣的读者欢迎去阅读。
量子保密通信的一个特点是,在密码生成这个环节上,它是“无条件安全”的,意思是,只要做好了自己这一方该做的事,那么敌方就绝不可能破解你的密码,无论他有什么样的技术能力。传统的密码术就不是这样,必须假设敌方的能力不够强才行,所以传统密码术的安全性归根结底是一种信念,而不是证明。只有量子密码术的安全性,是得到了数学证明的。你显然就可以看出,量子保密通信对于处于守势的中国来说,是非常有价值的。好消息是,目前量子保密通信的技术最先进的国家,就是中国!
提问:IPv6的主根服务器有三台,它们之间如何保持同步?会不会导致混乱?主根服务器的持有者是不是有损害其他国家的潜在能力?
回答:搞IPv4或者IPv6这种公开透明的架构,不要总想各国互相伤害,或者有主根的伤害没主根的这类事。各国是为了一起建一个新网络,不是来互相害的,是为了造福人类社会。就好象世界各国共同投资造了几个大天文望远镜放在几个国家,最好不要去谈怎么拿天文望远镜互相伤害。讨论起来也比较无聊,技术上会比较搞笑,害不了别国太多,代价却非常大。
主根服务器完全可以多台,同步也不难,就是传送一些数据表,不会混乱。逻辑上可以把这三台当成一台就行了,但是这一台的权力分到了三个地点。比如以前要开一个新的顶级域名,如。net,IPv4时要美国主根来做。现在IPv6了,中国、美国、日本的主根都可以做。
提问:断网对于美国来说是最笨的一招,我们可以理解了。但美国如果真的用这最笨的一招,那么中国会怎么做?会很快启动自己的根服务器,恢复网络服务吗?会不会导致国外的域名不能更新?如果恢复网络很容易,为什么朝鲜、利比亚、伊朗就被断了网?为什么美国可以随便修理这些小国,对中国就不能用这种笨招呢?
回答:如果美国真的笨笨地发动了“主根攻击”,中国网络域名服务是会出问题。要恢复并不难,就当美国主根不存在就行了。全国所有次级DNS的上级都指向自己新造的一个主根。其实所谓“主根”,是需要下面的次级DNS承认的。别人都不承认你,都说新的机子才是主根,那就“革命成功”了。所以,如果美国用境内的主根搞破坏,别的国家就会建起新的主根。而且这也不难,因为主根上的内容其实很多机器都有备份了,方便快速访问,不用老去查主根,只不过主根有“更新”的权力。这都是搞笑式的讨论,不可能发生的。
伊朗被断网这事,有误解。2018年初,伊朗当局因为发生了骚乱,主动切断了网络。美国对伊朗发动过计算机病毒攻击,但并不是对域名根服务器动手脚切断伊朗的网络。美国2013年用“震网病毒”,对大批伊朗离心机发动了攻击,破坏伊朗的核计划。据说,这种攻击是离线的,伊朗的离心机其实没联网,但是病毒已经感染在机器里了。以前的计算机病毒并不通过网络传播,而是人们拿软盘抄来抄去,潜伏在操作系统和可执行文件里。震网病毒发作时,伊朗离心机开动时收到大量错误的传感器数据,高速转动就大批坏掉了。
朝鲜断网,是指2014年12月22日起,朝鲜忽然从全球大网上消失了两天,访问时断时续。有人说这是美国对朝鲜发动了域名攻击,报复朝鲜对索尼的网络攻击。这个攻击是谁做的现在也不知道,但是手法不是从根服务器动手脚(我一再说了,不可能有这种笨笨的攻击发生)。可能是有黑客,对朝鲜的重要网络节点,发动了暴力的DDOS攻击。就是说黑客操纵一些机器,不停地访问朝鲜的关键节点,把朝鲜节点机器所有的服务时间都占掉了,这样别的正常访问就没法进行了,朝鲜网络就瘫痪了。这个DDOS攻击是常见的,时不时有受害者,但象朝鲜这样,整个国家成为受害者比较少见。
利比亚断网,和叙利亚断网差不多,都是打仗闹的。外界社会发现,分配给利比亚或者叙利亚的IP字段,全都无法连上了,就说“全国断网”了。具体的原因,有的新闻说是当地政府主动切断的,但叙利亚政府说没切,是恐怖分子炸的。传来传去,有时就会误以为是美国切断的,其实和美国无关。
要澄清误解,美国并没有动用根服务器这种笨手段去对付朝鲜、伊朗、利比亚等国。这些国家断网事出有因。不应该用小国断网的事来营造“中国可能被断网”的恐怖气氛,还是应该还原事实。
美国平时是经常随便修理小国,轰炸、禁运、封锁。但是从网络空间上看,美国并没有用网络霸权主义的明招让小国断网,那真是太笨了,下不了手。美国可能发动网络攻击、病毒攻击,这些中国是要防备。但中美的网络攻防总要做得有技术含量一些,不要说得太简单,和小国不一样。
背景简介:本文作者笔名陈经,中国科学技术大学计算机科学学士,香港科技大学计算机科学硕士,科技与战略风云学会会员,《中国的官办经济》作者,微博@风云学会陈经。