社区编辑申请
注册/登录
乌克兰:“我要让俄罗斯从互联网消失”,ICANN:“不可以!”
安全 应用安全
ICANN 全称叫互联网名称与数字地址分配机构,是位于美国洛杉矶的非盈利的机构,主要由互联网协会互联网协会的成员组成,目的是管理全球的域名和 IP 地址的分配。

大家好,我是小林。

俄乌军事冲突恶化后,俄罗斯就受到「金融核弹」的制裁, SWIFT 支付系统将断开与俄罗斯多家银行的连接。

就在上周,乌克兰还想引爆「网络核弹」。因为乌克兰官员给互联网名称与数字分配机构(ICANN)发送了一封邮件,邮件上要求 ICANN:

1.撤销俄罗斯联邦使用的域“.ru”、“.рф”、“.su”等域名;

2.关闭为俄罗斯服务的 DNS 根服务器;

3.协助撤销相关域名的 TTL/SSL 证书;

第一个要求通过让根域名服务器不解析俄罗斯的网站,将俄罗斯的网站从互联网上消失。第二个要求通过取消解析域名的能力,将俄罗斯互联网用户拒之门外。第三个要求通过吊销 HTTPS 证书,使得俄罗斯网站失信。

乌克兰之所以提出这些要求,目的是阻止俄罗斯的宣传机器,并防止进一步的舆论宣传和虚假信息。

没过几天,ICANN 的 CEO 就用一封邮件回绝了乌克兰所有要求。

我看了 ICANN 发给乌克兰的这封信,这封信的大半段内容是在说明,ICANN 的使命是为了确保互联网的正常工作,而不是取惩罚性行动、宣布制裁或限制部分互联网的接入。

其中,ICANN 从技术和政策对乌克兰这三个要求做了具体回答,如下图:

这里简单给大家翻译下:

  • 对于国家代码顶级域,我们的工作主要涉及验证来自相应国家或地区内授权方的请求。全球商定的政策并未规定 ICANN 可根据您的要求采取单方面行动来断开这些域的连接。您可以理解为什么这样的系统不能根据来自一个地区或国家的关于另一地区或国家内部运营的请求来运行。过程中的这种变化将对这个全球系统的信任和效用产生毁灭性和永久性的影响。
  • 根域名服务器系统由许多地理分布的节点组成,并由不同的独立运营维护。
  • 我们没有能力撤销您提到的域的特定 SSL 证书。这些证书由第三方运营商制作,ICANN 不参与它们的签发。

从 ICANN 回答的这三点可以看的出,乌克兰提出的第一个要求从技术角度看 ICANN 是可以做得到的,但是由于政策缘故不能做,而第二和第三个要求从技术角度 ICANN 是无法做到的。

为什么 ICANN 有能力撤销域名?

ICANN 全称叫互联网名称与数字地址分配机构,是位于美国洛杉矶的非盈利的机构,主要由互联网协会互联网协会的成员组成,目的是管理全球的域名和 IP 地址的分配。

全球共有 13 个根域名服务器,分别用 a 到 m 命名,如 a.root-servers.net、b.root-servers.net。一台是主服务器(就是 a 服务器),12 台辅助服务器,有 10 台在美国,2 台在欧洲,1台在日本。

这 13 个是逻辑上的概念,并不是只有 13 台物理的服务器。

可以在 root-servers.org 这个网站上看到,目前为止全球共有 1524 个实例(instance),每一个根都有若干个镜像,分布在全球不同的地方。

这 13 个根域名服务器有着独自的 IP 地址,但是同一个根域名服务器下的镜像共享着此根的 IP 地址,是通过「任播」这个技术实现的,具体的实现细节感兴趣的同学可以去查一查。

可以在这个网站看到 13 个根服务器的 IP 地址,https://www.internic.net/zones/named.cache:

A.ROOT-SERVERS.NET.   3600000 A 198.41.0.4
A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e :: 2:30

B.ROOT-SERVERS.NET. 3600000 A 199.9.14.201
B.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:200 :: b

C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
C.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2 :: c

... ...

根域名服务器是由 12 家机构管理,其中 A 根是主根,由美国公司 Verisign 管理(Verisign 是 ICANN 最大的托管商)。B 到 M 根称为辅根,负责同步 A 根的内容。

A 根上有个最重要的文件,就是根区文件,该文件保存所有顶级域名的托管信息。

根区文件是由 ICANN 管理的,在 ICANN 官网可以查看这个根区文件:https://www.internic.net/domain/root.zone。

这意味着 ICANN 就有能力将某个顶级域名从根区文件里删除的,比如假设从根区文件中删除了 .ru 域名的内容,很快就会同步到所有的根中,然后在所有的缓存过期之后,全球所有人都访问不了 .ru 后缀的网站了。

但是其实大多数国家都有根镜像服务器的,所谓的根镜像服务器就是同步根服务器的内容,根镜像服务器都是假设在自己的国家的,由自己国家管理。

所以, 自己国家是可以控制镜像中的内容的,假设 ICANN 删除了 .cn 顶级域名,如果不同步这个修改,其实还是可以正常访问 .cn 后缀的网站的。

之前我也写了一篇关于美国能能否让中国从互联网上消失的文章:​​美国能让中国从网络上消失?​​答案也是不行的,国内有自己的根镜像服务器,我们可以控制根服务器同步的内容,再加上国内解析域名的时候,其实并不会去解析美国的根域名服务器,而是访问自己国内的运营商维护的根镜像服务器。

责任编辑:武晓燕 来源: 小林coding
相关推荐

2022-06-01 14:36:23

加密货币诈骗攻击

2022-03-04 09:54:51

互联网技术

2022-03-04 18:59:59

互联网局域网

2022-05-07 13:53:05

黑客网络攻击

2022-02-25 08:38:51

网络攻击网络战

2022-03-01 00:13:35

网络IT

2022-03-18 21:38:59

黑客网络攻击

2022-03-01 09:03:18

黑客网络攻击

2022-03-01 15:34:48

勒索组织黑客网络安全

2022-03-08 08:55:35

黑客网络工兵

2022-04-18 13:48:34

信息安全俄罗斯黑客

2022-03-04 11:47:40

乌克兰网站网络安全卫星系统

2022-03-09 06:30:40

网络攻击黑客

2022-02-25 16:55:53

黑客网络战争攻击

2022-05-18 10:28:26

黑客网络安全

2022-03-29 18:17:12

网络基础设施电信

2022-02-25 12:00:06

恶意软件网络攻击黑客

2022-03-21 20:54:31

网络攻击通信网络

2022-04-02 17:19:32

安全网络芯片

2022-01-25 10:29:34

同话题下的热门内容

都说区块链“安全”,为什么 DeFi 黑客如此猖獗?关于Web渗透测试需要知道的一切:完整指南如何保护智能家居避免黑客攻击Verizon:物联网/移动网络攻击导致停机时间增加 22%黑客攻击接连不断,多链区块链愿景还存在吗?微软表示将向内部网络安全专家共享数据 为企业提供更安全保护微软365网络钓鱼攻击中滥用Snapchat和Amex网站如何逐步执行数据风险评估

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号