久在樊籠里，復(fù)得返自然

——我國網(wǎng)信領(lǐng)域的幾點科學(xué)認(rèn)識

牟承晉

科學(xué)是驗證和試錯的過程，嚴(yán)格地說，驗證即證偽，試錯是 為了糾偏。

幾十年來，我國網(wǎng)信領(lǐng)域不經(jīng)過科學(xué)驗證，或者驗證缺乏科 學(xué)態(tài)度走過場，甚至?xí)r間空間反復(fù)驗證充分證偽也不糾錯，憑空 想象、猜測、臆斷、捏合，不負(fù)責(zé)任胡亂結(jié)論、諱疾忌醫(yī)的事情 經(jīng)常發(fā)生。

某些既得利益者編織的反科學(xué)樊籠，嚴(yán)重禁錮了我國網(wǎng)信領(lǐng) 域自主創(chuàng)新的思想、意志和行動。尤其是涉及重大的網(wǎng)絡(luò)信息安 全問題，公然悖逆科學(xué)常識的錯謬大行其事，即便一二十年的實 踐證明過猶不及的事實俱在，也不予矯枉過正。國內(nèi)針對基礎(chǔ)設(shè) 施、關(guān)鍵技術(shù)自主創(chuàng)新提出和研發(fā)的協(xié)議、標(biāo)準(zhǔn)、見解、發(fā)明， 一再橫遭打擊、冷漠、壓制，長期得不到科學(xué)實驗和驗證的公開、 公正、公平的輿論呵護(hù)、政府扶持、法治保護(hù)和資源保障。不能 不發(fā)人深省。

一、“鏡像”替代“根域名”的謬論必須澄清

鏡像服務(wù)器可以替代根域名服務(wù)器的說法，時下又在網(wǎng)上網(wǎng) 下活躍起來。有人以此論證因特網(wǎng)“斷網(wǎng)”不可能發(fā)生，“斷網(wǎng)” 對我國網(wǎng)絡(luò)運營和服務(wù)不會有影響。“鏡花水月”的說道，竟然 錚錚有詞地成了因特網(wǎng)的“科學(xué)論斷”？

因特網(wǎng)的域名系統(tǒng)（簡稱 DNS），是通過一系列復(fù)雜運算組 合其指定的域名、IP 地址和自治域，適應(yīng)與支撐不斷演變的應(yīng)用 功能最基礎(chǔ)、核心的數(shù)字化系統(tǒng)。其中包括：

——通信協(xié)議的關(guān)聯(lián)規(guī)范（美國因特網(wǎng)工程任務(wù)組 IETF 至 2020 年 10 月共計發(fā)布了 291 個 RFC 文件）；

——注冊域名和分配的地址組成的數(shù)字化空間；

——根域名、頂級域名、權(quán)威通用域名層次化服務(wù)的體系結(jié) 構(gòu)；

——基礎(chǔ)軟件定位及實施指揮與控制（自主研發(fā)專用，或開 源“免費”使用）。

顯而易見，雖然“根域名”重要，但僅僅是因特網(wǎng)中構(gòu)成數(shù) 字化系統(tǒng)的一個子系統(tǒng)。“鏡像”根域名，不可能是照了張“全家 福”，也絕不可能反射或反應(yīng)層次化服務(wù)體系結(jié)構(gòu)的全部運轉(zhuǎn)和 運行真相。以偏概全，一葉障目，向來是哲學(xué)與科學(xué)的大忌，是 反哲學(xué)、逆科學(xué)的一貫伎倆。

換句話說，作為子系統(tǒng)的“根域名”即便是被“鏡像替代”， 也不可能規(guī)避、防止其它關(guān)聯(lián)子系統(tǒng)被攻擊或被限制，整個域名解析系統(tǒng)（DNS）停服或斷網(wǎng)仍然不可避免，仍然只能是不堪一 擊的“馬其諾防線”。

如果建幾個“鏡像服務(wù)器”就可以輕而易舉地替代“根域名” 子系統(tǒng)，黑客們完全有理由和動機(jī)在因特網(wǎng)中建上多個虛假、另 類的“根域名”子系統(tǒng)“攪得周天寒徹”，何必還整天鉆漏洞、設(shè) 木馬、放病毒呢？為什么“不”呢？是不能，還是不可能？還是 能也不能？

 “鏡像替代”論者從一開始，就將美國為實驗和驗證 IPv6 可 操作性提出的“雪人計劃”，編造成自主創(chuàng)新“鏡像替代”的故 事，為了自圓其說不斷地撒謊，甚至拉幫結(jié)派地撒謊。“帶頭大 哥”說，美國因特網(wǎng)在歐洲的根服務(wù)器有一個在英國，于是乎， 主流媒體、著名高校、科研機(jī)構(gòu)、專家學(xué)者以訛傳訛，多少年來 都異口同聲地咬定英國有因特網(wǎng)的根域名服務(wù)器。事實是，13 個 “根域名服務(wù)器”系統(tǒng)有一個在荷蘭、一個在瑞典，30 多年從 未改變過，公開信息，稍微查一下就明了。盲目崇信“權(quán)威”、 “教授”不科學(xué)、不嚴(yán)謹(jǐn)麻木如此，不嚴(yán)肅、不負(fù)責(zé)荒謬這般， 可見我國網(wǎng)信樊籠害人匪淺。

還有多少這樣愚弄我國網(wǎng)民、網(wǎng)信從業(yè)人士、主政網(wǎng)信官員 的事情和是非，真應(yīng)該好好查查、清清、算算！

二、“盲人摸象”式地“創(chuàng)新”研發(fā)必須扭轉(zhuǎn)

科學(xué)道路上沒有捷徑。有人提出“通過鏡像頂級域名的數(shù)據(jù)，作為根域名鏡像方案的缺失互補(bǔ)和頂級域名被停服的備份”，自我標(biāo)榜地稱之為“拍案叫絕的”創(chuàng)新。實際上，掩蓋了缺乏核心 協(xié)議基礎(chǔ)研發(fā)的安全隱患，套上嘩眾取寵的“馬甲”掩耳盜鈴， 在錯誤的方向和道路上漸行漸遠(yuǎn)。

1）根據(jù)中國信息通信研究院的報告（信通院 2020-6），截至 2019 年 12 月，我國域名注冊市場規(guī)模為 5,108.8 萬個，其中，國 家頂級域“.CN”域名 2,300 萬個；“.COM”域名 1,566 萬個；合 計占我國域名市場的 75.7%?；钴S域名數(shù)量分布：

圖 1 可見，我國活躍域名的解析超過 91%依賴于境外服務(wù)。是境內(nèi)網(wǎng)信樊籠鎖住了境內(nèi)的自主服務(wù)，還是境外網(wǎng)信樊籠關(guān)閉 了境內(nèi)的自主服務(wù)？還是境內(nèi)境外聯(lián)合構(gòu)成了封殺封閉我國境內(nèi)域名解析自主創(chuàng)新的網(wǎng)信樊籠？

2）根據(jù)對全球互聯(lián)網(wǎng)公共（遞歸）域名服務(wù)器的監(jiān)測統(tǒng)計， 截至 2020 年 12 月 4 日，中國大陸擁有公共域名服務(wù)器（僅僅是 53 端口/UDP）的數(shù)量為 776,618 臺，占全球總數(shù)的 39.97%。請 注意，這是在動態(tài)變化的數(shù)量，例如，10 月 22 日的數(shù)量為 1,106,552 臺，占全球總數(shù)的 46.18%。

那么，是誰以及為誰提供公共的 DNS 服務(wù)？作為域名空間 入口的遞歸域名解析服務(wù)，在我國處于良莠不齊的混沌境地，安 全監(jiān)管嚴(yán)重缺失。這是不是長期盤根錯節(jié)的網(wǎng)信樊籠所致？

3）內(nèi)容分發(fā)網(wǎng)絡(luò)（簡稱 CDN，又被稱為是“加速”網(wǎng)），正 在被大量普遍地針對性應(yīng)用于中國的網(wǎng)絡(luò)信息領(lǐng)域，方興未艾。CDN 是疊加在傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的虛擬網(wǎng)，借助于 DNS 實現(xiàn) 用戶定位（負(fù)載均衡）重定向，即選擇（確定）終端用戶與業(yè)務(wù) 服務(wù)之間的最佳匹配（如最短響應(yīng)時間及路徑）。

其中一個典型的隱性特點是，通過傳統(tǒng)的域名解析，數(shù)據(jù)不 再映射到 IP 地址，而是轉(zhuǎn)換（旋轉(zhuǎn)）到預(yù)設(shè)置的域名“別名” （簡稱 CNAME），進(jìn)而不透明地實現(xiàn)對業(yè)務(wù)和應(yīng)用（包括數(shù)據(jù) 流）指揮與控制的實時動態(tài)轉(zhuǎn)移（或曰時空遷移）。

例如，美國駐中國大使館（其各領(lǐng)事館也是相同模式），以 頂級域名“.CN”注冊了其權(quán)威域名。在實際應(yīng)用時，通過“別 名”（CNAME）實時轉(zhuǎn)移（旋轉(zhuǎn)）到美國 Akamai 公司在美國境 內(nèi)的托管服務(wù)：

傳統(tǒng)域名解析服務(wù)模式被 CNAME 實時旋轉(zhuǎn)模式顛覆，似乎 是“神不知鬼不覺”，如何能夠鏡像？又如何能夠?qū)崿F(xiàn)“鏡像替 代”？這究竟是誰針對誰的“拍案叫絕”？

試圖“以頂級域名的鏡像應(yīng)對頂級域名的停服”，還必須兼 顧對域名空間入口（遞歸服務(wù)）的信息同步，小范圍也許可以做 到，在全國全網(wǎng)是不可能實現(xiàn)的。這種一廂情愿臆想臆斷地“盲 人摸象”，也許是對網(wǎng)信樊籠的一種下意識地掙扎，卻只能是毫 無科學(xué)力量支撐地徒勞。

三、美國對我斷網(wǎng)停服的技術(shù)必然性不可否認(rèn)

 “鏡像替代”論者斷言，“互聯(lián)網(wǎng)（Internet）的‘DNS 根服 務(wù)器’不是‘核按鈕’”。曾幾何時，多家媒體大加渲染這個“正 確答案”。

因特網(wǎng)應(yīng)用中，有一個專用術(shù)語是“終止開關(guān)”（Kill Switch）， 即在緊急情況下關(guān)閉所控制的網(wǎng)絡(luò)或服務(wù)的安全功能。這就像是 家家戶戶那個“總電門”。這也是因特網(wǎng)的常識。

2016 年 7 月 12 日，美國因特網(wǎng)域名與數(shù)字分配機(jī)構(gòu) ICANN 發(fā)表官方博文，題為：“何謂互聯(lián)網(wǎng)（Internet）終止開關(guān)？誰有鑰匙（密碼）？”文中回答，域名根的解析服務(wù)需要加密驗證， 由 ICANN 負(fù)責(zé)，所運用的先進(jìn)技術(shù)是 KSK（密鑰簽名密鑰）， 也是互聯(lián)網(wǎng)（Internet）的鑰匙。宣示了因特網(wǎng)“終止開關(guān)”的存 在。ICANN 自 2019 年以來連續(xù)兩年部署和實施“DNS 執(zhí)行日” （DNS Flag Day），為“無縫地過渡到未來 30 年 DNS 時代”奠 定基礎(chǔ)。

上世紀(jì)九十年代（或更早），美國國家安全局（NSA）就已經(jīng) 提出和實踐在網(wǎng)絡(luò)信息環(huán)境攻防的“武器化”。目前仍在使用的 “XKeyScore”網(wǎng)絡(luò)監(jiān)聽工具，業(yè)內(nèi)稱為“敲響 DNS 喪鐘”的“悠 悠牛鈴聲”（MoreCowBell）等，都是典型的“武器化”工具和手 段，主要依托于被預(yù)置在硬件和軟件及通信協(xié)議中的后門及暗樁。2020 年 9 月 30 日，美國國防部發(fā)布“數(shù)據(jù)戰(zhàn)略”，強(qiáng)調(diào)數(shù)據(jù)“武 器系統(tǒng)”，正式拉開搶占“信息優(yōu)勢”和“決策優(yōu)勢”的帷幕。

DNS 既具有網(wǎng)絡(luò)通信“電話簿”作用，更是類似于“北斗” 和 GPS 的因特網(wǎng)“定位”系統(tǒng)，以及指揮和控制中樞。在 DNS 近 40 年沿革和發(fā)展的歷史中，可見三個主要階段：

上述“正確答案”，顯然是沉浸（或停留在）上世紀(jì)九十年代 的慣性思維不思進(jìn)取，對某些專家和國人的思想、意志和行為的 誤導(dǎo)，是我國網(wǎng)信樊籠深度阻遏與羈絆的表現(xiàn)。

終止開關(guān)是美國 ICANN 明示的因特網(wǎng)最關(guān)鍵、最核心、最 深或最高層次嚴(yán)密控制的“暗樁”，是可以瞬間指向因特網(wǎng)覆蓋 的任一區(qū)域性、局域性、行業(yè)性、專業(yè)性范疇令其斷網(wǎng)停服（癱 瘓網(wǎng)絡(luò)）的控制中心。因特網(wǎng)的“終止開關(guān)”就是“核按鈕”，一 旦啟動，必然會對我國政治經(jīng)濟(jì)社會發(fā)展產(chǎn)生影響深遠(yuǎn)的巨大綜 合破壞力。否認(rèn)因特網(wǎng)“終止開關(guān)”的“核按鈕”性質(zhì)與功能， 不是什么技術(shù)創(chuàng)新，更不是什么“大義凜然”，而是蓄意掩飾“帝 國主義忘我之心不死”的真相，是麻痹我們心智、束縛我們手腳 的別有用心。

習(xí)近平總書記告誡全黨全軍和全國人民，“沒有意識到風(fēng)險 是最大的風(fēng)險。”預(yù)判風(fēng)險所在是防范風(fēng)險的前提，把握風(fēng)險走 向是謀求戰(zhàn)略主動的關(guān)鍵。

久在樊籠里，復(fù)得返自然。堅定不移地建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字 中國，堅持維護(hù)國家主權(quán)、安全、發(fā)展利益，全黨全軍全國人民 同心同德，頑強(qiáng)奮斗，自力更生，自主創(chuàng)新，一定能夠全面開創(chuàng) 我國網(wǎng)信領(lǐng)域的新時代、新征程、新發(fā)展格局。

（感謝邱實對本文提供的技術(shù)指導(dǎo)。本文完稿于 2020年12月7日。）