gtxyzz

乌克兰:“我要让俄罗斯从互联网消失”,ICANN:“不可以!”

gtxyzz 安全防护 2023-01-08 409浏览 0

大家好,我是小林。 俄乌军事冲突恶化后,俄罗斯就受到「金融核弹」的制裁, SWIFT 支付系统将断开与俄罗斯多家银行的连接。 就在上周,乌克兰还想引爆「网络核弹」。因为乌克兰官员给互联网名称与数字分配机构(ICANN)发送了一封邮件,邮件上要求 ICANN: 1.撤销俄罗斯联邦使用的域“.ru”、“.рф”、“.su”等域名; 2.关闭为俄罗斯服务的 DNS 根服务器; 3.协助撤销相关域名的 TTL/SSL 证书; 第一个要求通过让根域名服务器不解析俄罗斯的网站,将俄罗斯的网站从互联网上消失。第二个要求通过取消解析域名的能力,将俄罗斯互联网用户拒之门外。第三个要求通过吊销 HTTPS 证书,使得俄罗斯网站失信。 乌克兰之所以提出这些要求,目的是阻止俄罗斯的宣传机器,并防止进一步的舆论宣传和虚假信息。 没过几天,ICANN 的 CEO 就用一封邮件回绝了乌克兰所有要求。 我看了 ICANN 发给乌克兰的这封信,这封信的大半段内容是在说明,ICANN 的使命是为了确保互联网的正常工作,而不是取惩罚性行动、宣布制裁或限制部分互联网的接入。 其中,ICANN 从技术和政策对乌克兰这三个要求做了具体回答,如下图: 乌克兰:“我要让俄罗斯从互联网消失”,ICANN:“不可以!” 这里简单给大家翻译下:

    对于国家代码顶级域,我们的工作主要涉及验证来自相应国家或地区内授权方的请求。全球商定的政策并未规定 ICANN 可根据您的要求采取单方面行动来断开这些域的连接。您可以理解为什么这样的系统不能根据来自一个地区或国家的关于另一地区或国家内部运营的请求来运行。过程中的这种变化将对这个全球系统的信任和效用产生毁灭性和永久性的影响。 根域名服务器系统由许多地理分布的节点组成,并由不同的独立运营维护。 我们没有能力撤销您提到的域的特定 SSL 证书。这些证书由第三方运营商制作,ICANN 不参与它们的签发。

从 ICANN 回答的这三点可以看的出,乌克兰提出的第一个要求从技术角度看 ICANN 是可以做得到的,但是由于政策缘故不能做,而第二和第三个要求从技术角度 ICANN 是无法做到的。 为什么 ICANN 有能力撤销域名? ICANN 全称叫互联网名称与数字地址分配机构,是位于美国洛杉矶的非盈利的机构,主要由互联网协会互联网协会的成员组成,目的是管理全球的域名和 IP 地址的分配。 全球共有 13 个根域名服务器,分别用 a 到 m 命名,如 a.root-servers.net、b.root-servers.net。一台是主服务器(就是 a 服务器),12 台辅助服务器,有 10 台在美国,2 台在欧洲,1台在日本。 这 13 个是逻辑上的概念,并不是只有 13 台物理的服务器。 可以在 root-servers.org 这个网站上看到,目前为止全球共有 1524 个实例(instance),每一个根都有若干个镜像,分布在全球不同的地方。 这 13 个根域名服务器有着独自的 IP 地址,但是同一个根域名服务器下的镜像共享着此根的 IP 地址,是通过「任播」这个技术实现的,具体的实现细节感兴趣的同学可以去查一查。 可以在这个网站看到 13 个根服务器的 IP 地址,https://www.internic.net/zones/named.cache:

A.ROOT-SERVERS.NET.   3600000 A 198.41.0.4
A.ROOT-SERVERS.NET.   3600000 AAAA 2001:503:ba3e :: 2:30

B.ROOT-SERVERS.NET.   3600000 A 199.9.14.201
B.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:200 :: b

C.ROOT-SERVERS.NET.   3600000 A 192.33.4.12
C.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:2 :: c

... ...

根域名服务器是由 12 家机构管理,其中 A 根是主根,由美国公司 Verisign 管理(Verisign 是 ICANN 最大的托管商)。B 到 M 根称为辅根,负责同步 A 根的内容。 A 根上有个最重要的文件,就是根区文件,该文件保存所有顶级域名的托管信息。 根区文件是由 ICANN 管理的,在 ICANN 官网可以查看这个根区文件:https://www.internic.net/domain/root.zone。 这意味着 ICANN 就有能力将某个顶级域名从根区文件里删除的,比如假设从根区文件中删除了 .ru 域名的内容,很快就会同步到所有的根中,然后在所有的缓存过期之后,全球所有人都访问不了 .ru 后缀的网站了。 但是其实大多数国家都有根镜像服务器的,所谓的根镜像服务器就是同步根服务器的内容,根镜像服务器都是假设在自己的国家的,由自己国家管理。 所以, 自己国家是可以控制镜像中的内容的,假设 ICANN 删除了 .cn 顶级域名,如果不同步这个修改,其实还是可以正常访问 .cn 后缀的网站的。 之前我也写了一篇关于美国能能否让中国从互联网上消失的文章:​​美国能让中国从网络上消失?​​答案也是不行的,国内有自己的根镜像服务器,我们可以控制根服务器同步的内容,再加上国内解析域名的时候,其实并不会去解析美国的根域名服务器,而是访问自己国内的运营商维护的根镜像服务器。

继续浏览有关 安全 的文章
发表评论