互聯網安全相關的常識問題 | 陳經

互聯網安全相關的常識問題 | 陳經

來自專欄風雲之聲

關注風雲之聲提升思維層次

解讀科學,洞察本質

戳穿忽悠,粉碎謠言

導讀

許多媒體和讀者擔憂中國會輕易被美國斷網從而癱瘓,但真正了解互聯網基本規則的人不多。今天計算機碩士陳經就為大家原原本本地講解互聯網相關的常識,讓你明白:美國到底能不能給中國斷網?美國能對中國的網路造成什麼樣的損害?如何防禦?中國能否反制?

IPv4、IPv6這種網路協議好比即時戰略遊戲的地圖,本身是公開的,許多人對它們有誤解,單憑主根伺服器是不可能斷網的。實際上真正應該關注的不是斷網這種粗糙的手段,而是黑客和設備中安置的後門。

——————————————————————————————————————

互聯網大家天天在用,近來出現了一些關於互聯網國家主權與安全的爭議。有對中國提出警示的如「中國沒有互聯網,只有美國的網際網路」。有關於技術標準的,如IPv4、IPv6、IPv9,這些網路名詞對中國的互聯網主權有什麼意義。還有關於技術細節的,如有記者報導」全球電子郵件都要到美國轉一圈「,這是真的么?還有對美國攻擊中國互聯網的疑問,是不是美國可以關掉中國的互聯網?

即使是有相當知識水平的人,對於天天在用的互聯網,也容易產生誤解。例如不少人會以為,IPv6與IPv4的區別,就是IP地址從4個數字升為6個,這種理解其實錯大了。

要明白這些問題,首先是名詞不要混。在本文中,互聯網是泛指各種按網路連接標準連結出來的網路系統,可以有多個。Internet或者「網際網路」,指的是目前全球互相連接在一起的大網,本文稱為「全球大網」。因為一般公眾用的網路就是網際網路,所以有時互聯網和網際網路會被當成一回事。但是也有一些特別的網路,是獨立的,和網際網路分離的,如軍網、公司內網。

令牌環網

其實幾台機器用網線連接起來,理論上就能組個「區域網」,可以聯網打遊戲對戰了。當然這是互聯網早期時代的事,後來乾脆都連到全球大網上去了。如果是幾台機器,聯網就很簡單,所有信息都廣播出去發給所有人就行了,和你無關的就扔掉拉倒,就和一伙人在屋裡聊天一樣。這種「全連接」的技術實現最簡單,但是規模一大就不經濟了。然後再從這個簡單模型開始,優化出各種網路結構。如星形網路,所有節點都只連到中心節點,什麼信息都由中心節點轉發。再如令牌環網,環形網上有個令牌,交給各個平權的節點,持有令牌的才能說話,往環網上發數據。用現在的通信概念來理解,這個「令牌」就相當於「控制信道」,說話就相當於「數據信道」。

這些聯網技術發展下來,越來越複雜,經過多種標準的變遷,終於在1990年代成熟了。某種程度上來說,標準雖然複雜了,但是做事簡單了。只要買來幾種聯網設備,網線、交換機、網卡、路由器之類的,就可以建一個網路了。大約1994、1995年左右,中國各大學校園就開始挖地埋線建網,沒有什麼困難,都組網成功了。這其實是很了不起的事,這相當於說,不需要專家,互聯網就可以推廣了,應用傻瓜化了。當然能建起網的人還是需要一些專業技能的,但沒多難。就和裝電腦一樣,電腦是高科技,實用的電腦軟體要寫出來也不容易,但大學裡很多小夥子都學會了裝機,有了一門讓女生崇拜的手藝。互聯網雖然一直飛速發展,但是基礎和90年代差不多,人們能發現的重要變化是加入了無線,如無線網卡、無線路由。

那年頭,各地建起了很多「區域網」。這些區域網即使完全與外部隔絕,內部也是可以互相通信的,如發電子郵件。有一些ip地址,如192.168.0.1,到現在人們還經常用到,如設置wifi路由器時要用。在很多相互獨立的區域網里,有很多節點的ip都是192.168.0.1,完成一樣的功能,因為不相干,所以ip一樣也不衝突。

對於一個機器來說,其實可以同時處於多個獨立的網路中。例如機器的某個IP叫192.168.1.101,這是某個「內網」的IP地址,如屋內幾個機器和wifi路由器組的小無線網,所有機器包括路由器的IP都是192.168.1.XXX的樣子,前三位一樣,有時沒弄好還會告訴你IP地址衝突了。全球其實有無數機器都有一樣的「內網」IP地址,因為是一樣的網路結構,只不過互相獨立。可以肯定的是,內網是完全可以獨立運作的。就算你家裡的網路壞了,連不到外面,但是無線路由器開著,仍然可以手機、電腦都連上它,然後互相倒文件。例如你要把一個小說文件從電腦上傳到手機上某種閱讀器里,這個閱讀器就會說,請你在電腦瀏覽器上輸入191.168.1.100:10123就能上傳文件了,不需要外網。

一個機器連到「外網」,會同時還有另一個IP比如叫202.96.128.166。這是指在全球大網中的地址,世界各國很不相同,但是又有規律。以前中國的機器基本都是202開頭的,因為分配的就是這個「欄位」,而美國一個大學就能有一個欄位,美國佔有的IP資源遠多於中國,這和全球大網發展歷史有關。在windows的cmd里,輸入」ipconfig /all」,就可以看到各種IP了。

這個IP地址就是互聯網的核心概念,或者說理解互聯網最好的起始點。為什麼給機器分配一個IP地址,它就能和其它IP地址網路通信了,這很神奇,是計算機學界多年發展出來的研究成果,但概念上就這麼簡單。你要和一個網路節點通信,最簡單的就是在cmd里輸入」ping XXX.XXX.XXX.XXX」,對方就會給出回應,告訴你兩個節點之間是通著的,通信延時是多少,或者不通。有時發生了意外,某些地址就ping不通了,那更複雜的訪問肯定就不行了。如果能理解ping的機制,複雜的互聯網應用無非就是數據多一些,概念是一樣的。

其實互聯網通信理解起來不難。比如有人說,我要搗亂,給風雲學會會長袁嵐峰工作單位的IP地址發信息,我來ping 218.22.21.25 (微尺度國家研究中心互聯網訪問主機的IP地址)。在電腦上發出這個指令,你的機器看到這個地址,說我發到無線路由那去。無線路由說,這不是內網的地址不歸我管,我交給外網最近的「網關」去。外面的網關根據這個地址,很容易明白是發到再上級的網關,還是發到下級網關,直到進入目標主機。218.22.21.25收到信息,就給回應,再原路返回(或者找個新路也可能),發回你這個機器。這和快遞分發其實差不多,我們查淘寶上的「物流信息」,能看到說包裹到哪哪了,中間會有很多「網關」一樣的分發節點。

1977年,整個互聯網的拓撲圖(美國的ARPANET)

理論上,我們只要輸入這種「IP地址」,就能完成互聯網訪問。有一些應用其實就是這樣的,直接讓你輸入數字的IP地址。但是數字IP地址難記,微尺度國家實驗室需要hfnl.ustc.edu.cn這樣的字母(有時也有數字)組成的「域名」,真的象人類的快遞地址一樣了,什麼國家、哪個單位、哪個部門。在前面那個域名中,cn就是指中國,edu就是教育部門包括各大學,ustc是指中國科學技術大學,hfnl就是微尺度國家研究中心。域名中間有數個「.」,最少一個點就可以,前面的www其實不加也行,如中國政府網gov.cn。但各種域名,對應的都是四個數字的IP地址。

其實機器的IP地址是可能變的,網路結構調整會動態分配。但是域名這個機制不錯,IP地址變了不要緊,反正別人也是用域名來訪問的,只要網路系統里的「域名解析」做對了就行。這個域名解析,是個挺重要的事,我們稍一想就知道,這可不是不同內網裡IP地址重合了不要緊,域名是不能重合的,而且是個全球事務。所以,如果只談IP地址通信,那可以各種內網、區域網隨便玩,用不著全球統一管理。如果要談域名,我們就需要引入國家概念,引入互聯網政治相關的概念了。

我們在windows機器上輸入」ipconfig /all」,會看到「DNS伺服器」這麼個東西,它有一個202.96.134.133這樣的地址。其實深圳的很多機器,都會發現自己的「DNS伺服器」地址是這個,它就是深圳的域名解析伺服器,DNS是Domain Name Server的縮寫。你可不可以換一個「DNS伺服器」?可以!比如你抱怨說,深圳這個DNS機器老出問題,太爛了,我換成廣州的DNS伺服器202.96.128.143,這是可以的。你打入一個hfnl.ustc.edu.cn這樣的地址,這個字元串就會被發給你選用的DNS伺服器(用IP地址通信的方法發的),這個伺服器會負責找出這個字元串對應的IP地址,然後你再和目標IP地址用IP通信的方法傳送信息。所以,你ping 218.22.21.25,這個就直接訪問了,如果你輸入的是ping hfnl.ustc.edu.cn,那這個命令會先由DNS伺服器處理一通。

那麼,一個DNS伺服器的本事有多大?是不是全世界任何一個域名,它都能獨立找出對應的IP地址?我們想一想就知道,這是不可能的。全球各種域名地址有幾十億個了,都放進一個機器會有麻煩。一是重複,如果所有DNS伺服器都象區塊鏈節點一樣有全部「域名賬本」,這種「去中心化」非常浪費。更重要的是,域名不斷在增加與註銷,要通知全球所有DNS伺服器更新賬本,去中心化是極為低效的架構,全球DNS要同步賬本得煩死。所以肯定得層級管理,要中心化。例如,深圳的DNS看到hfnl.ustc.edu.cn,雖然hfnl.ustc看不懂,但是edu.cn一看就明白,不就是中國的教育分部么,交給上級DNS就行了。上級DNS一看,ustc.edu.cn,扔到ustc的DNS那去查。ustc的DNS一看,hfnl我知道,是微尺度國家研究中心的,IP地址我這有,就給出了答案,原路傳回給深圳的DNS。這樣,各級DNS各司其職,統一將全球的域名都解析得好好的,是個高效的中心化機制。

我們這提到了「上級DNS」的概念,那就出來一個問題了,上級也可能有上級,最後是個啥?最後就是根伺服器!再沒有上級了,到這就是根了,是頂級了。到這,我們終於繞不開美國了。由於歷史的原因,全球最頂級的根伺服器在美國。一開始,只有美國有互聯網,所有DNS伺服器,包括最頂級的DNS伺服器當然都在美國。別的國家連進來,有兩種選擇,一種是接入美國這個網,自己弄一個次頂級DNS伺服器(這是所有國家的選擇),另外一種是自己建一個頂級DNS伺服器。第二種選擇美國會說,你可以這麼干,但那是你自己的網,甚至也可以拉別的國家來;但我美國和已經加入我的其它國家,和你的網會有衝突,技術上會亂套,只好互相不連了。因為這種「路徑依賴」,人們雖然覺得美國佔了大便宜,但也沒辦法,只好讓美國當根伺服器。

其實,根伺服器可以不只一個,事實上有13個。但是這13個功能全都一樣,你用到根伺服器時,找近的一個查到了就行。互聯網訪問非常多,一個根伺服器頂不住,開多個是必須的。但是這13個不能互相矛盾了,得有一致性,就是和在美國的「主根伺服器」保持一致。美國的主根內容更新了,就會同步到其它12個輔根去。12個輔根其實也有9個在美國,歐洲2 個(英國瑞典各一個),還有1個在日本。

那這種架構,美國確實能大佔便宜,不僅名義上地位高。比如域名層級分配,中國的大學是XXX.edu.cn,美國的就直接是XXX.edu,少了一級。再比如IP地址分配,美國的網建的早,已經將大段地址佔掉了,只留下些邊角地址分給其它國家。再比如,美國說我維護這個根伺服器要錢啊,這麼重要的互聯網服務不能免費,你們各國用了我提供的服務,得根據流量交錢。再比如,對於外面來的服務請求,是不是一視同仁?如果按「網路中立」原則,不分用戶大小,用戶來自哪國,都應該一樣,按公平原則服務,不要故意延遲。但是美國內部在吵,要放棄「中立」,大客戶優先,或者美國優先。

對這個事情,要平衡觀察。一方面,確實要注意,現在這個「全球大網」,美國有特殊優勢,能佔到不小的便宜。但是另一方面,也不能過分誇張,其實就是域名解析根務器的事,出於實際考慮放在美國。不能誇張成,什麼服務都要經過美國了,電子郵件都要跑到美國去,這從技術上說不通。發個電子郵件,理論上郵件地址有可能到美國的根伺服器去解析,但是IP地址解析完了,郵件內容就可以找合適路徑傳輸了,不需要到美國。如果硬的網路線路要經過美國,那沒辦法,郵件內容也會到美國。但從軟的體系結構來說,只是郵件地址解析要訪問美國根伺服器的概率大一些。如果美國把互聯網體系真設計得這麼笨,郵件等數據內容也要到美國去,那線路會堵得不得了,學術上更會被噴死。

我們不排除有可能性,美國公司搞的硬體網路設施做了手腳,一些內容會偷偷發到美國。但是基於IP的網路體系結構是公開透明的,誰都可以看標準搞明白,不可能有這種設計。IP體系結構的理念是,互聯網是「強壯」的,缺了誰都行,只要還有線路連著都能通信。如果不要域名服務,那根本不需要「根」,節點可以盡量平等。

當然,域名服務由於歷史的原因,極端偏向美國,這是很不公平。最突出的矛盾就是各國地址不夠用了,美國占著那麼多IP地址沒用,別的國家卻擠爆了,特別是中國。四個數字的IP地址,如202.96.128.143,每個位置256種可能,一共才不到43億個,比世界人口還少,是真不夠分。而且老早就不夠了,要找美國要地址。這種事都是由ICANN(InternetCorporation for Assigned Names and Numbers)管理,原來叫IANA (Internet Assigned Numbers Authority)。這個IANA是個和美國政府簽了合同的管理機構,是個合同工。升級成ICANN以後,理論上是全球事務非營利機構,但是還是受美國影響極深,當初美國占的IP要讓出來,很麻煩。

其實美國柯林頓政府1998年直接說,網際網路是美國搞出來的,各國加進來,就得服美國管! 這種赤裸裸的網路霸權主義當然遭到了世界各國的反對。這實在說不過去,美國就讓合同商IANA轉型成ICANN,給出了「路線圖」,理論上同意互聯網要全球平等,但是由於歷史因素,美國還是得負責一段時間。到2009年,ICANN從美國政府獨立了。2016年10月1日,美國商務部將互聯網域名管理權,完全移交給了ICANN,解除了合同關係。理論上來說,ICANN是一個全球共治的管理機構,美國不再有特殊地位。

公平地說,一方面要看到由於歷史因素,警惕美國在全球大網中的特殊地位,提防美國利用特殊地位搞事。另一方面,也不要一味地只說美國的壞話,要看到全球各國的共同呼聲,看到世界各國對美國網路霸權主義的鬥爭成果,積极參与到ICANN的全球共治框架里,實現世界各國網路主權平等。

ICANN一個重大成果,就是IPv4升級到了IPv6。我們看202.96.128.143這種地址,它是4個0-255的數字,用計算機的術語說,一個數字佔8個比特,四個數字就是32個比特,一共有2的32次方等於42.9億種組合。IPv4升級到IPv6,很多人常見的誤解是,4個數字的IP我熟,是不夠用;升級到6個數字了,一舉增多65536倍到281萬億種組合,真是夠用了,IPv6太好了。錯!這種理解小看了IPv6。這個IPv6說的是「互聯網協議第六版」,不是6個數字。其實IPv6的一個地址,是128個比特,相當於16個0-255的數字組合,有2的128次方即3.4乘以10的38次方個組合。有一種說法是,IPv6可以給地球上每一粒沙子一個IP地址,那麼6個數字對應的那個281萬億是不夠的,16個數字對應的10的38次方才夠。

其實IPv6早在數年前就已經推行開來了。並不是某天ICANN發公告說,全球IPv4切換成IPv6了,大家全部升級!想想技術細節,就知道這不可能,全球互聯網用戶的機器沒法統一行動。唯一可行的選擇是,一個機器,既支持已經有的IPv4,又可以支持新的IPv6,慢慢增加IPv6地址的數量。也就是說,一個機器,除了內網的192.168.1.101這種地址,以及202.96.128.143這種IPv4地址,還新多出來一個IPv6地址,如:

2001:0:9d38:953c:1442:170f:3f57:fe9a(注意,這是128個比特)。

為了支持這個IPv6地址,其實我們機器里的軟體也發生了變化。比如我們看windows里的網路選項,看TCP/IP,會發現除了IPv4,還多支持了一個IPv6。只不過一般人沒注意,機器系統軟體自動更新都幫做了。從概念上來說,其實我們的機器,有一個無線路由器管的內網;也有一個美國主根伺服器管的IPv4版的「全球大網」;還有一個IPv6版的「升級版全球大網」,算是ICANN管的。只不過這幾種網,共用了一些硬體設備,IPv4或者IPv6網路體系,是這些硬體設備上的邏輯概念。

IPv6當然也需要域名解析DNS伺服器,這和IPv4一樣的,只不過能用的IP地址多了,也會有多台根伺服器。那麼IPv6的根伺服器是什麼情況?

IPv6的根伺服器多了,有25台!2016年,這25台在中國、美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成了部署。中國有四台,分別在北京、上海、廣州、成都。放在美國的比中國還少,是三台,印度也有三台。這25台中有三台主根,分別在中國、美國、日本。可以看出,IPv6根伺服器的分布要公平多了,相比IPv4,更能體現全球共治互聯網的理念。IPv6這25台,加上IPv4的13台,就是全球互聯網的核心機器了。一些文章里提到了「雪人計劃」,就是中國推動的,在全球部署25台IPv6根伺服器的工程計劃。中國負責的機構叫「下一代互聯網國家工程中心」。

但是要注意,這個「雪人計劃」,以及建成的IPv6根伺服器體系,實際上是一個「測試驗證」,從工程規模以及應用頻率上,還不能和IPv4相比。雖然IPv4的根伺服器只有13台,但是下面的各級DNS伺服器非常多。到2017年8月,25台IPv6根伺服器在全球範圍內累計收到2391個遞歸伺服器的查詢,這說明整個規模並不大。IPv4的體系已經很成熟了,發展出了很多優化用應的辦法,如各機器會備份DNS查詢的結果。IPv6還談不上,處於開局階段,應用不多,優化開發還沒有深入。

現在支持IPv6的網站還不夠多。據《2017 IPv6支持度報告》,目前全球排名前50的網站支持IPv6訪問的有42%,我國排名前50的網站里僅1家支持穩定的IPv6訪問。也就是說,全球網站還是更把自己當成IPv4網的成員,對於IPv6不夠重視。IPv4網可以說是全球最重要的基礎設施之一,沒有不行;IPv6網還只是一個測試性的網路,沒有也不太影響全球經濟。利好消息是,由於手機、PC的終端軟體更新很快,支持IPv6的終端操作系統達到了90%。這是因為手機升級快,PC操作系統軟體更新也較為容易。但是家庭無線路由器需要更新,支持IPv6的還不多。當然以後IPv4地址逐漸枯竭,人們不得不轉向IPv6,各種IPv6的軟硬體逐漸準備好了,如物聯網大規模應用上來了,IPv6的網路規模應該會超過IPv4。

有時新聞里還會出現IPv9,這個事就有點糊塗。在國際上,IPv4、IPv6是說互聯網協議版本,作為互聯網協議的IPv9也是有的,1992年提出來了。這個IPv9並不是IPv6的後續高級版本,而是90年代初大家就發現IPv4地址不夠用,同時提出了幾個新的選擇,IPv6、IPv7、IPv8、IPv9都有。IPv9算是和IPv4、IPv6不同的一種選擇,目前看只是理論研究,從理論上來說在低碳環保上有優勢。

中國新聞里出現的IPv9,就會經常提到「十進位網路」。可以肯定,這是中國特色的IPv9,和國際上的IPv9不是一回事。而中國研究者提出的「十進位網路」,是借了IPv9的名,實質就是「十進位網路」。說實在的,有些高深莫測,也引發了一些爭議。這個十進位網路,是說除了數據是二進位,其它全部用0-9的數字來做。域名是0-9的數字組合,中英文全不要,網卡物理地址也全用數字,不要字母。為了支持十進位網路,一些網路軟硬體設備要改一下,如DNS伺服器要改。個人感覺,這個研究比較偏門,不可能成為IPv6這樣的全球通用協議,只能算是某種特別的選擇,據說可以幫助保密,比如某些特殊部門的機器里,多了一個「IPv9十進位網路」協議。從科研意義上看,這個十進位網路,也只是表面上的,其實內在邏輯仍然是二進位的,根本上來說只是加了一個編碼協議,軟硬體創新不大。這個應用做出來,會是一種小眾的偏門應用,似乎沒有多大的理論意義。如果說有積極意義,通過研究十進位網路,能理解網路體系是怎麼回事,要改哪些設備才能把十進位域名跑起來。其它的意義看不太出來。個人感覺這種網路協議研究,還是應該象華為公司在國際上推Polar碼一樣,到國際會議上去推行標準,而非自己做一個別人不可能接受的古怪網路。

以上介紹了互聯網基於IP定址信息傳輸的基礎知識,介紹了IPv4、IPv6、IPv9的基本常識。個人認為,中國的IPv9可以不用太關注,是個奇怪的非主流。IPv4是美國主導的網路體系,美國佔了很大便宜,但是各國也有鬥爭。IPv6是IPv4之外的一個新選擇,技術上已經成熟了,而且不是美國主導了,由各國共同主導。但是IPv6需要在市場份額上大幅躍升,才能取代IPv4的主流地位,現在IPv6還只是實驗性的網路。

美國會在佔優的IPv4體系上搞什麼花招,中國要如何防備,就需要了解更多網路入侵攻防的專業知識,軟硬體非常複雜。為此,中美兩國在網路設備上經常發生較量,美國不讓用華為的設備,中國也怕美國公司裝在中國的網路設備有後門。但是IPv4、IPv6本身是公開透明的網路體系結構,理解起來不難,不應該過多牽扯進這些爭議里。

有了這些基礎知識,下面就可以回答一些流傳的具體疑問,例如下面這幾個問題就是很多人關心的。

1. 美國到底能不能給中國斷網?或者說,美國能對中國的網路造成什麼樣的損害?

2. 如何防禦美國的網路攻擊?中國有沒有反制的手段?

3、IPv6的主根伺服器有三台,它們之間如何保持同步?會不會導致混亂?主根伺服器的持有者是不是有損害其他國家的潛在能力?

4、斷網對於美國來說是最笨的一招,我們可以理解了。但美國如果真的用這最笨的一招,那麼中國會怎麼做?會很快啟動自己的根伺服器,恢復網路服務嗎?會不會導致國外的域名不能更新?如果恢復網路很容易,為什麼朝鮮、利比亞、伊朗就被斷了網?為什麼美國可以隨便修理這些小國,對中國就不能用這種笨招呢?

提問:美國到底能不能給中國斷網?或者說,美國能對中國的網路造成什麼樣的損害?

回答:美國給中國斷網,有兩種方式,一種是明招,一種是黑招。

明招就是上文說的根伺服器,不給中國提供域名解析服務了,或者胡亂服務,中國的IPv4網路訪問就會碰到一些麻煩。這種事其實發生過,但不是美國故意做的,而是故障。2014年1月21日,全球不少知名網站被錯誤解析指向了同一個IP地址,中國百度新浪等網站也受影響。1997年,由於根伺服器錯誤地使用了空白名單,互聯網局部地區幾天之內網頁無法訪問,郵件無法發送,是歷史上最嚴重的一次事故。

如果美國決定用根伺服器破壞中國的IPv4服務,是可以的,就是這些域名解析問題。但是通過前面的內容我們知道,這極不可能發生,毫無意義。首先公開這樣做,美國毫無道理,因為ICANN是個國際組織,根伺服器雖然放在美國,但這麼做等於是踐踏人類社會基本規則。其次這麼做破壞力不大,無非是中國一些網站域名解析出問題,找到問題要修復並不難,換上新的根伺服器就行了,還正好順勢廢掉美國的老根。我相信美國的惡意,但不相信美國人會用這麼笨的法子。如果有人說,IPv4網是美國主導的,中國會因為這個架構問題被斷網,我絕不相信。暫時出了事一些網址上不了,我也只會認為是故障,這類故障其實挺常見。

美國真正可怕的,是用黑招給中國斷網。比如說,中國主幹網路里有Cisco的伺服器、網關之類的重要部件。我非常傾向於相信,這裡有美國人埋下的邏輯炸彈。例如,美國人發送一個特殊字串到中國,Cisco的部件檢測到了這個特殊字串,就激活進入破壞模式。據說Cisco公司有美國軍方的人不知道在幹啥,很可能就是埋邏輯炸彈。

這個破壞模式不是說不工作了,而是保持網路不斷,但是癱瘓或者擾亂網路,讓你根本不知道哪出了問題。鑽研這些破壞方法也是研發,能發展出各種辦法和工具。正因為美國人自己幹了,所以對華為的網路部件特別小心,根本不讓進美國。這方面不能抱幻想,美國人肯定埋炸彈了,到時激活炸彈,中國網路就會癱瘓,斷網只是最基本的,更可怕的事都有。

顯性的破壞是比較容易被發現的,更可怕的是不知不覺的損害。另一種大類的攻擊是數據竊密。中國的機密信息,放在網路上,美國人在網路基礎設施里可能放了各種後門。比如你機器用了美國部件,用了某種加密演算法,引用了一個庫函數,用美國公司開發的編譯器,這裡都可能有後門。你的密碼可能被美國人弄去了,或者美國人能用一個萬能密碼進你的系統。後果非常可怕,平時信息泄露,極端的時候會被搞破壞。比如把中國金融部門的資料庫都給整死,中國金融就遭到滅頂之災了。

其實網路黑客們整天琢磨的就是這些,因為比較專業,討論的人不多。美國人要干起黑客的活,破壞力不會小。美國用根伺服器給中國斷網不可怕,因為架構是公開透明的,能做什麼可以想像。但是美國埋在中國的邏輯炸彈就很可怕,因為不知道是哪出事,會出多大的事。

還是得說,IPv4、IPv6這些協議是公開透明的,是客觀的。美國對中國發起網路攻擊,相當於IPv4是戰場,對戰場越了解,攻防起來越有利。但是戰場本身是中立的,戰場地形研究得再清楚,戰爭的勝負還是由參戰雙方的能力決定的。不能說美國人用IPv4攻擊中國,中國用IPv6來防守。不要給這些公開透明的技術協議強行抹上政治色彩。從技術上說,如果認為美國人的「大招」只是IPv4架構或者根伺服器,那就太過簡單了。

提問:如何防禦美國的網路攻擊?中國有沒有反制的手段?

回答:中國的國家網路安全是中國研發人員的重要課題。IPv4,IPv6隻是基礎知識,專業的網路攻防非常複雜。

第一,要對中國的網路基礎設施進行考察,用國產的替換掉美國部件,提升安全性。

第二,重要的關鍵網路通信應用,要從物理層面考察通信過程,避免留下可能被美國做手腳的環節,即使可疑都不行。

第三,我不知道中國有沒有做,但美國人說做了。最出名的就是藍翔技校,美國人說這裡有中國網軍,中國搞了一些人在研究網路攻擊美國。

這些反制措施比較專業,當然要非常重視。但是對IPv4、IPv6等透明公開的協議,個人認為還是應該從全球共同治理的角度去說事,不要把美國網路攻擊扯進來。

這裡一個值得提到的問題,就是量子保密通信,這是人類目前已知的最安全的信息傳輸方法。有許多媒體報道和所謂科普文章把量子保密通信說得令人云里霧裡,其實這些文章都是胡扯。袁嵐峰博士寫過很多量子信息的科普文章,例如《你完全可以理解量子信息》,把量子保密通信的原理解釋得很清楚了,有興趣的讀者歡迎去閱讀。

量子保密通信的一個特點是,在密碼生成這個環節上,它是「無條件安全」的,意思是,只要做好了自己這一方該做的事,那麼敵方就絕不可能破解你的密碼,無論他有什麼樣的技術能力。傳統的密碼術就不是這樣,必須假設敵方的能力不夠強才行,所以傳統密碼術的安全性歸根結底是一種信念,而不是證明。只有量子密碼術的安全性,是得到了數學證明的。你顯然就可以看出,量子保密通信對於處於守勢的中國來說,是非常有價值的。好消息是,目前量子保密通信的技術最先進的國家,就是中國!

提問:IPv6的主根伺服器有三台,它們之間如何保持同步?會不會導致混亂?主根伺服器的持有者是不是有損害其他國家的潛在能力?

回答:搞IPv4或者IPv6這種公開透明的架構,不要總想各國互相傷害,或者有主根的傷害沒主根的這類事。各國是為了一起建一個新網路,不是來互相害的,是為了造福人類社會。就好象世界各國共同投資造了幾個大天文望遠鏡放在幾個國家,最好不要去談怎麼拿天文望遠鏡互相傷害。討論起來也比較無聊,技術上會比較搞笑,害不了別國太多,代價卻非常大。

主根伺服器完全可以多台,同步也不難,就是傳送一些數據表,不會混亂。邏輯上可以把這三台當成一台就行了,但是這一台的權力分到了三個地點。比如以前要開一個新的頂級域名,如.net,IPv4時要美國主根來做。現在IPv6了,中國、美國、日本的主根都可以做。

提問:斷網對於美國來說是最笨的一招,我們可以理解了。但美國如果真的用這最笨的一招,那麼中國會怎麼做?會很快啟動自己的根伺服器,恢復網路服務嗎?會不會導致國外的域名不能更新?如果恢復網路很容易,為什麼朝鮮、利比亞、伊朗就被斷了網?為什麼美國可以隨便修理這些小國,對中國就不能用這種笨招呢?

回答:如果美國真的笨笨地發動了「主根攻擊」,中國網路域名服務是會出問題。要恢復並不難,就當美國主根不存在就行了。全國所有次級DNS的上級都指向自己新造的一個主根。其實所謂「主根」,是需要下面的次級DNS承認的。別人都不承認你,都說新的機子才是主根,那就「革命成功」了。所以,如果美國用境內的主根搞破壞,別的國家就會建起新的主根。而且這也不難,因為主根上的內容其實很多機器都有備份了,方便快速訪問,不用老去查主根,只不過主根有「更新」的權力。這都是搞笑式的討論,不可能發生的。

伊朗被斷網這事,有誤解。2018年初,伊朗當局因為發生了騷亂,主動切斷了網路。美國對伊朗發動過計算機病毒攻擊,但並不是對域名根伺服器動手腳切斷伊朗的網路。美國2013年用「震網病毒」,對大批伊朗離心機發動了攻擊,破壞伊朗的核計劃。據說,這種攻擊是離線的,伊朗的離心機其實沒聯網,但是病毒已經感染在機器里了。以前的計算機病毒並不通過網路傳播,而是人們拿軟盤抄來抄去,潛伏在操作系統和可執行文件里。震網病毒發作時,伊朗離心機開動時收到大量錯誤的感測器數據,高速轉動就大批壞掉了。

朝鮮斷網,是指2014年12月22日起,朝鮮忽然從全球大網上消失了兩天,訪問時斷時續。有人說這是美國對朝鮮發動了域名攻擊,報復朝鮮對索尼的網路攻擊。這個攻擊是誰做的現在也不知道,但是手法不是從根伺服器動手腳(我一再說了,不可能有這種笨笨的攻擊發生)。可能是有黑客,對朝鮮的重要網路節點,發動了暴力的DDOS攻擊。就是說黑客操縱一些機器,不停地訪問朝鮮的關鍵節點,把朝鮮節點機器所有的服務時間都佔掉了,這樣別的正常訪問就沒法進行了,朝鮮網路就癱瘓了。這個DDOS攻擊是常見的,時不時有受害者,但象朝鮮這樣,整個國家成為受害者比較少見。

利比亞斷網,和敘利亞斷網差不多,都是打仗鬧的。外界社會發現,分配給利比亞或者敘利亞的IP欄位,全都無法連上了,就說「全國斷網」了。具體的原因,有的新聞說是當地政府主動切斷的,但敘利亞政府說沒切,是恐怖分子炸的。傳來傳去,有時就會誤以為是美國切斷的,其實和美國無關。

要澄清誤解,美國並沒有動用根伺服器這種笨手段去對付朝鮮、伊朗、利比亞等國。這些國家斷網事出有因。不應該用小國斷網的事來營造「中國可能被斷網」的恐怖氣氛,還是應該還原事實。

美國平時是經常隨便修理小國,轟炸、禁運、封鎖。但是從網路空間上看,美國並沒有用網路霸權主義的明招讓小國斷網,那真是太笨了,下不了手。美國可能發動網路攻擊、病毒攻擊,這些中國是要防備。但中美的網路攻防總要做得有技術含量一些,不要說得太簡單,和小國不一樣。

背景簡介:本文作者筆名陳經,中國科學技術大學計算機科學學士,香港科技大學計算機科學碩士,科技與戰略風雲學會會員,《中國的官辦經濟》作者,微博@風雲學會陳經。責任編輯:郭尖尖

歡迎關注風雲之聲

知乎專欄:

zhuanlan.zhihu.com/feng

一點資訊:

yidianzixun.com/home?

今日頭條:

toutiao.com/m6256575842


推薦閱讀:

坤鵬論:馬雲最近比較煩.....
網紅微博運營有哪些經驗值得借鑒?
網貸平台備案前新一期評級發布 玖富普惠穩居第一梯隊
愈戰愈勇的 AI ,莫非是不可阻擋?
凱強:超級贈品引流第二彈

TAG:科技 | 網路安全 | 互聯網 |