想想美国为什么怕华为,就能明白网络攻击会从哪下手! | 科技袁人
在上一期中(美国如果要进行网络攻击,能让中国“断网”吗? | 科技袁人),陈经老师提出了,美国当然也可以对中国进行“断网”,但是他们并不会这么做——因为这样很愚蠢。
为什么呢?首先,美国在明面上,是把根服务器这事说成是国际事务,如果他直接对中国断网,那就是赤裸裸地失信于全世界,告诉大家说我就是只为了我自己利益,那以后别人还会愿意安心把网络都托给美国吗?这显然是美国不愿看到的。
那么美国难道就不会对中国网络动手了?正相反,美国多的是台面下的手段。陈经老师想强调的是,我们千万不能搞错了网络攻击的重点,如果美国想要攻击中国,绝对不会用断网这种全世界都知道是美国干的做法,而会是各种暗箭难防的突然袭击。所以美国为什么这么忌惮华为中兴?因为网络设备就是一个特别容易植入“后门”的网络攻击手段,所以美国对这种危险这么上心了解这么细致,大家猜猜美国自己卖出去的网络设备会不会存在这种“后门”?
简而言之,美国仰仗他强大的互联网和IT技术实力,当然可以对中国网络造成很大威胁,但比起粗暴简单的断网,我们更应该研究防范的是各种明面上看不到的进攻方式。最明显的例子,在棱镜门中暴露出来的默克尔等美国盟友都被美国一直窃听,类似这样表面美国在帮你搞网络背地里为自己谋利的做法才是美国最想要的,他干啥要用断网这种要被人骂又落不着好处的方式呢?
视频链接
完整视频见哔哩哔哩:
https://www.bilibili.com/video/av52552963?from=search&seid=10184953489451648745
部分评论
沧泉月影:
终于讲到我熟悉的IT领域了,就袁老师本期的内容,我尝试用简单的语言来帮助大家理解一下:
1. 根服务器攻击:上网的时候,访问bilibili.com,电脑需要查一个"电话本",看看B站的号码(IP地址)是多少。根服务器就是全世界最大最全的电话本(域名服务器),美国如果对我们封锁,那我们可以使用中国境内自己备用的电话本,顶多也就是外网的内容访问不了,国内网站还是基本够用的(实际原理涉及域名解析服务,有兴趣的可以了解)。所以陈经老师说,这种攻击太蠢,以至于不可能会用。
2. Ddos攻击:网路实际上受限于物理线路,就像你家门口的马路,总有一个两车道或者四车道的宽度。Ddos攻击就是开很多辆车停在你家门口的马路上,占用有限的带宽(马路)资源,想象一下去你家路上连续堵车10公里,Ddos就是这么恶心人的。这种攻击的难度在于,从哪里,找来能堵满10公里的车,也就是控制足够多的"肉鸡"。
3. 中国局域网: 实际上从海湾战争开始,美国就在战争中使用网络攻击了(局座张召忠有讲过,可以再B站搜一下)。鉴于这招美国已经使用了很多次,我们国家如果一点应对都没有,也就不是(腹黑)兔子了。
4. 断网了怎么办: 看到弹幕里有人提到,现在网络应用这么广泛,万一断网,支付宝或者金融业务会不会损失很大?首先要明确一点,银行等单位,处理业务都是在内部网络上进行的,不通过互联网。之前已经投入使用的京沪量子通讯干线,主要的客户就是这些企业。如果互联网断网,最多就是你今天不能使用支付宝付款,但是你存好的钱,买好的债券,或者去银行线下取现,受到的影响会维持在可控制的范围。
5. IPv4升级IPv6: 就如视频中所讲,IPV4的地址其实是不够的,尤其给中国的还特别的少。目前是这么解决的,类似于,你打电话给某些单位找人的时候,要先拨一个"总号",再拨"分机号"。现在因特网给我的"总号"特别少,那我就多造点"分机号"(也是有上限的),对付对付吧,日子也能过。IPV6可以解决这些问题,但是要给单位里每个人装新的电话,换新的号码,还要更新整个通讯录,这都是成本,也是目前IPV6这么多年推广都不顺利的原因。
语言表达可能不准确,欢迎交流。
郁江晓帆:
科普来了:刚好两个老师讲的前半部分是我的专业电气自动化的专场,先科普一下老师讲的后门攻击,其实最典型的就是之前牙膏厂也就是英特尔家的那两个漏洞CPU幽灵/熔断漏洞,据说那个漏洞从386还是486开始就有,一直到7代酷睿处理器都挨了,其中一个幽灵的话几乎10年内所有处理器都挨了(熔断是牙膏厂特有)。这个要不是有研究人员发现,估计美帝情报部门还在偷摸用着拿数据呢,而且这个漏洞权限很高,几乎就在处理器内部相当于有个系统有后门,你所有密码都没用,老师说的这个就类似于上回老黄家显卡算数据出错那样,就怕这样搞事情,就是这样操作。
第二部分就是震网病毒,刚好我大学是自动化,我实践工业软件时候问过我的几个老师,一个其中就是应急部门事故专家,曾参与过区里面某工厂被震网病毒攻击事故调查,另外几个则是这方面专家,我问了它们,他们说这就是后门的危险,这个病毒是利用了windows系统和西门子SIMATIC WinCC监控与数据采集 (SCADA)系统。而且是多个0day漏洞。尽管这些系统都是独立与网络而自成体系运行,也即“离线”操作的,但只要操作员将被病毒感染的U盘插入该系统USB接口(变种版在大学里面可以通过以太网,无线等传输),这种病毒就会在神不知鬼不觉的情况下 (不会有任何其他操作要求或者提示出现)取得该系统的控制权。我专门问过老师,可以怎么下手破坏工业设备,老师讲,通过变频器,还有plc,我可以急加速某些设备转速,让设备过热磨损,或者急加速应力损坏,技术高的我可以发送虚假数据,让传感器失灵,系统显示正常。结果就是崩坏。另外就算物理闭网,但是如果破坏方从供应链攻击,或者社交攻击职员设备,得知设备情况,然后假期或更换设备维护时候搞事情,我不一定立刻爆发,我过半年,一年,或是几年后爆发出事故,到时候你摄像数据早删了,名单假的。你还是凉凉。
互联网安全相关的常识问题 | 陈经
互联网大家天天在用,近来出现了一些关于互联网国家主权与安全的争议。有对中国提出警示的如“中国没有互联网,只有美国的因特网”。有关于技术标准的,如IPv4、IPv6、IPv9,这些网络名词对中国的互联网主权有什么意义。还有关于技术细节的,如有记者报导”全球电子邮件都要到美国转一圈“,这是真的么?还有对美国攻击中国互联网的疑问,是不是美国可以关掉中国的互联网?
即使是有相当知识水平的人,对于天天在用的互联网,也容易产生误解。例如不少人会以为,IPv6与IPv4的区别,就是IP地址从4个数字升为6个,这种理解其实错大了。
要明白这些问题,首先是名词不要混。在本文中,互联网是泛指各种按网络连接标准连结出来的网络系统,可以有多个。Internet或者“因特网”,指的是目前全球互相连接在一起的大网,本文称为“全球大网”。因为一般公众用的网络就是因特网,所以有时互联网和因特网会被当成一回事。但是也有一些特别的网络,是独立的,和因特网分离的,如军网、公司内网。
令牌环网
其实几台机器用网线连接起来,理论上就能组个“局域网”,可以联网打游戏对战了。当然这是互联网早期时代的事,后来干脆都连到全球大网上去了。如果是几台机器,联网就很简单,所有信息都广播出去发给所有人就行了,和你无关的就扔掉拉倒,就和一伙人在屋里聊天一样。这种“全连接”的技术实现最简单,但是规模一大就不经济了。然后再从这个简单模型开始,优化出各种网络结构。如星形网络,所有节点都只连到中心节点,什么信息都由中心节点转发。再如令牌环网,环形网上有个令牌,交给各个平权的节点,持有令牌的才能说话,往环网上发数据。用现在的通信概念来理解,这个“令牌”就相当于“控制信道”,说话就相当于“数据信道”。
这些联网技术发展下来,越来越复杂,经过多种标准的变迁,终于在1990年代成熟了。某种程度上来说,标准虽然复杂了,但是做事简单了。只要买来几种联网设备,网线、交换机、网卡、路由器之类的,就可以建一个网络了。大约1994、1995年左右,中国各大学校园就开始挖地埋线建网,没有什么困难,都组网成功了。这其实是很了不起的事,这相当于说,不需要专家,互联网就可以推广了,应用傻瓜化了。当然能建起网的人还是需要一些专业技能的,但没多难。就和装电脑一样,电脑是高科技,实用的电脑软件要写出来也不容易,但大学里很多小伙子都学会了装机,有了一门让女生崇拜的手艺。互联网虽然一直飞速发展,但是基础和90年代差不多,人们能发现的重要变化是加入了无线,如无线网卡、无线路由。
那年头,各地建起了很多“局域网”。这些局域网即使完全与外部隔绝,内部也是可以互相通信的,如发电子邮件。有一些ip地址,如192.168.0.1,到现在人们还经常用到,如设置wifi路由器时要用。在很多相互独立的局域网里,有很多节点的ip都是192.168.0.1,完成一样的功能,因为不相干,所以ip一样也不冲突。
对于一个机器来说,其实可以同时处于多个独立的网络中。例如机器的某个IP叫192.168.1.101,这是某个“内网”的IP地址,如屋内几个机器和wifi路由器组的小无线网,所有机器包括路由器的IP都是192.168.1.XXX的样子,前三位一样,有时没弄好还会告诉你IP地址冲突了。全球其实有无数机器都有一样的“内网”IP地址,因为是一样的网络结构,只不过互相独立。可以肯定的是,内网是完全可以独立运作的。就算你家里的网络坏了,连不到外面,但是无线路由器开着,仍然可以手机、电脑都连上它,然后互相倒文件。例如你要把一个小说文件从电脑上传到手机上某种阅读器里,这个阅读器就会说,请你在电脑浏览器上输入http://191.168.1.100:10123就能上传文件了,不需要外网。
一个机器连到“外网”,会同时还有另一个IP比如叫202.96.128.166。这是指在全球大网中的地址,世界各国很不相同,但是又有规律。以前中国的机器基本都是202开头的,因为分配的就是这个“字段”,而美国一个大学就能有一个字段,美国占有的IP资源远多于中国,这和全球大网发展历史有关。在windows的cmd里,输入”ipconfig /all”,就可以看到各种IP了。
这个IP地址就是互联网的核心概念,或者说理解互联网最好的起始点。为什么给机器分配一个IP地址,它就能和其它IP地址网络通信了,这很神奇,是计算机学界多年发展出来的研究成果,但概念上就这么简单。你要和一个网络节点通信,最简单的就是在cmd里输入”ping XXX.XXX.XXX.XXX”,对方就会给出回应,告诉你两个节点之间是通着的,通信延时是多少,或者不通。有时发生了意外,某些地址就ping不通了,那更复杂的访问肯定就不行了。如果能理解ping的机制,复杂的互联网应用无非就是数据多一些,概念是一样的。
其实互联网通信理解起来不难。比如有人说,我要捣乱,给风云学会会长袁岚峰工作单位的IP地址发信息,我来ping 218.22.21.25 (微尺度国家研究中心互联网访问主机的IP地址)。在电脑上发出这个指令,你的机器看到这个地址,说我发到无线路由那去。无线路由说,这不是内网的地址不归我管,我交给外网最近的“网关”去。外面的网关根据这个地址,很容易明白是发到再上级的网关,还是发到下级网关,直到进入目标主机。218.22.21.25收到信息,就给回应,再原路返回(或者找个新路也可能),发回你这个机器。这和快递分发其实差不多,我们查淘宝上的“物流信息”,能看到说包裹到哪哪了,中间会有很多“网关”一样的分发节点。
理论上,我们只要输入这种“IP地址”,就能完成互联网访问。有一些应用其实就是这样的,直接让你输入数字的IP地址。但是数字IP地址难记,微尺度国家实验室需要www.hfnl.ustc.edu.cn这样的字母(有时也有数字)组成的“域名”,真的象人类的快递地址一样了,什么国家、哪个单位、哪个部门。在前面那个域名中,cn就是指中国,edu就是教育部门包括各大学,ustc是指中国科学技术大学,hfnl就是微尺度国家研究中心。域名中间有数个“.”,最少一个点就可以,前面的www其实不加也行,如中国政府网gov.cn。但各种域名,对应的都是四个数字的IP地址。
其实机器的IP地址是可能变的,网络结构调整会动态分配。但是域名这个机制不错,IP地址变了不要紧,反正别人也是用域名来访问的,只要网络系统里的“域名解析”做对了就行。这个域名解析,是个挺重要的事,我们稍一想就知道,这可不是不同内网里IP地址重合了不要紧,域名是不能重合的,而且是个全球事务。所以,如果只谈IP地址通信,那可以各种内网、局域网随便玩,用不着全球统一管理。如果要谈域名,我们就需要引入国家概念,引入互联网政治相关的概念了。
我们在windows机器上输入”ipconfig /all”,会看到“DNS服务器”这么个东西,它有一个202.96.134.133这样的地址。其实深圳的很多机器,都会发现自己的“DNS服务器”地址是这个,它就是深圳的域名解析服务器,DNS是Domain Name Server的缩写。你可不可以换一个“DNS服务器”?可以!比如你抱怨说,深圳这个DNS机器老出问题,太烂了,我换成广州的DNS服务器202.96.128.143,这是可以的。你打入一个www.hfnl.ustc.edu.cn这样的地址,这个字符串就会被发给你选用的DNS服务器(用IP地址通信的方法发的),这个服务器会负责找出这个字符串对应的IP地址,然后你再和目标IP地址用IP通信的方法传送信息。所以,你ping 218.22.21.25,这个就直接访问了,如果你输入的是ping www.hfnl.ustc.edu.cn,那这个命令会先由DNS服务器处理一通。
那么,一个DNS服务器的本事有多大?是不是全世界任何一个域名,它都能独立找出对应的IP地址?我们想一想就知道,这是不可能的。全球各种域名地址有几十亿个了,都放进一个机器会有麻烦。一是重复,如果所有DNS服务器都象区块链节点一样有全部“域名账本”,这种“去中心化”非常浪费。更重要的是,域名不断在增加与注销,要通知全球所有DNS服务器更新账本,去中心化是极为低效的架构,全球DNS要同步账本得烦死。所以肯定得层级管理,要中心化。例如,深圳的DNS看到www.hfnl.ustc.edu.cn,虽然hfnl.ustc看不懂,但是edu.cn一看就明白,不就是中国的教育分部么,交给上级DNS就行了。上级DNS一看,ustc.edu.cn,扔到ustc的DNS那去查。ustc的DNS一看,hfnl我知道,是微尺度国家研究中心的,IP地址我这有,就给出了答案,原路传回给深圳的DNS。这样,各级DNS各司其职,统一将全球的域名都解析得好好的,是个高效的中心化机制。
我们这提到了“上级DNS”的概念,那就出来一个问题了,上级也可能有上级,最后是个啥?最后就是根服务器!再没有上级了,到这就是根了,是顶级了。到这,我们终于绕不开美国了。由于历史的原因,全球最顶级的根服务器在美国。一开始,只有美国有互联网,所有DNS服务器,包括最顶级的DNS服务器当然都在美国。别的国家连进来,有两种选择,一种是接入美国这个网,自己弄一个次顶级DNS服务器(这是所有国家的选择),另外一种是自己建一个顶级DNS服务器。第二种选择美国会说,你可以这么干,但那是你自己的网,甚至也可以拉别的国家来;但我美国和已经加入我的其它国家,和你的网会有冲突,技术上会乱套,只好互相不连了。因为这种“路径依赖”,人们虽然觉得美国占了大便宜,但也没办法,只好让美国当根服务器。
其实,根服务器可以不只一个,事实上有13个。但是这13个功能全都一样,你用到根服务器时,找近的一个查到了就行。互联网访问非常多,一个根服务器顶不住,开多个是必须的。但是这13个不能互相矛盾了,得有一致性,就是和在美国的“主根服务器”保持一致。美国的主根内容更新了,就会同步到其它12个辅根去。12个辅根其实也有9个在美国,欧洲2 个(英国瑞典各一个),还有1个在日本。
那这种架构,美国确实能大占便宜,不仅名义上地位高。比如域名层级分配,中国的大学是XXX.edu.cn,美国的就直接是XXX.edu,少了一级。再比如IP地址分配,美国的网建的早,已经将大段地址占掉了,只留下些边角地址分给其它国家。再比如,美国说我维护这个根服务器要钱啊,这么重要的互联网服务不能免费,你们各国用了我提供的服务,得根据流量交钱。再比如,对于外面来的服务请求,是不是一视同仁?如果按“网络中立”原则,不分用户大小,用户来自哪国,都应该一样,按公平原则服务,不要故意延迟。但是美国内部在吵,要放弃“中立”,大客户优先,或者美国优先。
对这个事情,要平衡观察。一方面,确实要注意,现在这个“全球大网”,美国有特殊优势,能占到不小的便宜。但是另一方面,也不能过分夸张,其实就是域名解析根务器的事,出于实际考虑放在美国。不能夸张成,什么服务都要经过美国了,电子邮件都要跑到美国去,这从技术上说不通。发个电子邮件,理论上邮件地址有可能到美国的根服务器去解析,但是IP地址解析完了,邮件内容就可以找合适路径传输了,不需要到美国。如果硬的网络线路要经过美国,那没办法,邮件内容也会到美国。但从软的体系结构来说,只是邮件地址解析要访问美国根服务器的概率大一些。如果美国把互联网体系真设计得这么笨,邮件等数据内容也要到美国去,那线路会堵得不得了,学术上更会被喷死。
我们不排除有可能性,美国公司搞的硬件网络设施做了手脚,一些内容会偷偷发到美国。但是基于IP的网络体系结构是公开透明的,谁都可以看标准搞明白,不可能有这种设计。IP体系结构的理念是,互联网是“强壮”的,缺了谁都行,只要还有线路连着都能通信。如果不要域名服务,那根本不需要“根”,节点可以尽量平等。
当然,域名服务由于历史的原因,极端偏向美国,这是很不公平。最突出的矛盾就是各国地址不够用了,美国占着那么多IP地址没用,别的国家却挤爆了,特别是中国。四个数字的IP地址,如202.96.128.143,每个位置256种可能,一共才不到43亿个,比世界人口还少,是真不够分。而且老早就不够了,要找美国要地址。这种事都是由ICANN(InternetCorporation for Assigned Names and Numbers)管理,原来叫IANA (Internet Assigned Numbers Authority)。这个IANA是个和美国政府签了合同的管理机构,是个合同工。升级成ICANN以后,理论上是全球事务非营利机构,但是还是受美国影响极深,当初美国占的IP要让出来,很麻烦。
其实美国克林顿政府1998年直接说,因特网是美国搞出来的,各国加进来,就得服美国管! 这种赤裸裸的网络霸权主义当然遭到了世界各国的反对。这实在说不过去,美国就让合同商IANA转型成ICANN,给出了“路线图”,理论上同意互联网要全球平等,但是由于历史因素,美国还是得负责一段时间。到2009年,ICANN从美国政府独立了。2016年10月1日,美国商务部将互联网域名管理权,完全移交给了ICANN,解除了合同关系。理论上来说,ICANN是一个全球共治的管理机构,美国不再有特殊地位。
公平地说,一方面要看到由于历史因素,警惕美国在全球大网中的特殊地位,提防美国利用特殊地位搞事。另一方面,也不要一味地只说美国的坏话,要看到全球各国的共同呼声,看到世界各国对美国网络霸权主义的斗争成果,积极参与到ICANN的全球共治框架里,实现世界各国网络主权平等。
ICANN一个重大成果,就是IPv4升级到了IPv6。我们看202.96.128.143这种地址,它是4个0-255的数字,用计算机的术语说,一个数字占8个比特,四个数字就是32个比特,一共有2的32次方等于42.9亿种组合。IPv4升级到IPv6,很多人常见的误解是,4个数字的IP我熟,是不够用;升级到6个数字了,一举增多65536倍到281万亿种组合,真是够用了,IPv6太好了。错!这种理解小看了IPv6。这个IPv6说的是“互联网协议第六版”,不是6个数字。其实IPv6的一个地址,是128个比特,相当于16个0-255的数字组合,有2的128次方即3.4乘以10的38次方个组合。有一种说法是,IPv6可以给地球上每一粒沙子一个IP地址,那么6个数字对应的那个281万亿是不够的,16个数字对应的10的38次方才够。
其实IPv6早在数年前就已经推行开来了。并不是某天ICANN发公告说,全球IPv4切换成IPv6了,大家全部升级!想想技术细节,就知道这不可能,全球互联网用户的机器没法统一行动。唯一可行的选择是,一个机器,既支持已经有的IPv4,又可以支持新的IPv6,慢慢增加IPv6地址的数量。也就是说,一个机器,除了内网的192.168.1.101这种地址,以及202.96.128.143这种IPv4地址,还新多出来一个IPv6地址,如:
2001:0:9d38:953c:1442:170f:3f57:fe9a(注意,这是128个比特)。
为了支持这个IPv6地址,其实我们机器里的软件也发生了变化。比如我们看windows里的网络选项,看TCP/IP,会发现除了IPv4,还多支持了一个IPv6。只不过一般人没注意,机器系统软件自动更新都帮做了。从概念上来说,其实我们的机器,有一个无线路由器管的内网;也有一个美国主根服务器管的IPv4版的“全球大网”;还有一个IPv6版的“升级版全球大网”,算是ICANN管的。只不过这几种网,共用了一些硬件设备,IPv4或者IPv6网络体系,是这些硬件设备上的逻辑概念。
IPv6当然也需要域名解析DNS服务器,这和IPv4一样的,只不过能用的IP地址多了,也会有多台根服务器。那么IPv6的根服务器是什么情况?
IPv6的根服务器多了,有25台!2016年,这25台在中国、美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成了部署。中国有四台,分别在北京、上海、广州、成都。放在美国的比中国还少,是三台,印度也有三台。这25台中有三台主根,分别在中国、美国、日本。可以看出,IPv6根服务器的分布要公平多了,相比IPv4,更能体现全球共治互联网的理念。IPv6这25台,加上IPv4的13台,就是全球互联网的核心机器了。一些文章里提到了“雪人计划”,就是中国推动的,在全球部署25台IPv6根服务器的工程计划。中国负责的机构叫“下一代互联网国家工程中心”。
但是要注意,这个“雪人计划”,以及建成的IPv6根服务器体系,实际上是一个“测试验证”,从工程规模以及应用频率上,还不能和IPv4相比。虽然IPv4的根服务器只有13台,但是下面的各级DNS服务器非常多。到2017年8月,25台IPv6根服务器在全球范围内累计收到2391个递归服务器的查询,这说明整个规模并不大。IPv4的体系已经很成熟了,发展出了很多优化用应的办法,如各机器会备份DNS查询的结果。IPv6还谈不上,处于开局阶段,应用不多,优化开发还没有深入。
现在支持IPv6的网站还不够多。据《2017 IPv6支持度报告》,目前全球排名前50的网站支持IPv6访问的有42%,我国排名前50的网站里仅1家支持稳定的IPv6访问。也就是说,全球网站还是更把自己当成IPv4网的成员,对于IPv6不够重视。IPv4网可以说是全球最重要的基础设施之一,没有不行;IPv6网还只是一个测试性的网络,没有也不太影响全球经济。利好消息是,由于手机、PC的终端软件更新很快,支持IPv6的终端操作系统达到了90%。这是因为手机升级快,PC操作系统软件更新也较为容易。但是家庭无线路由器需要更新,支持IPv6的还不多。当然以后IPv4地址逐渐枯竭,人们不得不转向IPv6,各种IPv6的软硬件逐渐准备好了,如物联网大规模应用上来了,IPv6的网络规模应该会超过IPv4。
有时新闻里还会出现IPv9,这个事就有点糊涂。在国际上,IPv4、IPv6是说互联网协议版本,作为互联网协议的IPv9也是有的,1992年提出来了。这个IPv9并不是IPv6的后续高级版本,而是90年代初大家就发现IPv4地址不够用,同时提出了几个新的选择,IPv6、IPv7、IPv8、IPv9都有。IPv9算是和IPv4、IPv6不同的一种选择,目前看只是理论研究,从理论上来说在低碳环保上有优势。
中国新闻里出现的IPv9,就会经常提到“十进制网络”。可以肯定,这是中国特色的IPv9,和国际上的IPv9不是一回事。而中国研究者提出的“十进制网络”,是借了IPv9的名,实质就是“十进制网络”。说实在的,有些高深莫测,也引发了一些争议。这个十进制网络,是说除了数据是二进制,其它全部用0-9的数字来做。域名是0-9的数字组合,中英文全不要,网卡物理地址也全用数字,不要字母。为了支持十进制网络,一些网络软硬件设备要改一下,如DNS服务器要改。个人感觉,这个研究比较偏门,不可能成为IPv6这样的全球通用协议,只能算是某种特别的选择,据说可以帮助保密,比如某些特殊部门的机器里,多了一个“IPv9十进制网络”协议。从科研意义上看,这个十进制网络,也只是表面上的,其实内在逻辑仍然是二进制的,根本上来说只是加了一个编码协议,软硬件创新不大。这个应用做出来,会是一种小众的偏门应用,似乎没有多大的理论意义。如果说有积极意义,通过研究十进制网络,能理解网络体系是怎么回事,要改哪些设备才能把十进制域名跑起来。其它的意义看不太出来。个人感觉这种网络协议研究,还是应该象华为公司在国际上推Polar码一样,到国际会议上去推行标准,而非自己做一个别人不可能接受的古怪网络。
以上介绍了互联网基于IP寻址信息传输的基础知识,介绍了IPv4、IPv6、IPv9的基本常识。个人认为,中国的IPv9可以不用太关注,是个奇怪的非主流。IPv4是美国主导的网络体系,美国占了很大便宜,但是各国也有斗争。IPv6是IPv4之外的一个新选择,技术上已经成熟了,而且不是美国主导了,由各国共同主导。但是IPv6需要在市场份额上大幅跃升,才能取代IPv4的主流地位,现在IPv6还只是实验性的网络。
美国会在占优的IPv4体系上搞什么花招,中国要如何防备,就需要了解更多网络入侵攻防的专业知识,软硬件非常复杂。为此,中美两国在网络设备上经常发生较量,美国不让用华为的设备,中国也怕美国公司装在中国的网络设备有后门。但是IPv4、IPv6本身是公开透明的网络体系结构,理解起来不难,不应该过多牵扯进这些争议里。
有了这些基础知识,下面就可以回答一些流传的具体疑问,例如下面这几个问题就是很多人关心的。
1. 美国到底能不能给中国断网?或者说,美国能对中国的网络造成什么样的损害?
2. 如何防御美国的网络攻击?中国有没有反制的手段?
3、IPv6的主根服务器有三台,它们之间如何保持同步?会不会导致混乱?主根服务器的持有者是不是有损害其他国家的潜在能力?
4、断网对于美国来说是最笨的一招,我们可以理解了。但美国如果真的用这最笨的一招,那么中国会怎么做?会很快启动自己的根服务器,恢复网络服务吗?会不会导致国外的域名不能更新?如果恢复网络很容易,为什么朝鲜、利比亚、伊朗就被断了网?为什么美国可以随便修理这些小国,对中国就不能用这种笨招呢?
提问:美国到底能不能给中国断网?或者说,美国能对中国的网络造成什么样的损害?
回答:美国给中国断网,有两种方式,一种是明招,一种是黑招。
明招就是上文说的根服务器,不给中国提供域名解析服务了,或者胡乱服务,中国的IPv4网络访问就会碰到一些麻烦。这种事其实发生过,但不是美国故意做的,而是故障。2014年1月21日,全球不少知名网站被错误解析指向了同一个IP地址,中国百度新浪等网站也受影响。1997年,由于根服务器错误地使用了空白名单,互联网局部地区几天之内网页无法访问,邮件无法发送,是历史上最严重的一次事故。
如果美国决定用根服务器破坏中国的IPv4服务,是可以的,就是这些域名解析问题。但是通过前面的内容我们知道,这极不可能发生,毫无意义。首先公开这样做,美国毫无道理,因为ICANN是个国际组织,根服务器虽然放在美国,但这么做等于是践踏人类社会基本规则。其次这么做破坏力不大,无非是中国一些网站域名解析出问题,找到问题要修复并不难,换上新的根服务器就行了,还正好顺势废掉美国的老根。我相信美国的恶意,但不相信美国人会用这么笨的法子。如果有人说,IPv4网是美国主导的,中国会因为这个架构问题被断网,我绝不相信。暂时出了事一些网址上不了,我也只会认为是故障,这类故障其实挺常见。
美国真正可怕的,是用黑招给中国断网。比如说,中国主干网络里有Cisco的服务器、网关之类的重要部件。我非常倾向于相信,这里有美国人埋下的逻辑炸弹。例如,美国人发送一个特殊字串到中国,Cisco的部件检测到了这个特殊字串,就激活进入破坏模式。据说Cisco公司有美国军方的人不知道在干啥,很可能就是埋逻辑炸弹。
这个破坏模式不是说不工作了,而是保持网络不断,但是瘫痪或者扰乱网络,让你根本不知道哪出了问题。钻研这些破坏方法也是研发,能发展出各种办法和工具。正因为美国人自己干了,所以对华为的网络部件特别小心,根本不让进美国。这方面不能抱幻想,美国人肯定埋炸弹了,到时激活炸弹,中国网络就会瘫痪,断网只是最基本的,更可怕的事都有。
显性的破坏是比较容易被发现的,更可怕的是不知不觉的损害。另一种大类的攻击是数据窃密。中国的机密信息,放在网络上,美国人在网络基础设施里可能放了各种后门。比如你机器用了美国部件,用了某种加密算法,引用了一个库函数,用美国公司开发的编译器,这里都可能有后门。你的密码可能被美国人弄去了,或者美国人能用一个万能密码进你的系统。后果非常可怕,平时信息泄露,极端的时候会被搞破坏。比如把中国金融部门的数据库都给整死,中国金融就遭到灭顶之灾了。
其实网络黑客们整天琢磨的就是这些,因为比较专业,讨论的人不多。美国人要干起黑客的活,破坏力不会小。美国用根服务器给中国断网不可怕,因为架构是公开透明的,能做什么可以想象。但是美国埋在中国的逻辑炸弹就很可怕,因为不知道是哪出事,会出多大的事。
还是得说,IPv4、IPv6这些协议是公开透明的,是客观的。美国对中国发起网络攻击,相当于IPv4是战场,对战场越了解,攻防起来越有利。但是战场本身是中立的,战场地形研究得再清楚,战争的胜负还是由参战双方的能力决定的。不能说美国人用IPv4攻击中国,中国用IPv6来防守。不要给这些公开透明的技术协议强行抹上政治色彩。从技术上说,如果认为美国人的“大招”只是IPv4架构或者根服务器,那就太过简单了。
提问:如何防御美国的网络攻击?中国有没有反制的手段?
回答:中国的国家网络安全是中国研发人员的重要课题。IPv4,IPv6只是基础知识,专业的网络攻防非常复杂。
第一,要对中国的网络基础设施进行考察,用国产的替换掉美国部件,提升安全性。
第二,重要的关键网络通信应用,要从物理层面考察通信过程,避免留下可能被美国做手脚的环节,即使可疑都不行。
第三,我不知道中国有没有做,但美国人说做了。最出名的就是蓝翔技校,美国人说这里有中国网军,中国搞了一些人在研究网络攻击美国。
这些反制措施比较专业,当然要非常重视。但是对IPv4、IPv6等透明公开的协议,个人认为还是应该从全球共同治理的角度去说事,不要把美国网络攻击扯进来。
这里一个值得提到的问题,就是量子保密通信,这是人类目前已知的最安全的信息传输方法。有许多媒体报道和所谓科普文章把量子保密通信说得令人云里雾里,其实这些文章都是胡扯。袁岚峰博士写过很多量子信息的科普文章,例如《你完全可以理解量子信息》,把量子保密通信的原理解释得很清楚了,有兴趣的读者欢迎去阅读。
量子保密通信的一个特点是,在密码生成这个环节上,它是“无条件安全”的,意思是,只要做好了自己这一方该做的事,那么敌方就绝不可能破解你的密码,无论他有什么样的技术能力。传统的密码术就不是这样,必须假设敌方的能力不够强才行,所以传统密码术的安全性归根结底是一种信念,而不是证明。只有量子密码术的安全性,是得到了数学证明的。你显然就可以看出,量子保密通信对于处于守势的中国来说,是非常有价值的。好消息是,目前量子保密通信的技术最先进的国家,就是中国!
提问:IPv6的主根服务器有三台,它们之间如何保持同步?会不会导致混乱?主根服务器的持有者是不是有损害其他国家的潜在能力?
回答:搞IPv4或者IPv6这种公开透明的架构,不要总想各国互相伤害,或者有主根的伤害没主根的这类事。各国是为了一起建一个新网络,不是来互相害的,是为了造福人类社会。就好象世界各国共同投资造了几个大天文望远镜放在几个国家,最好不要去谈怎么拿天文望远镜互相伤害。讨论起来也比较无聊,技术上会比较搞笑,害不了别国太多,代价却非常大。
主根服务器完全可以多台,同步也不难,就是传送一些数据表,不会混乱。逻辑上可以把这三台当成一台就行了,但是这一台的权力分到了三个地点。比如以前要开一个新的顶级域名,如.net,IPv4时要美国主根来做。现在IPv6了,中国、美国、日本的主根都可以做。
提问:断网对于美国来说是最笨的一招,我们可以理解了。但美国如果真的用这最笨的一招,那么中国会怎么做?会很快启动自己的根服务器,恢复网络服务吗?会不会导致国外的域名不能更新?如果恢复网络很容易,为什么朝鲜、利比亚、伊朗就被断了网?为什么美国可以随便修理这些小国,对中国就不能用这种笨招呢?
回答:如果美国真的笨笨地发动了“主根攻击”,中国网络域名服务是会出问题。要恢复并不难,就当美国主根不存在就行了。全国所有次级DNS的上级都指向自己新造的一个主根。其实所谓“主根”,是需要下面的次级DNS承认的。别人都不承认你,都说新的机子才是主根,那就“革命成功”了。所以,如果美国用境内的主根搞破坏,别的国家就会建起新的主根。而且这也不难,因为主根上的内容其实很多机器都有备份了,方便快速访问,不用老去查主根,只不过主根有“更新”的权力。这都是搞笑式的讨论,不可能发生的。
伊朗被断网这事,有误解。2018年初,伊朗当局因为发生了骚乱,主动切断了网络。美国对伊朗发动过计算机病毒攻击,但并不是对域名根服务器动手脚切断伊朗的网络。美国2013年用“震网病毒”,对大批伊朗离心机发动了攻击,破坏伊朗的核计划。据说,这种攻击是离线的,伊朗的离心机其实没联网,但是病毒已经感染在机器里了。以前的计算机病毒并不通过网络传播,而是人们拿软盘抄来抄去,潜伏在操作系统和可执行文件里。震网病毒发作时,伊朗离心机开动时收到大量错误的传感器数据,高速转动就大批坏掉了。
朝鲜断网,是指2014年12月22日起,朝鲜忽然从全球大网上消失了两天,访问时断时续。有人说这是美国对朝鲜发动了域名攻击,报复朝鲜对索尼的网络攻击。这个攻击是谁做的现在也不知道,但是手法不是从根服务器动手脚(我一再说了,不可能有这种笨笨的攻击发生)。可能是有黑客,对朝鲜的重要网络节点,发动了暴力的DDOS攻击。就是说黑客操纵一些机器,不停地访问朝鲜的关键节点,把朝鲜节点机器所有的服务时间都占掉了,这样别的正常访问就没法进行了,朝鲜网络就瘫痪了。这个DDOS攻击是常见的,时不时有受害者,但象朝鲜这样,整个国家成为受害者比较少见。
利比亚断网,和叙利亚断网差不多,都是打仗闹的。外界社会发现,分配给利比亚或者叙利亚的IP字段,全都无法连上了,就说“全国断网”了。具体的原因,有的新闻说是当地政府主动切断的,但叙利亚政府说没切,是恐怖分子炸的。传来传去,有时就会误以为是美国切断的,其实和美国无关。
要澄清误解,美国并没有动用根服务器这种笨手段去对付朝鲜、伊朗、利比亚等国。这些国家断网事出有因。不应该用小国断网的事来营造“中国可能被断网”的恐怖气氛,还是应该还原事实。
美国平时是经常随便修理小国,轰炸、禁运、封锁。但是从网络空间上看,美国并没有用网络霸权主义的明招让小国断网,那真是太笨了,下不了手。美国可能发动网络攻击、病毒攻击,这些中国是要防备。但中美的网络攻防总要做得有技术含量一些,不要说得太简单,和小国不一样。
科技袁人系列
中国科学曾经落后这不丢人,关键我们要有自信能在未来领先 | 科技袁人