網(wǎng)絡(luò)傳言美國能分分鐘掐斷中國網(wǎng)絡(luò)，是因?yàn)槊绹乒苤?3臺根服務(wù)器中的10臺。這是真的嗎？8月15日，在2018中國網(wǎng)絡(luò)安全年會上，互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心主任董事長毛偉表示，關(guān)閉根服務(wù)器讓中國斷網(wǎng)是無稽之談。

IPv6環(huán)境下，國際互聯(lián)網(wǎng)秩序或?qū)⒅厮?/h3>

每個(gè)網(wǎng)站都有一個(gè)IP地址，如的IP是202.108.8.82，很明顯，這種無規(guī)律的長串?dāng)?shù)字不容易記住。為了方便記憶（或出于其他目的），每個(gè)IP地址都有對應(yīng)的域名，如央視的域名為：ityears.com。每一個(gè)IP地址對應(yīng)一個(gè)域名，眾多對應(yīng)值形成一個(gè)個(gè)列表，這些列表就保存在DNS域名服務(wù)器中。

當(dāng)你在瀏覽器地址欄中輸入ityears.com、欲訪問該網(wǎng)站時(shí)，你會先去DNS域名服務(wù)器中找到對應(yīng)的IP地址，然后才能與站連接，實(shí)現(xiàn)對網(wǎng)站的訪問。通過DNS域名服務(wù)器將域名轉(zhuǎn)化成IP地址的過程就叫域名解析。

美國的根服務(wù)器就是全球總的DNS域名服務(wù)器。據(jù)毛偉介紹，根服務(wù)器中保存著1000多個(gè)頂級域名信息，而常用的不到10個(gè)。

毛偉指出，美國斷了根服務(wù)器，并不能讓中國斷網(wǎng)，主要影響的是國際互通，比如國外網(wǎng)民可能訪問不了中國的一些網(wǎng)站，但并不影響中國的網(wǎng)民訪問中國的網(wǎng)站。他還表示，其實(shí)，網(wǎng)民在瀏覽網(wǎng)站的時(shí)候，域名解析并不是在根服務(wù)器中進(jìn)行的，而是在本地域名服務(wù)器中進(jìn)行的，本地域名服務(wù)器通常設(shè)立在運(yùn)營商處，此時(shí)本地服務(wù)器就相當(dāng)于根服務(wù)器。

“就算美國真的斷了根服務(wù)器，也有應(yīng)急手段。”毛偉說，比如將根服務(wù)器中的數(shù)據(jù)寫到自建的根服務(wù)器中或建一套鏡像根服務(wù)器。據(jù)隱私護(hù)衛(wèi)隊(duì)了解，我國早在10多年前就開始搭建自己的DNS域名服務(wù)器，復(fù)制了根服務(wù)器中的IP地址和域名信息。

不僅如此，未來國際互聯(lián)網(wǎng)的秩序或?qū)⒅厮?。隨著網(wǎng)絡(luò)的發(fā)展，IPv4的資源已逐漸耗盡，IPv6應(yīng)運(yùn)而生。據(jù)隱私護(hù)衛(wèi)隊(duì)了解，基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)（IPv6）根服務(wù)器測試和運(yùn)營實(shí)驗(yàn)項(xiàng)目——“雪人計(jì)劃（Yeti DNS Project）”已于2016在美國、日本、印度、俄羅斯、德國、法國等全球16個(gè)國家完成25臺IPv6根服務(wù)器架設(shè)，其中中國部署了4臺，1臺主根，3臺輔根服務(wù)器。

企業(yè)域名服務(wù)能力不足帶來安全風(fēng)險(xiǎn)

雖然不用擔(dān)心根服務(wù)器被斷的隱患，但毛偉表示，企業(yè)域名服務(wù)存在的風(fēng)險(xiǎn)更大、更現(xiàn)實(shí)。據(jù)了解，域名服務(wù)包括兩個(gè)大類，一是通常所說的域名注冊服務(wù)，另外一個(gè)就是域名安全運(yùn)營服務(wù)。

近年來，因域名故障導(dǎo)致的企業(yè)安全事件頻發(fā)。2016年10月，美國提供域名服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊，導(dǎo)致美國大半個(gè)互聯(lián)網(wǎng)斷網(wǎng)，其中受影響的包括Twitter、Airbnb等知名企業(yè);2015年3月，蘋果旗下iTunes商店、App Store及多個(gè)互聯(lián)網(wǎng)在線服務(wù)發(fā)生了全球性大面積故障，中斷時(shí)間長達(dá)11個(gè)小時(shí)，蘋果公司稱事件原因是遭遇一個(gè)內(nèi)部域名系統(tǒng)錯(cuò)誤，這個(gè)錯(cuò)誤導(dǎo)致當(dāng)日蘋果股價(jià)大跌市值嚴(yán)重縮水;2014年12月，國內(nèi)爆發(fā)規(guī)模最大的針對運(yùn)營商網(wǎng)絡(luò)的惡性DDoS攻擊事件，導(dǎo)致多個(gè)省份網(wǎng)頁無法訪問。

對此，毛偉表示，“無論是內(nèi)部穩(wěn)定性問題，還是外部黑客攻擊，一旦域名服務(wù)入口發(fā)生故障，就會影響企業(yè)基于網(wǎng)絡(luò)的所有服務(wù)，給企業(yè)帶來不可避免的嚴(yán)重?fù)p失。”

毛偉指出，域名服務(wù)系統(tǒng)是企業(yè)所有網(wǎng)絡(luò)服務(wù)的入口，支撐企業(yè)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的關(guān)鍵基礎(chǔ)設(shè)施，一旦出現(xiàn)故障，將影響基于網(wǎng)絡(luò)的所有服務(wù)，造成企業(yè)斷網(wǎng)，給企業(yè)帶來無法衡量的巨大損失和嚴(yán)重危害。“這是擺在企業(yè)面前更現(xiàn)實(shí)的威脅！”

那么，企業(yè)域名服務(wù)面臨的威脅來源于哪兒？毛偉表示，一是域名注冊地帶來的合規(guī)風(fēng)險(xiǎn)。域名的管理機(jī)構(gòu)通常為商業(yè)公司，這些管理機(jī)構(gòu)有能力刪除、鎖定域名，它們受所在國家法律法規(guī)管轄。企業(yè)通過域名注冊服務(wù)商注冊域名，這些服務(wù)商也受所在國法律管轄。如果企業(yè)網(wǎng)站注冊域名的管理機(jī)構(gòu)或服務(wù)商是國外公司，則存在觸犯他國法律法規(guī)或其他原因而被關(guān)停的風(fēng)險(xiǎn)。

毛偉建議，企業(yè)在注冊域名時(shí)，可以選擇國內(nèi)合規(guī)的注冊局或注冊商，有能力的企業(yè)也可申請自己的頂級域名。比如國內(nèi)以“BAT”為代表的互聯(lián)網(wǎng)公司和一些大企業(yè)，已經(jīng)申請了“.baidu”“.taobao”的企業(yè)頂級域名，將管理權(quán)控制在自己手中。

另一方面，域名服務(wù)能力不足也帶來安全風(fēng)險(xiǎn)。毛偉表示，域名系統(tǒng)是企業(yè)網(wǎng)絡(luò)重要的基礎(chǔ)服務(wù)，但國內(nèi)大部分企業(yè)還在采用開源軟件并加以簡單配置的初級階段。域名系統(tǒng)長期處于缺乏管理的狀態(tài)、沒有專業(yè)人員維護(hù)，缺乏相應(yīng)的運(yùn)行管理規(guī)范，導(dǎo)致配置錯(cuò)誤、性能不能充分發(fā)揮、軟件版本不能及時(shí)升級、出現(xiàn)故障不能及時(shí)有效處理等情況普遍發(fā)生。例如上文提到的蘋果公司斷網(wǎng)事件，就是因?yàn)橛蛎渲贸霈F(xiàn)問題。

業(yè)內(nèi)資深人士建議，提高域名服務(wù)能力可以從內(nèi)部、外部展開。在內(nèi)部，企業(yè)應(yīng)避免人工失誤，避免程序出錯(cuò)。網(wǎng)絡(luò)加強(qiáng)災(zāi)備，有條件的企業(yè)，可以接入多家運(yùn)營商網(wǎng)絡(luò)，避免網(wǎng)絡(luò)出現(xiàn)阻塞時(shí)，導(dǎo)致用戶訪問異常。對于外控，企業(yè)應(yīng)加強(qiáng)自身安防能力，防范攻擊和劫持。