網(wǎng)絡(luò)傳言美國(guó)能分分鐘掐斷中國(guó)網(wǎng)絡(luò)，是因?yàn)槊绹?guó)掌管著全球13臺(tái)根服務(wù)器中的10臺(tái)。這是真的嗎？8月15日，在2018中國(guó)網(wǎng)絡(luò)安全年會(huì)上，互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心主任董事長(zhǎng)毛偉表示，關(guān)閉根服務(wù)器讓中國(guó)斷網(wǎng)是無稽之談。

IPv6環(huán)境下，國(guó)際互聯(lián)網(wǎng)秩序或?qū)⒅厮?/h3>

每個(gè)網(wǎng)站都有一個(gè)IP地址，如的IP是202.108.8.82，很明顯，這種無規(guī)律的長(zhǎng)串?dāng)?shù)字不容易記住。為了方便記憶（或出于其他目的），每個(gè)IP地址都有對(duì)應(yīng)的域名，如央視的域名為：ityears.com。每一個(gè)IP地址對(duì)應(yīng)一個(gè)域名，眾多對(duì)應(yīng)值形成一個(gè)個(gè)列表，這些列表就保存在DNS域名服務(wù)器中。

當(dāng)你在瀏覽器地址欄中輸入ityears.com、欲訪問該網(wǎng)站時(shí)，你會(huì)先去DNS域名服務(wù)器中找到對(duì)應(yīng)的IP地址，然后才能與站連接，實(shí)現(xiàn)對(duì)網(wǎng)站的訪問。通過DNS域名服務(wù)器將域名轉(zhuǎn)化成IP地址的過程就叫域名解析。

美國(guó)的根服務(wù)器就是全球總的DNS域名服務(wù)器。據(jù)毛偉介紹，根服務(wù)器中保存著1000多個(gè)頂級(jí)域名信息，而常用的不到10個(gè)。

毛偉指出，美國(guó)斷了根服務(wù)器，并不能讓中國(guó)斷網(wǎng)，主要影響的是國(guó)際互通，比如國(guó)外網(wǎng)民可能訪問不了中國(guó)的一些網(wǎng)站，但并不影響中國(guó)的網(wǎng)民訪問中國(guó)的網(wǎng)站。他還表示，其實(shí)，網(wǎng)民在瀏覽網(wǎng)站的時(shí)候，域名解析并不是在根服務(wù)器中進(jìn)行的，而是在本地域名服務(wù)器中進(jìn)行的，本地域名服務(wù)器通常設(shè)立在運(yùn)營(yíng)商處，此時(shí)本地服務(wù)器就相當(dāng)于根服務(wù)器。

“就算美國(guó)真的斷了根服務(wù)器，也有應(yīng)急手段。”毛偉說，比如將根服務(wù)器中的數(shù)據(jù)寫到自建的根服務(wù)器中或建一套鏡像根服務(wù)器。據(jù)隱私護(hù)衛(wèi)隊(duì)了解，我國(guó)早在10多年前就開始搭建自己的DNS域名服務(wù)器，復(fù)制了根服務(wù)器中的IP地址和域名信息。

不僅如此，未來國(guó)際互聯(lián)網(wǎng)的秩序或?qū)⒅厮?。隨著網(wǎng)絡(luò)的發(fā)展，IPv4的資源已逐漸耗盡，IPv6應(yīng)運(yùn)而生。據(jù)隱私護(hù)衛(wèi)隊(duì)了解，基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)（IPv6）根服務(wù)器測(cè)試和運(yùn)營(yíng)實(shí)驗(yàn)項(xiàng)目——“雪人計(jì)劃（Yeti DNS Project）”已于2016在美國(guó)、日本、印度、俄羅斯、德國(guó)、法國(guó)等全球16個(gè)國(guó)家完成25臺(tái)IPv6根服務(wù)器架設(shè)，其中中國(guó)部署了4臺(tái)，1臺(tái)主根，3臺(tái)輔根服務(wù)器。

企業(yè)域名服務(wù)能力不足帶來安全風(fēng)險(xiǎn)

雖然不用擔(dān)心根服務(wù)器被斷的隱患，但毛偉表示，企業(yè)域名服務(wù)存在的風(fēng)險(xiǎn)更大、更現(xiàn)實(shí)。據(jù)了解，域名服務(wù)包括兩個(gè)大類，一是通常所說的域名注冊(cè)服務(wù)，另外一個(gè)就是域名安全運(yùn)營(yíng)服務(wù)。

近年來，因域名故障導(dǎo)致的企業(yè)安全事件頻發(fā)。2016年10月，美國(guó)提供域名服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊，導(dǎo)致美國(guó)大半個(gè)互聯(lián)網(wǎng)斷網(wǎng)，其中受影響的包括Twitter、Airbnb等知名企業(yè);2015年3月，蘋果旗下iTunes商店、App Store及多個(gè)互聯(lián)網(wǎng)在線服務(wù)發(fā)生了全球性大面積故障，中斷時(shí)間長(zhǎng)達(dá)11個(gè)小時(shí)，蘋果公司稱事件原因是遭遇一個(gè)內(nèi)部域名系統(tǒng)錯(cuò)誤，這個(gè)錯(cuò)誤導(dǎo)致當(dāng)日蘋果股價(jià)大跌市值嚴(yán)重縮水;2014年12月，國(guó)內(nèi)爆發(fā)規(guī)模最大的針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的惡性DDoS攻擊事件，導(dǎo)致多個(gè)省份網(wǎng)頁無法訪問。

對(duì)此，毛偉表示，“無論是內(nèi)部穩(wěn)定性問題，還是外部黑客攻擊，一旦域名服務(wù)入口發(fā)生故障，就會(huì)影響企業(yè)基于網(wǎng)絡(luò)的所有服務(wù)，給企業(yè)帶來不可避免的嚴(yán)重?fù)p失。”

毛偉指出，域名服務(wù)系統(tǒng)是企業(yè)所有網(wǎng)絡(luò)服務(wù)的入口，支撐企業(yè)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的關(guān)鍵基礎(chǔ)設(shè)施，一旦出現(xiàn)故障，將影響基于網(wǎng)絡(luò)的所有服務(wù)，造成企業(yè)斷網(wǎng)，給企業(yè)帶來無法衡量的巨大損失和嚴(yán)重危害。“這是擺在企業(yè)面前更現(xiàn)實(shí)的威脅！”

那么，企業(yè)域名服務(wù)面臨的威脅來源于哪兒？毛偉表示，一是域名注冊(cè)地帶來的合規(guī)風(fēng)險(xiǎn)。域名的管理機(jī)構(gòu)通常為商業(yè)公司，這些管理機(jī)構(gòu)有能力刪除、鎖定域名，它們受所在國(guó)家法律法規(guī)管轄。企業(yè)通過域名注冊(cè)服務(wù)商注冊(cè)域名，這些服務(wù)商也受所在國(guó)法律管轄。如果企業(yè)網(wǎng)站注冊(cè)域名的管理機(jī)構(gòu)或服務(wù)商是國(guó)外公司，則存在觸犯他國(guó)法律法規(guī)或其他原因而被關(guān)停的風(fēng)險(xiǎn)。

毛偉建議，企業(yè)在注冊(cè)域名時(shí)，可以選擇國(guó)內(nèi)合規(guī)的注冊(cè)局或注冊(cè)商，有能力的企業(yè)也可申請(qǐng)自己的頂級(jí)域名。比如國(guó)內(nèi)以“BAT”為代表的互聯(lián)網(wǎng)公司和一些大企業(yè)，已經(jīng)申請(qǐng)了“.baidu”“.taobao”的企業(yè)頂級(jí)域名，將管理權(quán)控制在自己手中。

另一方面，域名服務(wù)能力不足也帶來安全風(fēng)險(xiǎn)。毛偉表示，域名系統(tǒng)是企業(yè)網(wǎng)絡(luò)重要的基礎(chǔ)服務(wù)，但國(guó)內(nèi)大部分企業(yè)還在采用開源軟件并加以簡(jiǎn)單配置的初級(jí)階段。域名系統(tǒng)長(zhǎng)期處于缺乏管理的狀態(tài)、沒有專業(yè)人員維護(hù)，缺乏相應(yīng)的運(yùn)行管理規(guī)范，導(dǎo)致配置錯(cuò)誤、性能不能充分發(fā)揮、軟件版本不能及時(shí)升級(jí)、出現(xiàn)故障不能及時(shí)有效處理等情況普遍發(fā)生。例如上文提到的蘋果公司斷網(wǎng)事件，就是因?yàn)橛蛎渲贸霈F(xiàn)問題。

業(yè)內(nèi)資深人士建議，提高域名服務(wù)能力可以從內(nèi)部、外部展開。在內(nèi)部，企業(yè)應(yīng)避免人工失誤，避免程序出錯(cuò)。網(wǎng)絡(luò)加強(qiáng)災(zāi)備，有條件的企業(yè)，可以接入多家運(yùn)營(yíng)商網(wǎng)絡(luò)，避免網(wǎng)絡(luò)出現(xiàn)阻塞時(shí)，導(dǎo)致用戶訪問異常。對(duì)于外控，企業(yè)應(yīng)加強(qiáng)自身安防能力，防范攻擊和劫持。