西西河

主题:【原创】IPv6,DNS根服务器,美国还能断中国的网吗? -- 钛坪樽逾

共:💬7 🌺58
全看树展主题 · 分页首页 上页
/ 1
下页 末页
家园 【原创】IPv6,DNS根服务器,美国还能断中国的网吗? -- 有补充

最近看到这几个概念被提到了几次,觉得其中有些误解,这里说说我的理解和看法。如有疏漏,还请赐教。

DNS 根服务器和 IP 协议的版本没关系。IP 和 DNS 处于互联网协议栈的不同层面,一个 DNS 服务器可以同时支持 IPv4 和 IPv6。DNS 根服务器这东西,虽然重要,对于墙内的中国互联网却并不是必须的。根服务器和顶级域名管理更多代表着一种互联网管理上的话语权。

DNS 协议是分级缓存的,根服务器不直接处理域名解析请求。换句话说,当你在浏览器里点 “talkcc.com“这个书签时,把这个域名转化成某个 IP 地址的不是某个根服务器。铁手当年注册这个域名时,该记录也不是直接加进某个根服务器里的。根服务器里的数据,只是个”最权威的母本“。

DNS 也在发展。首先是增加了 DNSSEC(DNS Security)这个扩展功能,对域名解析结果进行数字验证。这个功能可以防止坏人在回路中(man-in-the-middle)伪造解析结果。比如说,有个坏人侵入了你的上网线路(你家里的路由器,或者你的上网服务商的路由器),如果你的浏览器不支持这个功能,他可以劫持你的域名解析请求,把他控制下的钓鱼网站的 IP 地址当作结果给你。

大家上网访问某些不可说网站时,都知道清除浏览器的上网记录,或者干脆使用“私密模式”。但是,你的上网服务器商(和网络线路上潜伏的偷听者)仍然可以看到并记录你曾经请求解析某个不可说域名了,因为 DNS 协议里,域名解析请求是不加密的。

现在比较热点的是 DoT(DNS over TLS)和 DoH(DNS over HTTPS),域名解析不再走明码的 DNS 协议(53号端口)。这两者都是通过加密来保护用户隐私,同时防止劫持和伪造。DoT 把域名解析请求加密后走 853 号端口,这个需要在几乎所有防火墙上开个新口子。DoH 把域名解析请求和结果都打包成 HTTPS 协议的负载,加密后走 443号口。基本上,所有的防火墙都已经开了 443 号这个口子,更容易普及。

使用 DoH,你的浏览器发出的域名解析请求被加密,走 HTTPS 协议到服务器。服务器解密得到解析请求,作为你的代理,从某个 DNS 服务器得到 IP 地址,再通过 HTTPS 返回给你的浏览器。这个回路中,你的上网服务商没法看的你的域名解析请求和结果。但是,这还是没有做到绝对隐私,那个提供 DoH 服务器仍然知道你的小秘密。要更进一步,需要 oDoH(Oblivious DNS over HTTPS)来补上这一块。使用 oDoH,提供该服务的网站只知道有人请求解析了某个不可说的域名,但是无法知道谁得到了解析结果。目前 DoH 已接近成熟,几大浏览器都可以用了。oDoH 还在发展阶段,甚至还没有进入试用期。

下面说说美国还能不能断掉中国的网。二三十年前,互联网差不多是以美国为中心的星型结构。那时美国真正可以决定某个国家在互联网上的生死,包括物理层面和网络协议层面。

今天,全球互联网已经去中心化,美国只是这个网上最重要的一个节点而已。美国如今在全球互联网中的重要性来自于其 ICT 行业的领先地位,还有互联网发展的历史渊源。如果仅仅靠互联网管理工具,单独美国自己断不了中国的网。美国要想彻底在互联网上和中国割裂,得把自己和世界隔离。

在物理连接上,中国现在不仅仅只和美国有光缆相连,未来还可以有基于低轨卫星星座的无线互联网与世界相连。目前看来,互联网的各种基础协议,包括 DNS,本质上都是分布的和开放的。不开放的、依赖中心的协议得不到支持,无法普及。DNS 的根服务器和顶级域名之所以大多数掌握在美国人手里,是一个有历史原因的管理问题。

2016年,美国政府把其商务部下属的根服务器和顶级域名管理机构 IANA 转给了 ICANN。ICANN 号称更加独立,开放,不再下属于某个政府,中国和一百多个其他国家以及国际组织在 ICANN 派有“观察员”。但是因为 ICANN 办公地点在美国,仍然受制于其法律,所以还有人进一步提议把 ICANN 转到联合国名下。这是互联网逐渐脱离美国掌控的又一个例证。

当然,最关键的原因不在技术上。今天,中国的国力与二三十年前相比,已经不可同日而语,经济、政治、军事上都是全世界的重要组成部分。

关键词(Tags): #科技通宝推:empire2007,住在乡下,桥上,陈王奋起,唐家山,赵美成,普鲁托,外俗内正,审度,
作者 对本帖的 补充(1)
家园 改个笔误

那时美国真正可以决定某个国家在互联网上的生死,包括物理层面和网络协议层面。

这里应该”网络协议层面“应该是“网络管理层面”。

通宝推:笑熬浆糊未糊,
见前补充 4573450
家园 钛坪樽逾说的是正确的,我上次说的不准确

补充一些信息吧。

根域名服务器(英语:root name server)是互联网域名解析系统(DNS)中最高级别的域名服务器,负责返回顶级域的权威域名服务器地址。它们是互联网基础设施中的重要部分,因为所有域名解析操作均离不开它们。由于DNS和某些协议(未分片的用户数据报协议(UDP)数据包在IPv4内的最大有效大小为512字节)的共同限制,根域名服务器地址的数量被限制为13个。幸运的是,采用任播技术架设镜像服务器可解决该问题,并使得实际运行的根域名服务器数量大大增加。截至2019年8月,全球共有1008台根域名服务器在运行。

https://zh.wikipedia.org/wiki/

工业和信息化部关于同意中国互联网络信息中心设立域名根服务器(J、K根镜像服务器)及域名根服务器运行机构的批复

ICANN 管理的根服务器节点 首次在上海成功安装

家园 受教了。以前不知道国内也有了根服务器
家园 请教:镜像和本根之间有时差吗?特定情况下会不会不同步?
家园 只是域名解析

轻微的时差影响不大。域名解析本来就不是一个经常做的事,只有第一次需要解析,后面的一般直接查询cache中的数据就行。

家园 谢谢
全看树展主题 · 分页首页 上页
/ 1
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河