關(guān)注風(fēng)云之聲 提升思維層次

解讀科學(xué)，洞察本質(zhì)

戳穿忽悠，粉碎謠言

導(dǎo)讀

許多媒體和讀者擔(dān)憂中國會(huì)輕易被美國斷網(wǎng)從而癱瘓，但真正了解互聯(lián)網(wǎng)基本規(guī)則的無幾。今天計(jì)算機(jī)碩士陳經(jīng)就為大家原原本本地講解互聯(lián)網(wǎng)相關(guān)的常識(shí)，讓你明白：美國到底能不能給中國斷網(wǎng)？美國能對(duì)中國的網(wǎng)絡(luò)造成什么樣的損害？如何防御？中國能否反制？

實(shí)際上真正應(yīng)該關(guān)注的不是斷網(wǎng)這種粗糙的手段，而是黑客和設(shè)備中安置的后門。IPv4、IPv6這種網(wǎng)絡(luò)協(xié)議好比即時(shí)戰(zhàn)略游戲的地圖，本身是公開的，許多人對(duì)它們有誤解，單憑主根服務(wù)器是不可能斷網(wǎng)的。

如果您看懂了，希望也能從身邊做起，揭穿謠言，為周圍人科普。

互聯(lián)網(wǎng)大家天天在用，近來出現(xiàn)了一些關(guān)于互聯(lián)網(wǎng)國家主權(quán)與安全的爭議。有對(duì)中國提出警示的如“中國沒有互聯(lián)網(wǎng)，只有美國的因特網(wǎng)”。有關(guān)于技術(shù)標(biāo)準(zhǔn)的，如IPv4、IPv6、IPv9，這些網(wǎng)絡(luò)名詞對(duì)中國的互聯(lián)網(wǎng)主權(quán)有什么意義。還有關(guān)于技術(shù)細(xì)節(jié)的，如有記者報(bào)導(dǎo)”全球電子郵件都要到美國轉(zhuǎn)一圈“，這是真的么？還有對(duì)美國攻擊中國互聯(lián)網(wǎng)的疑問，是不是美國可以關(guān)掉中國的互聯(lián)網(wǎng)？

即使是有相當(dāng)知識(shí)水平的人，對(duì)于天天在用的互聯(lián)網(wǎng)，也容易產(chǎn)生誤解。例如不少人會(huì)以為，IPv6與IPv4的區(qū)別，就是IP地址從4個(gè)數(shù)字升為6個(gè)，這種理解其實(shí)錯(cuò)大了。

要明白這些問題，首先是名詞不要混。在本文中，互聯(lián)網(wǎng)是泛指各種按網(wǎng)絡(luò)連接標(biāo)準(zhǔn)連結(jié)出來的網(wǎng)絡(luò)系統(tǒng)，可以有多個(gè)。Internet或者“因特網(wǎng)”，指的是目前全球互相連接在一起的大網(wǎng)，本文稱為“全球大網(wǎng)”。因?yàn)橐话愎娪玫木W(wǎng)絡(luò)就是因特網(wǎng)，所以有時(shí)互聯(lián)網(wǎng)和因特網(wǎng)會(huì)被當(dāng)成一回事。但是也有一些特別的網(wǎng)絡(luò)，是獨(dú)立的，和因特網(wǎng)分離的，如軍網(wǎng)、公司內(nèi)網(wǎng)。

其實(shí)幾臺(tái)機(jī)器用網(wǎng)線連接起來，理論上就能組個(gè)“局域網(wǎng)”，可以聯(lián)網(wǎng)打游戲?qū)?zhàn)了。當(dāng)然這是互聯(lián)網(wǎng)早期時(shí)代的事，后來干脆都連到全球大網(wǎng)上去了。如果是幾臺(tái)機(jī)器，聯(lián)網(wǎng)就很簡單，所有信息都廣播出去發(fā)給所有人就行了，和你無關(guān)的就扔掉拉倒，就和一伙人在屋里聊天一樣。這種“全連接”的技術(shù)實(shí)現(xiàn)最簡單，但是規(guī)模一大就不經(jīng)濟(jì)了。然后再從這個(gè)簡單模型開始，優(yōu)化出各種網(wǎng)絡(luò)結(jié)構(gòu)。如星形網(wǎng)絡(luò)，所有節(jié)點(diǎn)都只連到中心節(jié)點(diǎn)，什么信息都由中心節(jié)點(diǎn)轉(zhuǎn)發(fā)。再如令牌環(huán)網(wǎng)，環(huán)形網(wǎng)上有個(gè)令牌，交給各個(gè)平權(quán)的節(jié)點(diǎn)，持有令牌的才能說話，往環(huán)網(wǎng)上發(fā)數(shù)據(jù)。用現(xiàn)在的通信概念來理解，這個(gè)“令牌”就相當(dāng)于“控制信道”，說話就相當(dāng)于“數(shù)據(jù)信道”。

這些聯(lián)網(wǎng)技術(shù)發(fā)展下來，越來越復(fù)雜，經(jīng)過多種標(biāo)準(zhǔn)的變遷，終于在1990年代成熟了。某種程度上來說，標(biāo)準(zhǔn)雖然復(fù)雜了，但是做事簡單了。只要買來幾種聯(lián)網(wǎng)設(shè)備，網(wǎng)線、交換機(jī)、網(wǎng)卡、路由器之類的，就可以建一個(gè)網(wǎng)絡(luò)了。大約1994、1995年左右，中國各大學(xué)校園就開始挖地埋線建網(wǎng)，沒有什么困難，都組網(wǎng)成功了。這其實(shí)是很了不起的事，這相當(dāng)于說，不需要專家，互聯(lián)網(wǎng)就可以推廣了，應(yīng)用傻瓜化了。當(dāng)然能建起網(wǎng)的人還是需要一些專業(yè)技能的，但沒多難。就和裝電腦一樣，電腦是高科技，實(shí)用的電腦軟件要寫出來也不容易，但大學(xué)里很多小伙子都學(xué)會(huì)了裝機(jī)，有了一門讓女生崇拜的手藝?；ヂ?lián)網(wǎng)雖然一直飛速發(fā)展，但是基礎(chǔ)和90年代差不多，人們能發(fā)現(xiàn)的重要變化是加入了無線，如無線網(wǎng)卡、無線路由。

那年頭，各地建起了很多“局域網(wǎng)”。這些局域網(wǎng)即使完全與外部隔絕，內(nèi)部也是可以互相通信的，如發(fā)電子郵件。有一些ip地址，如192.168.0.1，到現(xiàn)在人們還經(jīng)常用到，如設(shè)置wifi路由器時(shí)要用。在很多相互獨(dú)立的局域網(wǎng)里，有很多節(jié)點(diǎn)的ip都是192.168.0.1，完成一樣的功能，因?yàn)椴幌喔?，所以ip一樣也不沖突。

對(duì)于一個(gè)機(jī)器來說，其實(shí)可以同時(shí)處于多個(gè)獨(dú)立的網(wǎng)絡(luò)中。例如機(jī)器的某個(gè)IP叫192.168.1.101，這是某個(gè)“內(nèi)網(wǎng)”的IP地址，如屋內(nèi)幾個(gè)機(jī)器和wifi路由器組的小無線網(wǎng)，所有機(jī)器包括路由器的IP都是192.168.1.XXX的樣子，前三位一樣，有時(shí)沒弄好還會(huì)告訴你IP地址沖突了。全球其實(shí)有無數(shù)機(jī)器都有一樣的“內(nèi)網(wǎng)”IP地址，因?yàn)槭且粯拥木W(wǎng)絡(luò)結(jié)構(gòu)，只不過互相獨(dú)立?？梢钥隙ǖ氖牵瑑?nèi)網(wǎng)是完全可以獨(dú)立運(yùn)作的。就算你家里的網(wǎng)絡(luò)壞了，連不到外面，但是無線路由器開著，仍然可以手機(jī)、電腦都連上它，然后互相倒文件。例如你要把一個(gè)小說文件從電腦上傳到手機(jī)上某種閱讀器里，這個(gè)閱讀器就會(huì)說，請(qǐng)你在電腦瀏覽器上輸入http://191.168.1.100：10123就能上傳文件了，不需要外網(wǎng)。

一個(gè)機(jī)器連到“外網(wǎng)”，會(huì)同時(shí)還有另一個(gè)IP比如叫202.96.128.166。這是指在全球大網(wǎng)中的地址，世界各國很不相同，但是又有規(guī)律。以前中國的機(jī)器基本都是202開頭的，因?yàn)榉峙涞木褪沁@個(gè)“字段”，而美國一個(gè)大學(xué)就能有一個(gè)字段，美國占有的IP資源遠(yuǎn)多于中國，這和全球大網(wǎng)發(fā)展歷史有關(guān)。在windows的cmd里，輸入”ipconfig /all”，就可以看到各種IP了。

這個(gè)IP地址就是互聯(lián)網(wǎng)的核心概念，或者說理解互聯(lián)網(wǎng)最好的起始點(diǎn)。為什么給機(jī)器分配一個(gè)IP地址，它就能和其它IP地址網(wǎng)絡(luò)通信了，這很神奇，是計(jì)算機(jī)學(xué)界多年發(fā)展出來的研究成果，但概念上就這么簡單。你要和一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)通信，最簡單的就是在cmd里輸入”ping XXX.XXX.XXX.XXX”，對(duì)方就會(huì)給出回應(yīng)，告訴你兩個(gè)節(jié)點(diǎn)之間是通著的，通信延時(shí)是多少，或者不通。有時(shí)發(fā)生了意外，某些地址就ping不通了，那更復(fù)雜的訪問肯定就不行了。如果能理解ping的機(jī)制，復(fù)雜的互聯(lián)網(wǎng)應(yīng)用無非就是數(shù)據(jù)多一些，概念是一樣的。

其實(shí)互聯(lián)網(wǎng)通信理解起來不難。比如有人說，我要搗亂，給風(fēng)云學(xué)會(huì)會(huì)長袁嵐峰工作單位的IP地址發(fā)信息，我來ping 218.22.21.25 （微尺度國家研究中心互聯(lián)網(wǎng)訪問主機(jī)的IP地址）。在電腦上發(fā)出這個(gè)指令，你的機(jī)器看到這個(gè)地址，說我發(fā)到無線路由那去。無線路由說，這不是內(nèi)網(wǎng)的地址不歸我管，我交給外網(wǎng)最近的“網(wǎng)關(guān)”去。外面的網(wǎng)關(guān)根據(jù)這個(gè)地址，很容易明白是發(fā)到再上級(jí)的網(wǎng)關(guān)，還是發(fā)到下級(jí)網(wǎng)關(guān)，直到進(jìn)入目標(biāo)主機(jī)。218.22.21.25收到信息，就給回應(yīng)，再原路返回（或者找個(gè)新路也可能），發(fā)回你這個(gè)機(jī)器。這和快遞分發(fā)其實(shí)差不多，我們查淘寶上的“物流信息”，能看到說包裹到哪哪了，中間會(huì)有很多“網(wǎng)關(guān)”一樣的分發(fā)節(jié)點(diǎn)。

理論上，我們只要輸入這種“IP地址”，就能完成互聯(lián)網(wǎng)訪問。有一些應(yīng)用其實(shí)就是這樣的，直接讓你輸入數(shù)字的IP地址。但是數(shù)字IP地址難記，微尺度國家實(shí)驗(yàn)室需要hfnl.ustc.edu這樣的字母（有時(shí)也有數(shù)字）組成的“域名”，真的象人類的快遞地址一樣了，什么國家、哪個(gè)單位、哪個(gè)部門。在前面那個(gè)域名中，cn就是指中國，edu就是教育部門包括各大學(xué)，ustc是指中國科學(xué)技術(shù)大學(xué)，hfnl就是微尺度國家研究中心。域名中間有數(shù)個(gè)“．”，最少一個(gè)點(diǎn)就可以，前面的www其實(shí)不加也行，如中國政府網(wǎng)gov。但各種域名，對(duì)應(yīng)的都是四個(gè)數(shù)字的IP地址。

其實(shí)機(jī)器的IP地址是可能變的，網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整會(huì)動(dòng)態(tài)分配。但是域名這個(gè)機(jī)制不錯(cuò)，IP地址變了不要緊，反正別人也是用域名來訪問的，只要網(wǎng)絡(luò)系統(tǒng)里的“域名解析”做對(duì)了就行。這個(gè)域名解析，是個(gè)挺重要的事，我們稍一想就知道，這可不是不同內(nèi)網(wǎng)里IP地址重合了不要緊，域名是不能重合的，而且是個(gè)全球事務(wù)。所以，如果只談IP地址通信，那可以各種內(nèi)網(wǎng)、局域網(wǎng)隨便玩，用不著全球統(tǒng)一管理。如果要談?dòng)蛎?，我們就需要引入國家概念，引入互?lián)網(wǎng)政治相關(guān)的概念了。

我們?cè)趙indows機(jī)器上輸入”ipconfig /all”，會(huì)看到“DNS服務(wù)器”這么個(gè)東西，它有一個(gè)202.96.134.133這樣的地址。其實(shí)深圳的很多機(jī)器，都會(huì)發(fā)現(xiàn)自己的“DNS服務(wù)器”地址是這個(gè)，它就是深圳的域名解析服務(wù)器，DNS是Domain Name Server的縮寫。你可不可以換一個(gè)“DNS服務(wù)器”？可以！比如你抱怨說，深圳這個(gè)DNS機(jī)器老出問題，太爛了，我換成廣州的DNS服務(wù)器202.96.128.143，這是可以的。你打入一個(gè)hfnl.ustc.edu這樣的地址，這個(gè)字符串就會(huì)被發(fā)給你選用的DNS服務(wù)器（用IP地址通信的方法發(fā)的），這個(gè)服務(wù)器會(huì)負(fù)責(zé)找出這個(gè)字符串對(duì)應(yīng)的IP地址，然后你再和目標(biāo)IP地址用IP通信的方法傳送信息。所以，你ping 218.22.21.25，這個(gè)就直接訪問了，如果你輸入的是ping hfnl.ustc.edu，那這個(gè)命令會(huì)先由DNS服務(wù)器處理一通。

那么，一個(gè)DNS服務(wù)器的本事有多大？是不是全世界任何一個(gè)域名，它都能獨(dú)立找出對(duì)應(yīng)的IP地址？我們想一想就知道，這是不可能的。全球各種域名地址有幾十億個(gè)了，都放進(jìn)一個(gè)機(jī)器會(huì)有麻煩。一是重復(fù)，如果所有DNS服務(wù)器都象區(qū)塊鏈節(jié)點(diǎn)一樣有全部“域名賬本”，這種“去中心化”非常浪費(fèi)。更重要的是，域名不斷在增加與注銷，要通知全球所有DNS服務(wù)器更新賬本，去中心化是極為低效的架構(gòu)，全球DNS要同步賬本得煩死。所以肯定得層級(jí)管理，要中心化。例如，深圳的DNS看到hfnl.ustc.edu，雖然hfnl.ustc看不懂，但是edu一看就明白，不就是中國的教育分部么，交給上級(jí)DNS就行了。上級(jí)DNS一看，ustc.edu，扔到ustc的DNS那去查。ustc的DNS一看，hfnl我知道，是微尺度國家研究中心的，IP地址我這有，就給出了答案，原路傳回給深圳的DNS。這樣，各級(jí)DNS各司其職，統(tǒng)一將全球的域名都解析得好好的，是個(gè)高效的中心化機(jī)制。

我們這提到了“上級(jí)DNS”的概念，那就出來一個(gè)問題了，上級(jí)也可能有上級(jí)，最后是個(gè)啥？最后就是根服務(wù)器！再?zèng)]有上級(jí)了，到這就是根了，是頂級(jí)了。到這，我們終于繞不開美國了。由于歷史的原因，全球最頂級(jí)的根服務(wù)器在美國。一開始，只有美國有互聯(lián)網(wǎng)，所有DNS服務(wù)器，包括最頂級(jí)的DNS服務(wù)器當(dāng)然都在美國。別的國家連進(jìn)來，有兩種選擇，一種是接入美國這個(gè)網(wǎng)，自己弄一個(gè)次頂級(jí)DNS服務(wù)器（這是所有國家的選擇），另外一種是自己建一個(gè)頂級(jí)DNS服務(wù)器。第二種選擇美國會(huì)說，你可以這么干，但那是你自己的網(wǎng)，甚至也可以拉別的國家來；但我美國和已經(jīng)加入我的其它國家，和你的網(wǎng)會(huì)有沖突，技術(shù)上會(huì)亂套，只好互相不連了。因?yàn)檫@種“路徑依賴”，人們雖然覺得美國占了大便宜，但也沒辦法，只好讓美國當(dāng)根服務(wù)器。

其實(shí)，根服務(wù)器可以不只一個(gè)，事實(shí)上有13個(gè)。但是這13個(gè)功能全都一樣，你用到根服務(wù)器時(shí)，找近的一個(gè)查到了就行。互聯(lián)網(wǎng)訪問非常多，一個(gè)根服務(wù)器頂不住，開多個(gè)是必須的。但是這13個(gè)不能互相矛盾了，得有一致性，就是和在美國的“主根服務(wù)器”保持一致。美國的主根內(nèi)容更新了，就會(huì)同步到其它12個(gè)輔根去。12個(gè)輔根其實(shí)也有9個(gè)在美國，歐洲2 個(gè)（英國瑞典各一個(gè)），還有1個(gè)在日本。

那這種架構(gòu)，美國確實(shí)能大占便宜，不僅名義上地位高。比如域名層級(jí)分配，中國的大學(xué)是XXX.edu，美國的就直接是XXX.edu，少了一級(jí)。再比如IP地址分配，美國的網(wǎng)建的早，已經(jīng)將大段地址占掉了，只留下些邊角地址分給其它國家。再比如，美國說我維護(hù)這個(gè)根服務(wù)器要錢啊，這么重要的互聯(lián)網(wǎng)服務(wù)不能免費(fèi)，你們各國用了我提供的服務(wù)，得根據(jù)流量交錢。再比如，對(duì)于外面來的服務(wù)請(qǐng)求，是不是一視同仁？如果按“網(wǎng)絡(luò)中立”原則，不分用戶大小，用戶來自哪國，都應(yīng)該一樣，按公平原則服務(wù)，不要故意延遲。但是美國內(nèi)部在吵，要放棄“中立”，大客戶優(yōu)先，或者美國優(yōu)先。

對(duì)這個(gè)事情，要平衡觀察。一方面，確實(shí)要注意，現(xiàn)在這個(gè)“全球大網(wǎng)”，美國有特殊優(yōu)勢(shì)，能占到不小的便宜。但是另一方面，也不能過分夸張，其實(shí)就是域名解析根務(wù)器的事，出于實(shí)際考慮放在美國。不能夸張成，什么服務(wù)都要經(jīng)過美國了，電子郵件都要跑到美國去，這從技術(shù)上說不通。發(fā)個(gè)電子郵件，理論上郵件地址有可能到美國的根服務(wù)器去解析，但是IP地址解析完了，郵件內(nèi)容就可以找合適路徑傳輸了，不需要到美國。如果硬的網(wǎng)絡(luò)線路要經(jīng)過美國，那沒辦法，郵件內(nèi)容也會(huì)到美國。但從軟的體系結(jié)構(gòu)來說，只是郵件地址解析要訪問美國根服務(wù)器的概率大一些。如果美國把互聯(lián)網(wǎng)體系真設(shè)計(jì)得這么笨，郵件等數(shù)據(jù)內(nèi)容也要到美國去，那線路會(huì)堵得不得了，學(xué)術(shù)上更會(huì)被噴死。

我們不排除有可能性，美國公司搞的硬件網(wǎng)絡(luò)設(shè)施做了手腳，一些內(nèi)容會(huì)偷偷發(fā)到美國。但是基于IP的網(wǎng)絡(luò)體系結(jié)構(gòu)是公開透明的，誰都可以看標(biāo)準(zhǔn)搞明白，不可能有這種設(shè)計(jì)。IP體系結(jié)構(gòu)的理念是，互聯(lián)網(wǎng)是“強(qiáng)壯”的，缺了誰都行，只要還有線路連著都能通信。如果不要域名服務(wù)，那根本不需要“根”，節(jié)點(diǎn)可以盡量平等。

當(dāng)然，域名服務(wù)由于歷史的原因，極端偏向美國，這是很不公平。最突出的矛盾就是各國地址不夠用了，美國占著那么多IP地址沒用，別的國家卻擠爆了，特別是中國。四個(gè)數(shù)字的IP地址，如202.96.128.143，每個(gè)位置256種可能，一共才不到43億個(gè)，比世界人口還少，是真不夠分。而且老早就不夠了，要找美國要地址。這種事都是由ICANN（InternetCorporation for Assigned Names and Numbers）管理，原來叫IANA （Internet Assigned Numbers Authority）。這個(gè)IANA是個(gè)和美國政府簽了合同的管理機(jī)構(gòu)，是個(gè)合同工。升級(jí)成ICANN以后，理論上是全球事務(wù)非營利...