前言
2014年1月21日下午三点20分,整个中国所有正在上网的用户,都突然失去连接,百度、微博、淘宝等门户网站均无法访问,这种状况没有持续太久,三个小时后便陆续恢复正常,事后查明直接原因是全球域名解析出现故障所致,除了些许不便之外,故障的影响并不大,讨论者寥寥。
这件事已隐入历史洪流,但断网的三小时中,有些事已经被永远的改变了。历史的脉络在这个下午交汇,最终燃起了燎原烈火。
十面埋伏
大国博弈无处不在,平静的生活下暗流汹涌,而在互联网这块虚拟的世界中更是明枪暗箭,危机四伏。
2008年第29届奥林匹克运动会在中国举办,成为我国迈入新时代的符号与注角,但北京不是奥利匹克的唯一举办地,当张怡宁卫冕金牌的时候,万里之外的白宫中一个代号为‘奥林匹克’的行动启动,北京的奥林匹克圆满落幕,但白宫的奥林匹克要四年后才浮出水面。
2010年,白俄罗斯的一家安全公司virusblokada在为伊朗客户检查系统时发现了一种蠕虫病毒stuxnet(震网),该病毒通过入侵核工厂离心机的频率控制器,控制离心机以超过安全范围的数值运转,同事在监视器上显示正常数值欺骗管理员,最终导致设备损坏。
两年后的2012年,纽约时报在报道中指出,确认震网是由美国国家安全局和以色列联合研发,目的是阻止伊朗发展核能,并且除了“震网”之外,感染伊朗全国大半电脑的flame(火焰)病毒也是美以行动的成果,行动代号:“奥林匹克”。
一波未平一波又起,2011年棱镜门事件爆发。
美国全球窃听计划曝光,苹果、微软、谷歌、facebook、youtube以及世界电信巨头威瑞森均牵涉其中。被监听的对象囊括美国的对手与盟友,引发了美国外交的大地震。
棱镜门事件后,各国纷纷出台各种政策巩固网络安全,我国亦是如此,但窃听仅仅是我们互联网面临的众多危险中最小的一个。
假如把窃听计划看成美国躲在欧洲的房子外听里面的动静,那么我国面临的形势更加严峻,欧洲好歹有个房子,我们连房子都是美国的,他甚至可以站在我们的客厅里听,并且如果美国愿意,完全可以让中国瞬间在互联网上消失。
这在当时并不是危言耸听,一切的一切,要从互联网的开端说起。
俯仰由人
互联网始于1969年的美国,在最初是美国军事产物,直到1980年互联网才开始商业化并进入人们的生活,所以严格来说:
不是世界人民共享互联网,而是世界人民使用美国的互联网。
这一点在 ip 地址的分配上极为明显,互联网世界不同于现实世界,现实世界中别的人可以通过地址、门牌、经纬度来找到你,但互联网的世界只有0和1,所以每个人只有一串由0和1组成的地址来让别人找到自己,这串由0和1组成的地址即为 ip 地址,这是互联网的基础资源,也是互联网的领地。
1981年,ietf 规定 ip 地址由一串32位的二进制数构成,每台设备都需要独立的 ip 地址才能够进入互联网,为了方便人们阅读与记忆,ip 地址在我们的设备上通常显示为十进制。
这版本协议是ip协议的第四版,简称为ipv4,今天可以在任何设备的信息中看到ipv4地址,它是第一个被广泛使用,同时也是构成现今互联网的基础协议。
但是 ipv4 存在一个致命的问题,即数量:
ipv4 地址是32位的二进制数,所以基于 ipv4协议 的 ip 在逻辑上的最大总量为 2^32 - 1 个,即近30亿个。
在互联网发展的速度的今天,个人pc、移动电话、智能设备、isp的兴起迅速消耗着ip地址,全球有70亿人口,但ip地址只有30亿个,一旦用完,后来者将无法进入互联网。
问题不止于 ip 地址不够用,
全球人民都要用ipv4协议,那就要有人来分配和记录地址,于是 iana 与1988年出现了,负责将ip地址分配给全世界。
这个组织虽然是国际组织,但其创立的资金来源是美国国防部,再加上美国作为互联网的起源地,有先发优势,于是资源大量向美国倾斜。
截至2022年8月26日,全球各国ip地址分配数量为:美国16亿个(38%),中国3亿个(8%)。
换算成人均的话,每一个美国人有5个ip地址,每5个中国人有一个ip地址。
俯仰由人。
未雨绸缪
1991年,ietf 预测 ipv4 地址将会在2010年耗尽,并在次年提出了ip协议第六版,简称ipv6。
和 ipv4 的32位不同,ipv6 的地址长度扩张到了128位,并改用十六进制表示。类似这样:
ipv6逻辑上的最大总量为 2^128 -1 ,其数量可以为全世界每粒沙子都分配一个地址。
如果说ipv4是一块美国分配土地的大陆,那么ipv6就是一片新的海洋,广阔无限没有压迫。
ipv6出现后,全球主要国家纷纷开始ipv6的研发,2001年欧盟成立ipv6 task force,2004年韩国启动it839计划,美国因为有太多ip储备,态度并不积极,直到2003年才宣布启动。
而中国对ipv6的研究,比所有国家都要早。
1992年 ietf 开始讨论ipv6,两年后的1994年,中国就在cernet网络中建立了ipv6试验床,由清华大学教授吴建平领衔,联合数十家大学开始建设,在1995年11月完成。
1995年cernet网络完成后,吴建平把目标转向了 ipv6 的实际发展问题,在2001年,包括吴建平在内的57名院士联合致信国务院,提出建设一个纯 ipv6 主干网,第二年,国家计划委员会批复同意,启动“下一代互联网战略研究”,将建设纯 ipv6 网络的任务交给了吴建平,并命名为 cernet2。
2004年,cernet2 主干网就正式开通,整个网络使用纯 ipv6 建设,连接全国20个城市25个核心节点,成为中国第一个 ipv6 国家主干网,同时也是世界规模最大的 ipv6 网。
在cernet2的主网中,建设组原本可以全部使用国产设备,但他们选择了三分之二使用国产,三分之一使用国外,因为只有设备上的复杂、混合才能最大程度暴露出问题。
cernet2不止要建设一个中国的ipv6,还要为世界的ipv6作准备。而同时期,欧盟、美国、日本才刚刚进入ipv6的论证。
气凌九霄
2008年,北京奥运会举办,这是中国新时代的开篇,也是互联网新时代的开篇。
2008奥运会中58个场馆全面部署了 ipv6 系统,所有网络、传感器、摄像机均为 ipv6 网络,由中央控制中心无缝控制。
同时外围超过15000辆出租车也使用ipv6传感器,由交通部门实施指挥。
在这些大规模网络中,没有使用闭路电线,所有传感器全部使用标准以太网连接,并自动配置。
中国向全世界展示了一个名为 ipv6 的理想,这是中国第一次在互联网领域站在规则制定者的位置上。
独钓寒江
2008年年末,中国站在了ipv6发展的最前沿。
但没有人能想到,这已是中国ipv6的顶峰,此后,尽是低谷。
原因要从1992年说起。
1992年为了解决 ipv4 数量极限的问题,ietf 提出了 ipv6,但 ipv6 不是 ipv4 协议的升级,而是一个全新的协议,两个协议之间不能兼容,如果要使用 ipv6 那么全世界的互联网设备都要更换硬件设备。
ipv6提出后 ietf 等国际标准组织当时的共识是:全世界互联网逐步向 ipv6 转移,并争取在2010年 ipv4 地址耗尽前完成,如果计划顺利,那2008年北京奥运展示的ipv6模型,很可能成为世界模版。
但计划不顺利,一种名为 nat(网络地址转换)的新技术出现。
1994年,nat 技术首次被提出,其核心功能是通过在路由器上安装 nat 软件,可以实现多个主机使用同一个 ip 地址,也就是我们常说的公网,私网。
打个比喻,过去每个人都拥有一个 ip 地址,快递员只要知道 ip 地址就能找到这个人,而 nat 技术把一个 ip 地址变成了一个小区,快递员只用把包裹交给门卫,门卫再将包裹交给住户。
反过来如果住户要寄包裹,也是先将包裹交给门卫,门卫再交给快递员,小区之外是公网,小区之内,就是私网。
nat 技术的出现大大缓解了 ip 地址耗竭的危机,在全世界发展 ipv6 的几年中,nat 技术也在蓬勃生长。
1999年,nat 技术标准提出后迅速被各国接纳,相比起要全部硬件回炉的 ipv6,使用 nat 技术只需要在路由器安装软件,成本更低,也更方便。
并且ip协议不是应用层技术,在用户侧是无法感知的,对与消费者来说使用 ipv4 和 ipv6 完全没有区别,成本和经济效益两个问题一叠加,所有国家都倒向了nat。
全世界ipv6的发展都开始放缓,中国的 ipv6展望,也在2008年后进入黯淡。
ipv6的退潮换来的是 nat 的升起,为了帮助 nat 技术发展,iana在全球 ip 地址中预留了3个私有地址网段,这三个网段的地址不会在互联网上被分配,可以在私网内自由使用。
同时私网的ip不允许出现在公网,只能通过 nat 使用公网 ip 连接。
相信你对192.168这个地址不会感到陌生,因为除了大学和大型企业,一般网络都会使用c类地址搭建私网,我们在生活中使用的网络,99%都是通过nat技术映射的192.168地址。
十九世纪的英国维多利亚时代,社会贫富差距极大,富人享受宫殿,舞会,穷人只能在小旅馆中用一根绳子撑着头睡觉,不能睡在地上,因为得加钱。
如果以网络基础资源的角度看,那在二十一世纪的互联网,除了美国之外,所有人都在睡绳子,这跟绳子叫192.168,并且更惨的是,绳子还是有限的。
2011年,负责分配全球ip地址的iana宣布,最后5个 ipv4 地址块已经分配给了rir(iana旗下区域性互联网注册机构),此后,世界再无新的ipv4。
这个消息并没有引起太大的波澜,因为 nat 技术已经解决了地址耗尽的问题。
因为 nat 技术的出现,中国对广阔天地的理想没有打动欧洲和亚洲·,全球ipv6开始退潮。
没有人知道 ipv6 会不会就此蒙尘,但所有中国互联网工程师都在等,等一场必然出现的风暴。
悬顶之锋
除了ip地址的问题之外,世界互联网还面临着隐藏更深的威胁,即dns域名解析系统。
如果说ip地址是我们脚下的土地,那么 dns 就是让我们能找到其他人的呼叫系统。
互联网诞生初期,网络中只有上百台主机,技术人员只需要背下几十个主机的ip地址,就能畅通无阻。
但随着互联网的膨胀,主机数量从上百个变成了上万,原始的记录方式不再适用,人们需要一个新的记录方式。
比如在互联网中设立一个服务器,记录下所有主机的ip地址,然后给这些ip地址备注一个简单好记的名字。
比如192.168是沙县小吃,就计作sxxc,所有人进入互联网的主机都可以在这里登记,也都可以在这里查询其他人,相当于一个互联网电话簿。
但随着全世界的互联网主机越来越多,这种命名很容易出现重名,为了解决问题人们给命名施加一个规则,在名字后加上后缀,比如:
在深圳开的沙县小吃的IP地址,就计作:沙县小吃.深圳高新南九道.中国;
开在纽约的沙县小吃的ip地址,就计作:沙县小吃.纽约斯塔滕岛路.美国;
这样既能找到目标也不会重复,这套命名规则就是我们今天的互联网网址,每个点后面的词都是一个域名,而负责识别域名并提供准确 ip 地址的系统,就是 dns域名解析系统。
dns 是一个树状网络,由根服务器、顶级域服务器、二、三、四级域服务器组成,每个服务器只储存自己域名的信息。
以沙县小吃举例:
当你在浏览器输入 沙县小吃.深圳高新南九道.中国 后,你的主机会向根服务器发送请求;
根服务器收到请求,看到 .中国后,便告诉你的主机,去找 .中国服务器(顶级域);
主机找到 .中国服务器后,服务器再告诉主机,去找 .深圳高新南九道服务器(二级域;
最后二级域服务器告诉你,沙县小吃店的ip地址是220.181.38.150(举例)。
听起来复杂,但在dns高度完善的今天,完成这一切只需要几毫秒。
在这个系统中,根服务器是整个dns系统的绝对核心,所有网址都必须通过根服务器后才能访问顶级域、二级域,所以 dns 是国际互联网最重要的战略基础设施。
谁能掌握,谁就有生杀大权。
和 ipv4 地址一样,dns系统也由美国掌握。
1983年,dns的原始技术规范在互联网发布,随后美国军方资助建设了根服务器。
至今为止,全世界共有13台根服务器,用a - m命名,除了 i 根在瑞典,k 根在英国,m 根在日本,所有服务器都在美国。
并且13台根服务器中,a根为主根,其他均为辅根,a根对所有根服务器拥有最终解释权,同时所有根服务器的文件和资料,也是由美国商务部下属的ntia(电信和信息管理局)掌握。
现在你能明白为什么说不是全世界共享互联网,而是全世界使用美国的互联网了吧?
因为这个互联网世界的土地、工具、以及随所有的访问请求,都会经过美国,只要美国愿意,可以让任何一个国家断网。
dns的威胁如同一柄悬在头上的利剑,从1987年之后,世界范围内不乏对dns根服务器“武器化”的担忧,随着互联网发展,这种声音越来越大。
在此压力下,1998年美国在洛杉矶成立了一个非营利性机构icann(互联网名称与数字地址分配机构),负责在全球范围内协调互联网发展,当年美国商务部将iana和ntia两个机构的职能,全部移交给了icann,同时在章程中规定,icann可以收取一定费用维持运营,以保证不受任何国家的资金控制。
美国的行动缓解了全世界质疑声,对所有国家来说,这都是一个完美的互联网解决方案,但方案是一回事,落地是另一回事。
对美国来说,其已经拥有足够多的 ip 地址,iana的职能无可厚非,但根服务器的权利无法割舍。
1998年 icann 成立后,两个机构的职能都逐步移交给了icann,美国商务部却利用和ntia的合同,保留了对 dns 根服务器的最终控制权,这次移交虽有瑕疵,但icann的出现已经够激动人心,隐藏更深的问题没人再去提及。
2002年,应很多国家的呼声,icann开始在全球布置镜像根服务器,就是将根服务器中的数据复制到新的服务器中,安装在各地各国。
这样所有的解析请求都可以直接访问自己国家的镜像根服务器,能够降低延迟,帮助世界互联网发展。
从2003年开始,中国陆续引进了多个镜像根。截止2022年,全世界已有1546个镜像根服务器,其中有40个在中国,即使真的有一天断根了,我们也可以用数据备份搭建应急根服务器来解决。
这是不是意味着根服务器的困境解决了?
并没有,以往中国面对的封锁问题基本都是技术问题,大多是“有没有”的问题,而dns不同,根服务器没有技术壁垒,但数据和系统只有一个人有,其本质是“认不认同”的问题。
比如我们建立了镜像根服务器,没有了断根的风险,但是我们的镜像根在法定上依然从属于主根,每个镜像的数据仅有一小时有效,每隔一小时,全世界的镜像根,都要向从属的根服务器请求一次授权,如果主根拒绝授权,那同样会被踢出去。
问题依然存在,只是藏的更深了。
中国互联网蓬勃发展的十几年,每天都对dns安全问题如芒在背。
回顾上文,中国的 ipv6 展望在2008年后渐入低谷,dns安全也久悬未下,这听起来这是两个不同的难题,但 ipv6和 dns 面临的其实是同一个难题,即 话语权。
话语权这个问题上只能交给时间,短期内来看世界需要互联网发展,美国也需要互联网发展来巩固霸权,二者能够和平共处;
但长期来看,世界互联网的终点一定是多边机制,与美国的切身利益相反,这是二者不可调和的根本矛盾。
我们需要蛰伏等待这个矛盾出现。
图危以制变,虑难以立权。
石破天惊
在2012年,暗流之上的和平迎来了裂变。
2012年,纽约时报报道了“奥林匹克”行动,引起世界关注,但“奥林匹克”只是互联网安全风波的预热。
一年后斯诺登出逃,棱镜门事件爆发,这个在水面下运行数十年的窃听计划曝光,近80多个国家遭到监控,35个国家领导人被窃听,其中包括日本首相、德国总理,苹果、微软、谷歌、思科、ibm、高通、英特尔等世界巨头均涉及其中。
在中国方面,北京、上海、成都、香港、台北都在窃听目录,商务部、外交部、中资企业、科研机构、为重点窃听对象,甚至华为、腾讯、飞信、海尔都没有逃过。
棱镜计划引发了美国外交大地震,对欧洲、拉美来说,重要的不是美国进行了窃听,而是美国对盟友也进行了无差别的窃听。
2013年棱镜门是世界影响最深的安全事件,它的重要不仅仅在于霸权淋漓尽致的体现,还在于这件事真正让所有人注意到了比窃听更危险的领域:ip 地址与 dns。
dns诞生之初设定了顶级域、二级域的那个域名,为了实现互联网共治,icann规定每个国家都有自己的顶级域名,
如中国的.cn,英国的.uk,德国的.de;
这些顶级域被视为一个国家的主权空间,虽然美国保留了dns根服务器的控制权,大家也都默认美国不会侵犯主权空间,但只是默认。
2003年伊拉克战争爆发后,美国动用dns根服务器权力,删除伊拉克国家顶级域名.iq,
随后整个伊拉克从互联网消失了两年。
2004年,利比亚与美国发生冲突,当月利比亚顶级域名.ly瘫痪,利比亚在互联网消失了三天。
在互联网的世界,上述两个国家在毫无反击能力,只能任人鱼肉。
这还只是简单粗暴的打击,几年后美国操控dns体系已经进化成精准的手术刀。
icann划分的顶级域名中,不仅有国家专属的顶级域,还有世界通用的顶级域,比如大家熟悉的 .com;
2010年11月29日美国国土安全局以涉嫌违法犯罪为由,对82个 .com 的伊朗网站发出了扣押令,所有人在访问扣押网站时,都会看到这样一张图。
设想一下当时的画面,一个伊朗人,坐在伊朗的自己家里,打开伊朗的网站,却发现自己被美国法律制裁了。
手动狗头
美国能扣押 .com 域名是因为掌握 .com 域名的公司是威瑞信,其受美国法律管辖,而威瑞信除了持有.com、.net两个通用的顶级域名外,还是13个dns根服务中 a 根和 j根的运营商,并且是美国棱镜门窃听计划的参与者。
这就细思极恐了。
如果说伊拉克利比亚域名消失、伊朗域名被扣押这些事件后,欧洲都还抱有“这些国家都是小国”的侥幸心理,觉得自己不会遭此对待,那么2013年的棱镜门事件,就是给欧洲泼了一盆冷水。
今天可以无差别窃听,明天同样可以无差别封锁,再加上美国的强硬态度和威瑞信卷入棱镜门,坚如磐石的欧美互信出现了一丝裂缝。
历史的车轮缓缓碾过,欧美的联盟在窃听中被动摇,dns解析系统出现信任危机,每个国家都迫切需要一套方案来解决互联网安全问题。
全球都积蓄了怒火,只等待一个将他们心中怒火勾出来的人。
横刀立马
2013年6月棱镜门爆发后,全世界都聚焦在解决安全问题上,如果互联网安全是一座房子,那大家这时都在给这个房子打补丁,中国也一样。
但四个月后,事情发生了彻底改变。
2014年1月21日下午三点20分,整个中国所有正在上网的用户,都突然失去连接,百度、微博、淘宝等门户网站均无法访问,问题持续了三个小时,两天后国家互联网应急中心证实,故障是由于根服务器遭受攻击所致。
这次攻击迷雾重重,事发时该 dns 服务器面向其他国家的解析正常运行,唯独面对中国大规模报错,既不合理,也不应该。
有人认为这是美国对中国在棱镜门事件上强硬态度的打压,无论真相如何,我们都无法证实,因为根服务器与我们无关。
历史的车轮就是在这个下午转向的,有人意识到,我们需要的不是一栋房子,而是一栋建立在我们自己土地上的房子。
那么该如何打破僵局?
正如之前介绍,ipv6 在实际应用中面临着一个巨大的成本问题,即 ipv6 与 ipv4 是完全不同的协议,需要更新硬件设备,而 dns解析系统是建立在 ip 协议之上的,所以要使用 ipv6 同时需要重新设立 ipv6 的 dns服务器。
这意味着世界将有机会打破美国操控dns的局面。
伏冰5年的中国ipv6,终于迎来了机会,弯弓辞汉月,插羽破天骄。
2014年8月,“互联网未来基础技术发展研讨会”在北京举行,整个会议参与者均为互联网顶级专家,其中包括两个互联网奠基人,四个互联网名人堂入选者。
2015年,中国下一代互联网工程中心领衔发起“雪人计划”,提出以 ipv6 为基础,在全世界设立根服务器。
同年6月,雪人计划在icann正式制定执行,最终参与国16个,这是世界互联网dns系统自1998年后最大的一次行动。
2017年11月27日,中国下一代互联网国家安全中心宣布雪人计划已在全球部署25台 ipv6 根服务器,架构为三个主根,22个辅根,中美日各设一台主根服务器,其余国家依需求设立辅根服务器,三个主根间等级平等,无法互相影响。
这25台 ipv6 根服务器打破了dns诅咒,在雪人计划之前,美国只要停掉对中国的 dns 解析就能让我们在互联网上消失,在雪人计划之后,美国再也做不到这一点了。
但这不代表一劳永逸,雪人计划是在棱镜门和dns霸权之后,中国联合世界各国尝试在现有体系中撕出一道口子的试验。
如果说在ipv4时代,中国通过设立镜像根服务器解决了“生死”的问题,那么雪人计划中设立的ipv6服务器,就是解决了“端稳饭碗”的问题。
但“端稳饭碗”还远远不够,对世界来说加入雪人计划是为了dns 安全,而对中国来说,雪人计划只是中国ipv6展望的关键一步。
雪人计划不是凯旋歌,是复兴的冲锋号。
烈火燎原
2017年11月26日,国务院发布行动计划,开始IPv6的全国战略部署,计划提出到2018年末,ipv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,省部及以上网站必须全面支持ipv6 ,并建立国家级IPv6发展检测平台,定期发布报告。
这是中国ipv6浪潮再起的第一缕水花,五个月后,工信部发布详细计划,提出了落地 ipv6 的详细措施,直接对接四大运营商,即阿里巴巴、腾讯、华为、小米等大型企业,同步ipv6的具体落地。
那么ipv6如何大规模落地呢?
这个问题在2014年找到了答案,即nat-pt协议,这个协议可以实现 ipv4 和 ipv6 一对一的地址映射,并建立连接,简单来说它可以将ipv6的地址翻译成ipv4,让不同ip协议的主机互相对话。
即可以在所有的 ipv6 设备中加入nat-pt协议,保证现有网络不受影响,然后再逐步淘汰 ipv4,最终实现纯 ipv6,徐以图之。
中国ipv6的发展逐步迎来高峰,202012月,gntc(全球网络技术大会)大会在中国召开,由中国下一代互联网国家安全中心举办。
大会上中国表示中国三大基础运营商全国骨干网络均已支持ipv6,城域网设备支持度达到95%,市场主流软硬件全部支持ipv6,地址数量,技术标准,合作频率,中国均走在了世界前列。
大会同时宣布推出公共dns服务,这是全球首个纯 ipv6 的公共 dns 服务,只要在主机的 ipv6 协议中将dns服务器设置为 240c:6666,你所有的解析请求,都将使用中国 ipv6 根服务器,安全稳定。
2020年同年,中国发布第47次互联网发展状况报告,在互联网基础资源中,中国的 ipv6 地址拥有量已到达57634块/32(每一块的地址数量为2^96,大约是8亿个),位居世界第二,换算成人均3w个。
5人只有一个ip地址的时代变了。
从1994年cernet落地,到2008年奥运会壮志凌云,再到2022联合世界扶摇直上,这个名为 ipv6 的理想,在中国的三十年激荡中飘摇、落定、成长,最终造出时代之势,呼啸而来。
现在设置你的电脑和路由器使用 ipv6 吧;
按下这个按钮后网速不会变的更快,信息不会变的更多;
唯一不同的是,你在互联网世界所踩的每一寸土地,都将属于我们自己;
他将我们的过去、现在,送往未来,历史的债在这里还清,我们将穿越黑暗,带着火光重临热土。
现在,烈火燎原。
最后祝大家变得更大、更强。
