來(lái)源 | 小林coding

作者 | 小林coding

俄烏軍事沖突惡化后，俄羅斯就受到「金融核彈」的制裁， SWIFT 支付系統(tǒng)將斷開(kāi)與俄羅斯多家銀行的連接。

就在上周，烏克蘭還想引爆「網(wǎng)絡(luò)核彈」。因?yàn)闉蹩颂m官員給 互聯(lián)網(wǎng)名稱與數(shù)字分配機(jī)構(gòu)（ICANN） 發(fā)送了一封郵件，郵件上要求 ICANN：

1、撤銷(xiāo)俄羅斯聯(lián)邦使用的域“.ru”、“.рф”、“.su”等域名； 

2、關(guān)閉為俄羅斯服務(wù)的 DNS 根服務(wù)器； 

3、協(xié)助撤銷(xiāo)相關(guān)域名的 TTL/SSL 證書(shū)。

第一個(gè)要求通過(guò)讓根域名服務(wù)器不解析俄羅斯的網(wǎng)站，讓俄羅斯的網(wǎng)站從互聯(lián)網(wǎng)上消失。第二個(gè)要求通過(guò)取消解析域名的能力，將俄羅斯互聯(lián)網(wǎng)用戶拒之門(mén)外。第三個(gè)要求通過(guò)吊銷(xiāo) HTTPS 證書(shū)，使得俄羅斯網(wǎng)站失信。

烏克蘭之所以提出這些要求，目的是阻止俄羅斯的宣傳機(jī)器，并防止進(jìn)一步的輿論宣傳和虛假信息。

沒(méi)過(guò)幾天，ICANN 的 CEO 就用一封郵件回絕了烏克蘭所有要求。

我看了 ICANN 發(fā)給烏克蘭的這封信，這封信的大半段內(nèi)容是在說(shuō)明，ICANN 的使命是為了確保互聯(lián)網(wǎng)的正常工作，而不是采取懲罰性行動(dòng)、宣布制裁或限制部分互聯(lián)網(wǎng)的接入。

其中，ICANN 從技術(shù)和政策方面對(duì)烏克蘭這三個(gè)要求做了具體回答，如下圖：

這里簡(jiǎn)單給大家翻譯下：

• 對(duì)于國(guó)家代碼頂級(jí)域，我們的工作主要涉及驗(yàn)證來(lái)自相應(yīng)國(guó)家或地區(qū)內(nèi)授權(quán)方的請(qǐng)求。全球商定的政策并未規(guī)定 ICANN 可根據(jù)您的要求采取單方面行動(dòng)來(lái)斷開(kāi)這些域的連接。您可以理解為什么這樣的系統(tǒng)不能根據(jù)來(lái)自一個(gè)地區(qū)或國(guó)家的關(guān)于另一地區(qū)或國(guó)家內(nèi)部運(yùn)營(yíng)的請(qǐng)求來(lái)運(yùn)行。過(guò)程中的這種變化將對(duì)這個(gè)全球系統(tǒng)的信任和效用產(chǎn)生毀滅性和永久性的影響。
• 根域名服務(wù)器系統(tǒng)由許多地理分布的節(jié)點(diǎn)組成，并由不同的獨(dú)立運(yùn)營(yíng)維護(hù)。
• 我們沒(méi)有能力撤銷(xiāo)您提到的域的特定 SSL 證書(shū)。這些證書(shū)由第三方運(yùn)營(yíng)商制作，ICANN 不參與它們的簽發(fā)。

從 ICANN 回答的這三點(diǎn)可以看得出，烏克蘭提出的第一個(gè)要求從技術(shù)角度看 ICANN 是可以做得到的，但是由于政策緣故不能做，而第二和第三個(gè)要求從技術(shù)角度 ICANN 是無(wú)法做到的。

為什么 ICANN 有能力撤銷(xiāo)域名?

ICANN 全稱叫互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)，是位于美國(guó)洛杉磯的非盈利的機(jī)構(gòu)，主要由互聯(lián)網(wǎng)協(xié)會(huì)的成員組成，目的是 管理全球的域名和 IP 地址的分配 。

全球共有 13 個(gè)根域名服務(wù)器，分別用 a 到 m 命名，如 a.root-servers.net、b.root-servers.net。一臺(tái)是主服務(wù)器（就是 a 服務(wù)器），12 臺(tái)輔助服務(wù)器，有 10 臺(tái)在美國(guó)，2 臺(tái)在歐洲，1臺(tái)在日本。

這 13 個(gè)是邏輯上的概念，并不是只有 13 臺(tái)物理的服務(wù)器。

可以在 root-servers.org 這個(gè)網(wǎng)站上看到，目前為止全球共有 1524 個(gè)實(shí)例（instance），每一個(gè)根都有若干個(gè)鏡像，分布在全球不同的地方。

這 13 個(gè)根域名服務(wù)器有著獨(dú)自的 IP 地址，但是同一個(gè)根域名服務(wù)器下的鏡像共享著此根的 IP 地址，是通過(guò)「任播」這個(gè)技術(shù)實(shí)現(xiàn)的，具體的實(shí)現(xiàn)細(xì)節(jié)感興趣的同學(xué)可以去查一查。

可以在這個(gè)網(wǎng)站看到 13 個(gè)根服務(wù)器的 IP 地址，https://www.internic.net/zones/named.cache：

A.ROOT-SERVERS.NET.   3600000 A 198.41.0.4 A.ROOT-SERVERS.NET.   3600000 AAAA 2001:503:ba3e :: 2:30 B.ROOT-SERVERS.NET.   3600000 A 199.9.14.201 B.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:200 :: b C.ROOT-SERVERS.NET.   3600000 A 192.33.4.12 C.ROOT-SERVERS.NET.   3600000 AAAA 2001:500:2 :: c ... ...

根域名服務(wù)器是由 12 家機(jī)構(gòu)管理，其中 A 根是主根，由美國(guó)公司 Verisign 管理（Verisign 是 ICANN 最大的托管商）。B 到 M 根稱為輔根，負(fù)責(zé)同步 A 根的內(nèi)容。

A 根上有個(gè)最重要的文件，就是根區(qū)文件， 該文件保存所有頂級(jí)域名的托管信息 。

根區(qū)文件是由 ICANN 管理的 ，在 ICANN 官網(wǎng)可以查看這個(gè)根區(qū)文件：https://www.internic.net/domain/root.zone。

這意味著 ICANN 就有能力將某個(gè)頂級(jí)域名從根區(qū)文件里刪除，比如假設(shè)從根區(qū)文件中刪除了 .ru 域名的內(nèi)容，很快就會(huì)同步到所有的根中，然后在所有的緩存過(guò)期之后，全球所有人都訪問(wèn)不了 .ru 后綴的網(wǎng)站了。

但是其實(shí)大多數(shù)國(guó)家都有根鏡像服務(wù)器，所謂的根鏡像服務(wù)器就是同步根服務(wù)器的內(nèi)容，根鏡像服務(wù)器都是假設(shè)在自己的國(guó)家的，由自己國(guó)家管理。

所以， 自己國(guó)家是可以控制鏡像中的內(nèi)容的，假設(shè) ICANN 刪除了 .cn 頂級(jí)域名，如果不同步這個(gè)修改，其實(shí)還是可以正常訪問(wèn) .cn 后綴的網(wǎng)站。

另外問(wèn)題來(lái)了：美國(guó)能讓中國(guó)從互聯(lián)網(wǎng)上消失嗎？答案也是不行的，國(guó)內(nèi)有自己的根鏡像服務(wù)器，我們可以控制根服務(wù)器同步的內(nèi)容，再加上國(guó)內(nèi)解析域名的時(shí)候，其實(shí)并不會(huì)去解析美國(guó)的根域名服務(wù)器，而是訪問(wèn)自己國(guó)內(nèi)的運(yùn)營(yíng)商維護(hù)的根鏡像服務(wù)器。

各位伙伴們好，詹帥本帥搭建了一個(gè)個(gè)人博客和小程序，匯集各種干貨和資源，也方便大家閱讀，感興趣的小伙伴請(qǐng)移步小程序體驗(yàn)一下哦?。g迎提建議）

推薦閱讀

牛逼！Python常用數(shù)據(jù)類(lèi)型的基本操作（長(zhǎng)文系列第①篇）

牛逼！Python的判斷、循環(huán)和各種表達(dá)式（長(zhǎng)文系列第②篇）

牛逼！Python函數(shù)和文件操作（長(zhǎng)文系列第③篇）

牛逼！Python錯(cuò)誤、異常和模塊（長(zhǎng)文系列第④篇）