孫婧

何為斷網(wǎng)，為何斷網(wǎng)

俄羅斯的斷網(wǎng)測試不是直接切斷全國的網(wǎng)絡(luò)，讓整個國家進入無網(wǎng)狀態(tài)，而是要在緊急情況下，將整個國家的網(wǎng)絡(luò)系統(tǒng)與國際互聯(lián)網(wǎng)斷開，以保障其國內(nèi)網(wǎng)絡(luò)仍然可以正常工作。盡管俄羅斯方面對外并未公布所采用的技術(shù)細節(jié)，只是簡單介紹了幾種斷網(wǎng)場景的測試，諸如模擬遭到境外敵對網(wǎng)絡(luò)攻擊的場景應(yīng)對等，但根據(jù)其原理推測，俄羅斯應(yīng)該是基于自建的國家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施（即RuNet），建立一個全球最大的局域網(wǎng)。該局域網(wǎng)對俄境內(nèi)流量重新路由，使用俄政府控制的域名系統(tǒng)（Domain Name System，DNS）進行分發(fā)，而不再依賴位于境外的根域名服務(wù)器。

這里引申出與網(wǎng)絡(luò)主權(quán)相關(guān)的一種技術(shù)——根域名服務(wù)器的管理技術(shù)。先了解一下什么是域名系統(tǒng)（DNS）。域名系統(tǒng)是因特網(wǎng)上解決網(wǎng)上機器命名的一種系統(tǒng)。就像要去某個地方就要先知道怎么走一樣，當一臺主機要在因特網(wǎng)上訪問另外一臺主機時，必須首先獲知其地址，TCP/IP中的IP地址由四段以“.”分開的數(shù)字組成（這里以IPv4的地址為例），IP地址記起來比較困難，所以，就采用了域名系統(tǒng)來管理名字和IP的對應(yīng)關(guān)系。美國是互聯(lián)網(wǎng)發(fā)源地，目前全球只有13個域名根服務(wù)器，其中美國有10個，英國、瑞典、日本各1個。A開頭簡稱A根，是主根，其他12個（依次由B至M）是輔根。這里并不是只有13臺物理服務(wù)器，這是一個邏輯上的概念。每個根域名，背后都有多臺真正的物理服務(wù)器（鏡像）在工作。截至2021年4月14日，中國目前存在的頂級域名鏡像有37臺（北京-8，鄭州-2，上海-1，杭州-2，武漢-2，重慶-1，西寧-3，廣州-1，香港-9，貴陽-1，臺北-7），而俄羅斯整個國家只有1臺頂級域名鏡像。

根域名服務(wù)器是網(wǎng)絡(luò)主權(quán)中重要的一環(huán)，網(wǎng)絡(luò)主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的自然延伸。為了理解根域名服務(wù)器的重要作用，我們首先要理解根DNS服務(wù)器在域名解析中扮演著什么樣的角色，這里我們從技術(shù)層面分析一下DNS域名解析的過程。當計算機（一般是瀏覽器）被輸入一個訪問請求，如 www.baidu.com，計算機的操作系統(tǒng)需要知道如何根據(jù) www.baidu.com這個域名，找到對應(yīng)的IP地址。操作系統(tǒng)會經(jīng)歷三個步驟：步驟一，從本機緩存中尋找;步驟二，從/etc/hosts文件中尋找（除非特殊配置，否則一般是不存在的）;步驟三，從DNS服務(wù)器中尋找。其中，從DNS服務(wù)器中尋找是解析IP地址最重要的流程手段?；ヂ?lián)網(wǎng)中的海量域名都是通過DNS解析后，才能找到真正的地址（獲取IP地址）。

當步驟二無法解析時，計算機的操作系統(tǒng)首先會找TCP/IP參數(shù)中設(shè)置的首選DNS服務(wù)器，也被稱為本地DNS服務(wù)器。服務(wù)器收到查詢時，如果本地DNS服務(wù)器能夠解析，則返回域名解析結(jié)果，反之，則解析失敗?，F(xiàn)實中，本地DNS服務(wù)器受限于資源池容量，無法存儲所有的域名。所以本地DNS服務(wù)器的解析無法保證請求的域名一定被解析。當本地DNS解析失敗后，就會把www.baidu.com的這個域名，發(fā)至13臺根DNS，根DNS服務(wù)器收到請求后會判斷這個域名（com）是誰來授權(quán)管理，并會返回負責該頂級域名服務(wù)器的一個IP地址。本地DNS服務(wù)器收到IP地址信息后，會將www.baidu.com的域名請求發(fā)送到.com的域名服務(wù)器上，此時.com的域名服務(wù)器會找下一級的DNS服務(wù)器baidu.com，并將baidu.com的DNS服務(wù)器的IP地址發(fā)送給本地DNS服務(wù)器。本地DNS服務(wù)器重復(fù)遞歸查找的這個過程，直到查詢到www.baidu.com的IP地址，然后進行IP地址報文的請求與交換。

從前面的解析過程可以看出，根DNS服務(wù)器是域名解析最重要的大門。沒有根DNS服務(wù)器，無法保證域名肯定能夠解析成功。美國曾在2004年，終止了利比亞的頂級域名“.LY”的申請和解析工作，在伊拉克戰(zhàn)爭期間，終止了伊拉克頂級域名“.iq”的解析服務(wù)。俄羅斯擔心美國切斷俄與域名根服務(wù)器的連接。理論上，只要在根服務(wù)器上屏蔽俄國國家域名“.ru”，就能令俄羅斯的國家頂級域名網(wǎng)站在網(wǎng)絡(luò)上瞬間“消失”。因此，俄羅斯“斷網(wǎng)”測試并非心血來潮，一方面是俄羅斯根據(jù)此前美國頒布的《國家安全戰(zhàn)略》《國家網(wǎng)絡(luò)安全戰(zhàn)略》等文件，應(yīng)對美國將俄羅斯定義為“對手”之后帶來的威脅和挑戰(zhàn);另一方面，俄羅斯“斷網(wǎng)”測試也是美俄兩國長期戰(zhàn)略博弈中產(chǎn)生的行為結(jié)果。

雖然頂級域名服務(wù)器管理的非營利性機構(gòu)ICANN（互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)）已于2016年10月1日將管轄權(quán)交由全球共治，脫離了美國政府的管控，但因為頂級域名服務(wù)的基礎(chǔ)設(shè)施和技術(shù)體系一直是由美國為首的西方幾個國家部署及建立，所以美國及歐盟對根域名有著本質(zhì)上的管轄權(quán)。有兩個最直接的例子。一是根據(jù)美國制定的《網(wǎng)絡(luò)中立法》，政府不能對ICANN這種機構(gòu)直接下達行政命令，進行管理上的干涉。但在2018年，特朗普宣布廢除網(wǎng)絡(luò)中立，這直接導(dǎo)致美國聯(lián)邦貿(mào)易委員會擁有對互聯(lián)網(wǎng)服務(wù)提供商的監(jiān)管權(quán)力;二是臭名昭著的“棱鏡計劃”、華為被惡意制裁等事件的發(fā)生，也是技術(shù)管理機構(gòu)和政府管制不可能真正解耦的典型事件代表。綜上，造成網(wǎng)絡(luò)主權(quán)丟失的本質(zhì)原因，還是由于基礎(chǔ)設(shè)施和實現(xiàn)技術(shù)被若干個國家把持導(dǎo)致，其中心化的設(shè)計是問題之根源所在。

方濱興院士曾呼吁基于區(qū)塊鏈的去中心化思想，構(gòu)建一個聯(lián)盟式的國家根域名體系（圖/視覺中國）

潛在風險與應(yīng)對措施

發(fā)達國家憑借技術(shù)優(yōu)勢，通過對根域名服務(wù)器的把控，掌握著互聯(lián)網(wǎng)世界域名解析的控制權(quán)。在網(wǎng)絡(luò)主權(quán)已經(jīng)成為國家主權(quán)一部分的今天，采用何種措施來應(yīng)對這種可能出現(xiàn)的技術(shù)劫持事件，保護國家的網(wǎng)絡(luò)主權(quán)顯得尤為重要。各個國家在制定互聯(lián)網(wǎng)主權(quán)應(yīng)對措施之前，首先要清楚，當前的頂級域名管理體系，存在著什么樣的潛在風險。只有深入理解了產(chǎn)生的風險，才能對這些風險制定相應(yīng)的應(yīng)對策略。

頂級域名可以分為三類：gTLD（generic top-level domains）、ccTLD（country code top-level domains）和New gTLD。gTLDs于1985年1月創(chuàng)立，是提供給一些特定組織使用的頂級域名，諸如后綴為.com，.net，.org，.edu，.mil等域名。通用頂級域名與我們?nèi)粘＞W(wǎng)絡(luò)訪問息息相關(guān)，比如，我們搜索 www.baidu.com，在沒有緩存的情況下，就需要訪問.com的頂級域名服務(wù)器，來獲取網(wǎng)站的IP地址。ccTLD，涉及的是國家地區(qū)頂級域名，如后綴為.cn，.jp，.kr等域名。原則上，這些域名都可以申請，主要看申請者想要誰來保護自己的權(quán)益，如.cn下的域名會由中國政府來保護域名申請者的相關(guān)權(quán)益。New gTLD是新頂級域名，如代表“高端”的.top，代表“紅色”的.red，代表“人”的.men等千余種。但新頂級域名目前沒有產(chǎn)生足夠的影響力和吸引力。

一般而言，gTLD是非政府組織管理的，而國家地區(qū)的域名是由政府機構(gòu)管理的。當然，因頂級域名服務(wù)器部署的原因，不排除美國也可以將通用域名納入政府的管理體系中。所以，當前的根域名解析存在著兩種風險：一是某國的頂級域名被直接從原根域名服務(wù)器中暴力抹掉。比如，因外交惡化，美國可能操控根服務(wù)器，將.cn的域名直接刪掉，則相應(yīng)國境外將無法解析所有.cn下的域名。二是基于遞歸式的域名解析，某國的域名訪問請求可能被根服務(wù)器直接拒絕，而使其無法訪問國際互聯(lián)網(wǎng)中的域名。當然，隨著互聯(lián)網(wǎng)的發(fā)展，根鏡像正逐步增多，會適當緩解這個問題。根據(jù)RFC1546文件提出，DNS訪問者傳輸?shù)腎P地址網(wǎng)絡(luò)會被路由到“最近”的一個服務(wù)器上，比如對中國的用戶來說，對根的請求，一般不會跑到美國去，而是通過任播技術(shù)路由到中國境內(nèi)的根鏡像上。

針對上述兩種風險，我們可以針對性地采取技術(shù)層面的應(yīng)對策略：

第一，風險一產(chǎn)生的根本原因是中心化的DNS解析及管理。從技術(shù)角度解決這個問題并不難。比如，中國工程院院士方濱興曾呼吁基于區(qū)塊鏈的去中心化思想，構(gòu)建一個聯(lián)盟式的國家根域名體系。但真正的困難在于推廣，即就現(xiàn)在所有基于ICANN組織管理下的域名解析體系的實體采用。俄羅斯的“斷網(wǎng)”行動也是基于這種重構(gòu)的思路。不過，當今的國際關(guān)系，封閉不是一種好的選擇，最好的選擇應(yīng)該是用開放的心態(tài)參與，并且產(chǎn)生積極的影響力。所以，自建域名解析體系的想法任重道遠，需要進行多維度考量。

第二，解決風險二的辦法，就是積極參與根域名的管理與建設(shè)，推進構(gòu)建更多的頂級域名鏡像服務(wù)器。例如，截至2021年4月14日，整個世界已經(jīng)有1379個實例（包括原根和鏡像），而中國境內(nèi)（包括港澳臺）共有37個鏡像。這些鏡像基本保證了域名訪問請求解析的有效性。

第三，風險二中還存在一個問題：因為鏡像服務(wù)器是基于根服務(wù)器復(fù)制而來，所以，如果原根服務(wù)器惡意淘汰一些域名的解析，仍然可能導(dǎo)致鏡像服務(wù)器因為解析數(shù)據(jù)的同步，而使惡意的屏蔽在鏡像中起作用。所以，可以構(gòu)建根域名解析數(shù)據(jù)庫，將頂級域名解析數(shù)據(jù)存儲起來，并健全數(shù)據(jù)庫的功能，如合理的淘汰機制、備份、快照等。

第四，與更多擁有頂級域名鏡像的國家進行非政府和政府層面的技術(shù)交流及溝通，通過更多的渠道交換或獲取其他國家頂級域名解析數(shù)據(jù)，增強域名解析系統(tǒng)的牢固性。

第五，政府仍需要構(gòu)建國家級頂級域名的體系，通過政府的力量推進更多的機構(gòu)或企業(yè)加入國家級的域名體系中。

就國際社會而言，各個國家對網(wǎng)絡(luò)主權(quán)的概念有著各自獨到的見解。但實質(zhì)上，網(wǎng)絡(luò)主權(quán)是國家主權(quán)在網(wǎng)絡(luò)空間的自然延伸，主要是指對本國境內(nèi)的網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)主體、網(wǎng)絡(luò)行為、相關(guān)網(wǎng)絡(luò)數(shù)據(jù)和信息等的解析，享有獨立權(quán)、平等權(quán)、管轄權(quán)和防衛(wèi)權(quán)。當前基于ICANN組織的域名解析管理體系具有不公平性，而且對沒有擁有13個原根服務(wù)器的國家，獨立性也受到很大的挑戰(zhàn)。在國際網(wǎng)絡(luò)管理及技術(shù)體系下，我們要做的不是搞封閉，而應(yīng)當以更加積極的心態(tài)參與國際網(wǎng)絡(luò)標準的制定，從而發(fā)揮更為積極、更具影響力的作用。在非技術(shù)層面，我們可以采用以下的應(yīng)對策略：

第一， 妥善利用ICANN目前治理框架，積極參與制定網(wǎng)絡(luò)標準、協(xié)議、立法等，提升中國在網(wǎng)絡(luò)空間上的話語權(quán)。如，“雪人計劃”就是一個比較成功的項目，充分利用了IPv6的推廣和普及，來改進當前域名解析的不公平性和擴展性。

第二，充分發(fā)揮網(wǎng)絡(luò)空間中的主體——普通的群眾的力量，將政府作為一個引領(lǐng)者和推進者，利用政府力量和非政府力量相結(jié)合的方式伸張國家網(wǎng)絡(luò)主權(quán)。

第三，與更多的國家進行網(wǎng)絡(luò)主權(quán)方面的積極溝通與互動，形成一個個有著共同目標的群體，依賴于群體，抵抗類似美國對DNS服務(wù)器壟斷的行為，依賴群體的多級性來抵抗霸權(quán)主義的單級性。

第四，在國際社會中，積極倡導(dǎo)和實踐網(wǎng)絡(luò)主權(quán)。各國在網(wǎng)絡(luò)空間行使主權(quán)的實踐必然會存在多樣性，這種多樣性將會長期存在。在尊重各國主權(quán)的基礎(chǔ)上，平衡各國主權(quán)權(quán)利與義務(wù)之間的關(guān)系，維護網(wǎng)絡(luò)空間的和平與穩(wěn)定，推進國際層面網(wǎng)絡(luò)主權(quán)使用領(lǐng)域的互通性及秩序，參與制定普遍接受的網(wǎng)絡(luò)空間的國際規(guī)則和國家行為準則，力爭共建和平、安全、開放、合作、有序的網(wǎng)絡(luò)環(huán)境。

通過技術(shù)層面和非技術(shù)層面的長時間努力，相信國家網(wǎng)絡(luò)主權(quán)的公平性、獨立性將在世界范圍內(nèi)得到認可和提升。