中国的IPv6之路（二）

DNS诅咒

世界上所有的领域都有一个技术核心，小说的核心是文字，篮球的核心是规则，互联网也不例外，它的核心叫DNS域名解析系统。

互联网诞生初期，网络中只有上百台主机，技术人员只需要背下几十个主机的IP地址就能畅通无阻。伴随着互联网的膨胀，主机数量从上百变成了上万，这种原始的记录方式就没有用了，人们需要一种新的记录方式。

比如在互联网中设了一个服务器，记录下所有主机的IP地址，然后给这些IP地址备注一个简单好记的名字，比如122.11是伦敦修车行就去做LED，一192.168是南京板鸭就记作njdsd所有人进入互联网的主机都可以在这里登记，也都可以在这里查询其他人，相当于一个互联网电话簿，但随着互联网主机越来越多遍布全世界，这种命名很容易出现重名，为了解决问题，人们决定给命名施加一个规则，比如在名字后面加上后缀，还在南京市的板鸭店的IP地址，就命名为南京板鸭，点中国点南京中山北路，开在纽约的板鸭店的IP地址，就命名为南京板鸭点美国点纽约斯塔腾岛路，这样既能找到人也不会重复这套命名规则，就是我们今天的互联网网址。

每个点后面的词都是一个域名，而负责识别域名并提供准确IP地址的系统，就叫DNS域名解析系统，这个解析系统是一个树状网络，由根服务器、顶级域名服务器、234级域名服务器组成，每个服务器只储存自己域名的信息，还是南京板鸭。

举例，当你输入南京板鸭点中国点南京中山北路后，你的主机会向跟服务器提出请求，跟服务器看到中国后便告诉你的主机去找中国服务器，主机找到中国服务器，服务器再告诉主机去找南京中山北路服务器，最后二级服务器告诉你南京板鸭店的IP地址是220.181.38.150，听起来复杂，但在DNS高度完善的今天完成这一切只需要几毫秒，在这个系统中跟服务器是整个DNS系统的绝对核心，所有网址都必须通过根服务器后才能访问顶级域二级域，所以也是国际互联网最重要的战略基础设施，谁能掌握谁就有生杀大权。

如果说IP地址是我们脚下的土地，那么DNS就是让我们能找到其他人的呼叫系统，而和ipv4地址一样，DNS系统也由美国掌握。1983年DNS的原始技术规范在互联网发布发明人保罗莫卡派乔斯也因此成为互联网奠基人之一，DNS出现后，美国军方资助建设了根服务器，至今为止全世界共有13台根服务器用a到m命名，除了艾根在瑞典，佩根在英国，m根在日本外，所有服务器都都在美国，并且13台服务器中a根为主根，其他均为辅根，a根对所有服务器拥有最终解释权，同时所有根服务器的文件和资料也也是由美国商务部下属的nti掌控，现在你能明白为什么说不是全世界共享互联网，而是全世界使用美国的互联网了。

因为这个互联网世界的土地工具以及所有的访问请求都会经过美国，只要美国愿意可以让任何一个国家断网如此巨大的权力，当然会来质疑，从1987年DNS最后一次更新之后，世界范围内不乏对DNS跟服务器武器化的担忧，随着互联网发展这种声音也越来越大。同一柄悬在头上的达摩克利斯之剑。

为了安抚人心，1998年美国商务部发布了一份绿皮书，向全世界征集意见，以实现一个民主的互联网治理方案。根据收集的600多条意见，美国在洛杉矶成立了一个非营利性机构，icann负责在全球范围内协调互联网发展。

创始主席由著名慈善家埃斯特戴森担任，当年美国商务部将iana和ntia两个机构的职能全部移交给了icann同时在章程中规定，icann可以收取一定费用维持运营，以保证不受任何国家的资金操控，美国开诚布公的行动让全世界都放心了，一声烟消云散，对所有国家来说，这都是一个完美的互联网解决方案，多边民主能够确保世界互联网的独立，当然要是这个方案能真的实施就更好了。

对美国来说，自己已经拥有足够多的IP地址，iana的职能无可厚非，但跟服务器的权力太过重要，无法轻易割舍。1998年icann成立后，两个机构的职能都逐步移交给了icann美国商务部却利用于ntia的合同，保留了对 DNS跟服务器的最终控制权，这次移交虽有瑕疵，但icann的出现已经够激动人心，没有人再纠缠不放。2002年应许多国家的呼声，icann开始在全球布置镜像根服务器，就是将根服务器中的数据复制到新的服务器中，安装在各地各国，这样所有的解析请求都可以直接访问自己国家的镜像根服务器，能够降低延迟，帮助世界互联网发展，中国不会错过这样的机会。

从2003年开始，中国陆续引进了多个镜像根，截至2022年全世界已有1546个镜像根服务器，其中有40个在中国，即使真的有一天断根了，我们也可以用数据备份搭建应急跟服务器来解决，这是不是意味着跟服务器的困境解决了？没有。

以往中国面对的封锁问题基本都是技术问题，是有没有的问题，而DNS不同，跟服务器没有技术壁垒，全世界都能造，但数据和系统只有一个人有，这是认不认同的问题。比如我们建立了镜像根服务器，没有了断根的风险，但是我们的镜像根在法定上仍然从属于主根，每个镜像根的数据仅有一小时有效，每隔一小时全世界的镜像根都需要向从属的根服务器请求一次授权，如果主根拒绝授权同样会被踢出去。

中国互联网澎湃发展的十几年中，除了一些技术人员专家网络工程师外，前有人提到DNS这个问题，因为它和ipv六一样属于专业技术，除非行业人士普通人不可能意识到，不过就和ipv六研究有吴建平领头一样DNS的安全问题，也有一个人在推动。吕树旺密码学家中科院院士，中国第一个公开商用密码算法SMS4的创始人，数字物理噪音源芯片发明者，或许是因为专业中对安全的天然感知，这位密码学家从90年代互联网进入中国后，就一直在呼吁DNS系统的安全问题。

2002年中国大力建立镜像根服务器，就由这位专家的长文推动，镜像跟服务器建立之后，吕书旺愈战愈勇，不满足于国内安全。

开始用密码专家的影响力在国际上奔走，一度让美国相关机构看到他就头疼，他们把吕树妄称为互联网分裂者，他很生气，说你怎么能这么小看我是internet的掘墓人，吕树旺没有说错，10年后那场DNS风暴中，他真的给互联网的慕课来了一铲子，就像前面说的中国ipv6在2008年后进入低谷，DNS安全也久悬未下，听起来这是两个不同的难题，但并不ipv6和DNS面临的其实是同一个难题，话语权，在这个问题上我们需要交给时间，短期内来看世界需要互联网发展，美国也需要互联网发展来巩固霸权，二者能够和平共处。

燃烧的世界树（网络安全问题突出）

但长期来看，世界互联网的终点一定是多边机制，与美国的切身利益相反，这是二者不可调和的根本矛盾，我们只能等待这个矛盾出现。图为以质变绿，男以利全，吴建平率领的IP6折服兵下，吕树旺在黑暗中为DNS安全奔走，最终在2012年短暂的和平迎来了裂变。

2012年纽约时报援引秘密官员的消息，报道了奥林匹克行动引起世界关注，但奥林匹克只是互联网安全风波的预热。一年后斯诺登出逃，棱镜门事件爆发，这个在水面下运行数10年的窃听计划，曝光近80多个国家遭到监控，35个国家元首被窃听，其中包括日本首相、德国总理默克尔、苹果、微软、谷歌、思科、IBM、高通、英特尔等世界巨头均牵涉。其中在中国方面，北京、上海、成都、香港、台北都在窃听目录，商务部、外交部、中资企业科研机构为重点，窃听对象，甚至华为、腾讯、飞信、海尔都没有逃过棱镜计划的窃听对象之广，牵涉之大影响之深，引发了美国外交大地震，对欧洲拉美来说，重要的不是美国进行了窃听，而是美国对盟友也进行了无差别的窃听。

棱镜门事件爆发后，后各国都向美国发出了质询，但却没有得到解释道歉，弥补。2013年6月7日，美国国家情报总监詹姆斯克拉珀发表声明，棱镜计划是合法性倒推，并将斯诺登称为懦弱叛徒，世界哗然。7月1日，玻利维亚总统埃沃莫拉莱斯在采访中表示，他将考虑接受斯诺登的庇护申请，仅仅一天后法国、西班牙、意大利在在美国的授意下拒绝了这位总统的飞机经过，于是莫拉莱斯只得绕道飞往维也纳，当抵达维也纳后，他的飞机遭到了突击搜查，一国之主竟落如此遭遇。

我们常说2013棱镜门是世界影响最深的安全事件，它的重要不仅仅在于霸权淋漓尽致的体现，还在于这件事真正让所有人注意到了比窃听更危险的领域，IP地址与DNS。

前面我们说了DNS系统诞生之初设定了顶级与二级域等域名，为了实现互联网共治，icann规定每个国家都有自己的顶级域名，如中国的点CN，英国的点UK，德国的点de这些顶级域被视为一个国家的主权空间，虽然美国保留了DNS跟服务器的控制权，大家也都默认美国不会侵犯主权空间，但只是默认2003年伊拉克战争爆发后，美国动用DNS根服务器权利，删除了伊拉克国家顶级域名点IQ，于是整个伊拉克都从互联网消失了两年。

2004年利比亚与美国发生冲突，当月利比亚国家顶级域名便ly瘫痪，利比亚在互联网消失三天，现实世界中两个国家的国土不可动摇，但在互联网世界却可被随意化改，这还只是简单粗暴的打击，几年后美国操控的DNS体系已经进化成为了精准的手术刀。

Icann划分的顶级域名中不仅有国家专属的顶级域，还有世界通用的顶级域，比如大家熟悉的.com，2010年11月29日，美国国土安全局以涉嫌违法犯罪为由，对82个.com伊朗网站发出了扣押令，所有人在访问扣押网站时都都会看到这样一张图，于是一个伊朗人坐在伊朗的家里打开伊朗的网站，却发现自己被美国法律制裁了。

美国为什么能扣押.com域名？因为掌握.com域名的公司威瑞信在弗吉尼亚州受美国法律管辖，比这更恐怖的是威瑞信除了只有有.com点net，两个通用顶级域名外，还是13个DNS根服务器中a根和g根的运营商，并且棱镜门事件威瑞森也是参与者，如果说2003年的伊拉克利比亚渔民消失，2010年伊朗渔民扣押这些事件后，欧洲都还抱有这些国家都是小国的侥幸心理，觉得自己不会遭此对待。那2013年的棱镜门事件就是给欧洲泼了一盆冷水，今天可以无差别窃听，明天同样可以无差别封锁，再加上美国的强硬态度和威瑞信卷入棱镜门坚如磐石的欧美互信，出现了一丝裂缝，巨大外交压力下美国不得不选择退步。

2014年3月14日，美国商务部宣布，NTA将放弃对DNS根服务器的最终控制权，将权力移交给icann这场DNS跟服务器控制权的转移，最终在2016年10月1日完成。Icann在官网发布声明，将这一时刻称为历史性时刻，但历史不会这么轻易清算。美国放弃了DNS跟服务器的直接控制权，但掌握a根的微锐性仍然由美国管理，并且早在2012年美国就宣布过有有权扣押任何.com等域名，问题没有解决，只是藏得更深了而已。

历史的车轮缓缓碾过，欧美联盟在窃听中被动摇，DNS解析系统出现信任危机，每个国家都迫切需要一套方案，一一条退路，一个盟友来解决互联网安全问题。所有人都怒了，只等待一个将他们心里怒火勾出来的人。

文章整理自哔哩哔哩【温竣岩】