美國關(guān)閉根服務(wù)器分分鐘掐斷中國網(wǎng)絡(luò)?專家:無稽之談

責任編輯:zsheng

2018-10-15 14:21:37

摘自:IT時代網(wǎng)

美國斷了根服務(wù)器,并不能讓中國斷網(wǎng),主要影響的是國際互通,比如國外網(wǎng)民可能訪問不了中國的一些網(wǎng)站,但并不影響中國的網(wǎng)民訪問中國的網(wǎng)站。他還表示,其實,網(wǎng)民在瀏覽網(wǎng)站的時候,域名解析并不是在根服務(wù)器中進行的,而是在本地域名服務(wù)器中進行的。網(wǎng)絡(luò)傳言美國能分分鐘掐斷中國網(wǎng)絡(luò),是因為美國掌管著全球13臺根服務(wù)器中的10臺。這是真的嗎?8月15日,在2018中國網(wǎng)絡(luò)安全年會上,互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心主任董事長毛偉表示,關(guān)閉根服務(wù)器讓中國斷網(wǎng)是無稽之談。IPv6環(huán)境下,國際互聯(lián)網(wǎng)秩序或?qū)⒅厮苊總€網(wǎng)站都有一個IP地址,如央視網(wǎng)的IP是202.108.8.82,很明顯,這種無規(guī)律的長串數(shù)字不容易記住。為了方便記憶(或出于其他目的),每個IP地址都有對應(yīng)的域名,如央視的域名為:cctv.com。每一個IP地址對應(yīng)一個域名,眾多對應(yīng)值形成一個個列表,這些列表就保存在DNS域名服務(wù)器中。當你在瀏覽器地址欄中輸入cctv.com、欲訪問該網(wǎng)站時,你會先去DNS域名服務(wù)器中找到對應(yīng)的IP地址,然后才能與cctv網(wǎng)站連接,實現(xiàn)對網(wǎng)站的訪問。通過DNS域名服務(wù)器將域名轉(zhuǎn)化成IP地址的過程就叫域名解析。美國的根服務(wù)器就是全球總的DNS域名服務(wù)器。據(jù)毛偉介紹,根服務(wù)器中保存著1000多個頂級域名信息,而常用的不到10個。毛偉指出,美國斷了根服務(wù)器,并不能讓中國斷網(wǎng),主要影響的是國際互通,比如國外網(wǎng)民可能訪問不了中國的一些網(wǎng)站,但并不影響中國的網(wǎng)民訪問中國的網(wǎng)站。他還表示,其實,網(wǎng)民在瀏覽網(wǎng)站的時候,域名解析并不是在根服務(wù)器中進行的,而是在本地域名服務(wù)器中進行的,本地域名服務(wù)器通常設(shè)立在運營商處,此時本地服務(wù)器就相當于根服務(wù)器。“就算美國真的斷了根服務(wù)器,也有應(yīng)急手段。”毛偉說,比如將根服務(wù)器中的數(shù)據(jù)寫到自建的根服務(wù)器中或建一套鏡像根服務(wù)器。據(jù)隱私護衛(wèi)隊了解,我國早在10多年前就開始搭建自己的DNS域名服務(wù)器,復制了根服務(wù)器中的IP地址和域名信息。

不僅如此,未來國際互聯(lián)網(wǎng)的秩序或?qū)⒅厮堋kS著網(wǎng)絡(luò)的發(fā)展,IPv4的資源已逐漸耗盡,IPv6應(yīng)運而生。據(jù)隱私護衛(wèi)隊了解,基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)(IPv6)根服務(wù)器測試和運營實驗項目——“雪人計劃(Yeti DNS Project)”已于2016在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺IPv6根服務(wù)器架設(shè),其中中國部署了4臺,1臺主根,3臺輔根服務(wù)器。

企業(yè)域名服務(wù)能力不足帶來安全風險雖然不用擔心根服務(wù)器被斷的隱患,但毛偉表示,企業(yè)域名服務(wù)存在的風險更大、更現(xiàn)實。據(jù)了解,域名服務(wù)包括兩個大類,一是通常所說的域名注冊服務(wù),另外一個就是域名安全運營服務(wù)。近年來,因域名故障導致的企業(yè)安全事件頻發(fā)。2016年10月,美國提供域名服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊,導致美國大半個互聯(lián)網(wǎng)斷網(wǎng),其中受影響的包括Twitter、Airbnb等知名企業(yè);2015年3月,蘋果旗下iTunes商店、App Store及多個互聯(lián)網(wǎng)在線服務(wù)發(fā)生了全球性大面積故障,中斷時間長達11個小時,蘋果公司稱事件原因是遭遇一個內(nèi)部域名系統(tǒng)錯誤,這個錯誤導致當日蘋果股價大跌市值嚴重縮水;2014年12月,國內(nèi)爆發(fā)規(guī)模最大的針對運營商網(wǎng)絡(luò)的惡性DDoS攻擊事件,導致多個省份網(wǎng)頁無法訪問。對此,毛偉表示,“無論是內(nèi)部穩(wěn)定性問題,還是外部黑客攻擊,一旦域名服務(wù)入口發(fā)生故障,就會影響企業(yè)基于網(wǎng)絡(luò)的所有服務(wù),給企業(yè)帶來不可避免的嚴重損失。”毛偉指出,域名服務(wù)系統(tǒng)是企業(yè)所有網(wǎng)絡(luò)服務(wù)的入口,支撐企業(yè)網(wǎng)絡(luò)安全穩(wěn)定運行的關(guān)鍵基礎(chǔ)設(shè)施,一旦出現(xiàn)故障,將影響基于網(wǎng)絡(luò)的所有服務(wù),造成企業(yè)斷網(wǎng),給企業(yè)帶來無法衡量的巨大損失和嚴重危害。“這是擺在企業(yè)面前更現(xiàn)實的威脅!”那么,企業(yè)域名服務(wù)面臨的威脅來源于哪兒?毛偉表示,一是域名注冊地帶來的合規(guī)風險。域名的管理機構(gòu)通常為商業(yè)公司,這些管理機構(gòu)有能力刪除、鎖定域名,它們受所在國家法律法規(guī)管轄。企業(yè)通過域名注冊服務(wù)商注冊域名,這些服務(wù)商也受所在國法律管轄。如果企業(yè)網(wǎng)站注冊域名的管理機構(gòu)或服務(wù)商是國外公司,則存在觸犯他國法律法規(guī)或其他原因而被關(guān)停的風險。

毛偉建議,企業(yè)在注冊域名時,可以選擇國內(nèi)合規(guī)的注冊局或注冊商,有能力的企業(yè)也可申請自己的頂級域名。比如國內(nèi)以“BAT”為代表的互聯(lián)網(wǎng)公司和一些大企業(yè),已經(jīng)申請了“.baidu”“.taobao”的企業(yè)頂級域名,將管理權(quán)控制在自己手中。另一方面,域名服務(wù)能力不足也帶來安全風險。毛偉表示,域名系統(tǒng)是企業(yè)網(wǎng)絡(luò)重要的基礎(chǔ)服務(wù),但國內(nèi)大部分企業(yè)還在采用開源軟件并加以簡單配置的初級階段。域名系統(tǒng)長期處于缺乏管理的狀態(tài)、沒有專業(yè)人員維護,缺乏相應(yīng)的運行管理規(guī)范,導致配置錯誤、性能不能充分發(fā)揮、軟件版本不能及時升級、出現(xiàn)故障不能及時有效處理等情況普遍發(fā)生。例如上文提到的蘋果公司斷網(wǎng)事件,就是因為域名配置出現(xiàn)問題。業(yè)內(nèi)資深人士建議,提高域名服務(wù)能力可以從內(nèi)部、外部展開。在內(nèi)部,企業(yè)應(yīng)避免人工失誤,避免程序出錯。網(wǎng)絡(luò)加強災備,有條件的企業(yè),可以接入多家運營商網(wǎng)絡(luò),避免網(wǎng)絡(luò)出現(xiàn)阻塞時,導致用戶訪問異常。對于外控,企業(yè)應(yīng)加強自身安防能力,防范攻擊和劫持。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號