30

Я пытаюсь выяснить, что может произойти, и что может произойти - я нахожусь в Великобритании и владею британскими доменами, а также иностранными доменами, такими как TLD в России и США, например, domain.co.uk, domain .ru, domain.us.

Я не до конца понимаю, как работает DNS, но я пытаюсь выяснить, есть ли у меня иностранные TLD, и они размещены на сервере, который находится в моей стране, может ли доступ к URL быть остановлен или ограничен принимающая страна TLD, а затем, если это возможно, есть ли вероятность того, что это произойдет в случае их участия в войне или крупном политическом расколе между странами?

  • Возможно ли физически, чтобы страна могла ограничить или запретить доступ к своим конкретным TLD из некоторых или всех других стран? (Например, США и Россия в состоянии войны, возможно ли физически помешать России получить доступ к своим доменам .us?)
  • Возможно ли, что ДВУ будут ограничены или запрещены каким-либо образом? Достигнет ли это какой-либо выгоды для какой-либо страны? (Например, Великобритания и США на войне, будет ли у США какое-либо преимущество запретить Великобритании доступ к своим доменам .uk?)
  • Будет ли какая-либо страна ограничивать доступ своей страны к ДВУ других стран? (Например, Великобритания воюет с Россией, будет ли у Великобритании какая-либо причина запретить доступ к русским сайтам?)

3 ответа3

35

Я пытаюсь выяснить, есть ли у меня иностранные ДВУ, и размещены ли они на сервере, который находится в моей стране, может ли доступ к URL-адресу быть остановлен или ограничен страной-хозяином ДВУ

Короткий ответ - да (но, пожалуйста, не думайте только об URL-адресах, то есть в Интернете, но не о каких-либо услугах, таких как электронная почта, VOIP и т.д.)

Вот почему. Корень DNS IANA делегирует каждый TLD некоторым реестрам. рДВУ делегируются реестрами по контракту с ICANN, а реестры нДВУ делегируются правительствам соответствующих стран, каждый из которых решает технически, как управляется нДВУ (существует множество моделей: иногда он все еще управляется самим правительством, иногда Аутсорсинг некоммерческой организации, а иногда ее просто ставят на тендер на лучшее предложение, включая компании).

Эти реестры управляют серверами имен, в которых затем делегируются все зарегистрированные домены в рамках ДВУ через записи NS.

Иными словами, без какого-либо кэша каждый доступ к доменному имени в TLD для его разрешения в какой-то момент поступает на сервер имен TLD. Следовательно, теоретически они могут ответить на что угодно и перенаправить ваш домен на что угодно.

Это ограничено, поскольку DNS имеет кэш, поэтому сервер имен TLD не будет запрашиваться при каждом разрешении, только в течение некоторого времени.

Этот процесс легко увидеть, используя dns +trace , например:

dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
.           6313    IN  NS  a.root-servers.net.
.           6313    IN  NS  b.root-servers.net.
.           6313    IN  NS  c.root-servers.net.
.           6313    IN  NS  d.root-servers.net.
.           6313    IN  NS  e.root-servers.net.
.           6313    IN  NS  f.root-servers.net.
.           6313    IN  NS  g.root-servers.net.
.           6313    IN  NS  h.root-servers.net.
.           6313    IN  NS  i.root-servers.net.
.           6313    IN  NS  j.root-servers.net.
.           6313    IN  NS  k.root-servers.net.
.           6313    IN  NS  l.root-servers.net.
.           6313    IN  NS  m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms

fr.         172800  IN  NS  f.ext.nic.fr.
fr.         172800  IN  NS  d.ext.nic.fr.
fr.         172800  IN  NS  g.ext.nic.fr.
fr.         172800  IN  NS  e.ext.nic.fr.
fr.         172800  IN  NS  d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms

openstreetmap.fr.   172800  IN  NS  a.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  c.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms

www.openstreetmap.fr.   10800   IN  CNAME   osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800  IN  A   217.182.186.67
openstreetmap.fr.   10800   IN  NS  b.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  a.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms

Вы можете увидеть каждый шаг рекурсивно, слева метка (root, затем TLD, затем домен, затем окончательное имя хоста) и справа в NS записывает авторитетные серверы имен на каждом шаге, сначала IANA для корня, затем один для TLD, затем один для доменного имени.

На каждом этапе сервер имен может лгать и давать ложный ответ, как любые активные элементы в пути могут изменить либо запрос, либо ответ. DNSSEC обеспечивает некоторую защиту от этого, но сначала не все домены защищены DNSSEC (на самом деле их очень мало), а затем это не может разрешить "мошеннический" TLD.

Это техническая часть. Ваши другие вопросы - больше политическая проблема. Но обратите внимание, что по этим же причинам некоторые страны решили или, по крайней мере, объявили, что хотят использовать свой собственный корень DNS. Смысл в том, что нынешний корень находится под наблюдением США (что является сложным вопросом, о котором можно спорить бесконечно, поэтому я не буду развивать этот конкретный момент здесь и сейчас), и некоторые страны опасаются, что США могут "подвергнуть цензуре" ДВУ таким образом. особенно в некоторых странах, которые правительство США считает врагами. Однако многие актеры считают, что если это когда-нибудь произойдет, это будет метафорически на том же уровне, что и ядерная атака, и приведет к фрагментации Интернета таким образом, что его никогда не объединят.

Обратите внимание, например, на этот случай: некоторые истцы подали иск о возмещении убытков за жертвы после террористической атаки и потребовали (но отказали) за то, чтобы получить контроль над прибывающими нДВУ, которые они считают источником терроризма. См. Эту статью для некоторой части этой истории: « Убийство.IR возместит жертвам терроризма: МПО на помощь?"

Другой важный момент, который также необходимо понять, заключается в том, что как только вы покупаете доменное имя в любом ДВУ, вы обязаны (даже если вы не читаете его, когда это необходимо) соблюдать правила этого ДВУ, которые определяют требования к приемлемости и любые другие ограничения, касающиеся регистрации и хранения доменного имени. Для нДВУ это особенно относится к соблюдению законов страны. А поскольку некоторые ccTLD продаются как хороший TLD для игр с доменными именами, некоторые люди не осознают этого. Например, тенденция в какой-то момент была включена .LY , и как это ни смешно, чтобы сделать красивое доменное имя, это по-прежнему является нДВУ страны "Ливия", и, следовательно, вам необходимо следовать ее законам и шариату. Некоторые компании потеряли или рискнули потерять свое доменное имя по тем же причинам. См., Например: « Проблема в умной доменной зоне: Bit.ly и другие рискуют потерять себя Swift.ly » или « Закрытие ливийского домена не представляет угрозы, настаивает bit.ly »

Так как мы находимся .LY и вы говорили о войнах, эти статьи могут дать вам некоторое представление о том, что войны могут сделать с доменными именами (TLD) или просто бороться за контроль:

Но также отметьте, что радикальные изменения могут произойти с нДВУ, даже без войн. Это (не) известный пример: « История похищенного словацкого национального домена верхнего уровня.СК "

Давайте вернемся к вашим конкретным вопросам, но учтите, что они содержат часть субъективных ответов.

Возможно ли физически, чтобы страна могла ограничить или запретить доступ к своим конкретным TLD из некоторых или всех других стран? (Например, США и Россия в состоянии войны, возможно ли физически помешать России получить доступ к своим доменам .us?)

Да, вы технически можете себе представить, что .US серверы имен отказывают в ответах на запросы, поступающие из определенных географических мест в мире. Однако это будет далеко от 100% по многим причинам: геолокация IP - это не сложная наука с 100% надежностью, DNS имеют кеш, легко использовать VPN, любой (включая людей из затронутых стран) может использовать открытый преобразователь например, Google Public DNS или CloudFlare one или Quad9 one (на самом деле это использовалось в прошлом для противодействия цензуре штата, см., например: « Google DNS Freedom Fight: 8.8.8.8 ») и т. д.

Возможно ли, что ДВУ будут ограничены или запрещены каким-либо образом? Достигнет ли это какой-либо выгоды для какой-либо страны? (Например, Великобритания и США на войне, будет ли у США какое-либо преимущество запретить Великобритании доступ к своим доменам .uk?)

Как написано выше, технически в корне IANA перечислены активные сегодня TLD. Технически это может измениться, и это изменится, но при определенных процессах, таких как раунд новых рДВУ ICANN в 2012 году. Что касается изменений в ccTLD (поскольку страны могут принять решение об изменении различных деталей своего TLD, включая технического менеджера), они должны следовать « Делегированию или передаче домена верхнего уровня с кодом страны (ccTLD) ».

Теперь кроме технической части есть "политика" в общем смысле:

  • IANA в настоящее время является скорее "функцией", чем структурой. Структура PTI (Public Technical Identifiers), которая в настоящее время является филиалом ICANN. Смотрите https://www.iana.org/about для деталей
  • ICANN - некоммерческая организация, зарегистрированная в Калифорнии, США. В последнее время он подвергся глубоким изменениям, после давления со стороны многих иностранных правительств, с тем чтобы его можно было считать более "международным" и в меньшей степени находящимся под прямым контролем со стороны правительства США, как это происходило в прошлом (см. Печально известное фиаско вокруг .XXX делегация). Теперь больше нет конкретного контракта между ICANN и правительством США специально для функций IANA.
  • Техническим оператором корневого сервера имен A, который является основным из всех, чей "корневой" сервер имен является "чисто" копией, управляет американская компания VeriSign по прямому контракту правительства США.

Будет ли какая-либо страна ограничивать доступ своей страны к ДВУ других стран? (Например, Великобритания воюет с Россией, будет ли у Великобритании какая-либо причина запретить доступ к русским сайтам?)

Это форма DNS-цензуры, и она нацелена больше на рекурсивные серверы имен, чем на авторитетные. Да, страны могут приказать местным операторам запретить доступ (точнее: разрешение) к некоторым конкретным веб-сайтам. Это происходит повсюду: в США, Германии, Франции, Китае, Австралии и т.д. (Если честно, я не уверен, что вы могли бы найти много стран, где бы не было такой цензуры) по разным причинам, основанным на местной политике и на некоторых веб-сайтах. считаются незаконными для консультаций из данной страны.

Но, как и любая форма цензуры, ее можно избежать с помощью более или менее сложных механизмов. Как и в приведенных выше примерах, когда в некоторых странах локальные рекурсивные серверы имен были запрещены для разрешения некоторых имен, люди написали 8.8.8.8 (IPv4-адрес Google Public DNS Resolver), чтобы любой мог перенастроить свою систему, чтобы использовать ее вместо локальный (лежачий) DNS-распознаватель, поскольку, очевидно, данная страна не может навязать Google изменение своих ответов на некоторые запросы. В других случаях в прошлом, когда даже Интернет как транспорт был нарушен, некоторые интернет-провайдеры в других странах предоставили телефонные линии, подключенные к модемам, по которым можно было дозвониться, чтобы снова получить доступ к Интернету, даже если все локальные интерфейсы FAI были отключены.

В настоящее время цензура DNS чаще связана с некоторыми конкретными доменными именами в нескольких TLD, но основание будет точно таким же, чтобы подвергать цензуре весь TLD.

Эта техническая статья может дать вам много подробностей о том, как это делается, и как ее обойти: « Цензура DNS (ложь DNS), как видно из атласа RIPE »

Эта единственная точка DNS/ интернет-цензуры может быть расширена многими способами, чтобы детализировать все, что происходило в прошлом, но я надеюсь, что предыдущие пункты уже дают вам идеи о том, что технически возможно и как это вписывается в общую структуру политики / управления.

3

Это интересный вопрос. Может ли страна отказать в доступе к поддоменам своего ccTLD? Да. Возможно ли, даже отдаленно, что они это сделают? Нет.

Если кто-то перемещается по вашим адресам domain.ru, его распознаватели в конечном итоге отправляются на серверы имен для ccTLD .ru и спрашивают «где находятся серверы имен для domain.ru?'

В соответствии с международными стандартами DNS является справедливым протоколом, что означает, что каждый вопрос получает ответ. Возможно, что серверы домена верхнего уровня .ru скажут «ага! этот IP-адрес из Великобритании, и мы не будем сообщать им, где находится сервер имен domain.ru, но для них это не слишком хорошо.

В конечном итоге направление для всего контролируется корневыми серверами. Это 13 независимых корневых серверов, управляемых 12 независимыми организациями, которые работают вместе для обеспечения равного доступа к DNS. Если бы это действительно произошло, корневые серверы в сотрудничестве с международными стандартными органами могли бы буквально заменить российские серверы кем-то другим. То есть вместо того, чтобы сказать «иди и найди .ru там, в России», они могли бы сказать: «иди и найди .ru здесь, в Украине».

Хотя это возможно, это действительно противоречит международному поведению и чрезвычайно маловероятно.

отредактировано: изменить формулировку, чтобы уточнить не 13 независимых организаций, а 13 корневых серверов.

0

Я пытаюсь выяснить, есть ли у меня иностранные ДВУ, и размещены ли они на сервере, который находится в моей стране, может ли доступ к URL-адресу быть остановлен или ограничен страной-хозяином ДВУ, а затем, если это возможно, есть ли вероятность того, что это произойдет в случае их участия в войне или крупном политическом расколе между странами?

Это возможно, и это уже произошло без войны.

Китаю принадлежит домен .cn TLD. Раньше был открыт для мира. Если китайское правительство захочет закрыть домен .cn, поскольку ему не нравится какое-либо содержимое, оно может изменить запись DNS этого домена .cn.

Однако это не было идеальным способом для китайского правительства управлять им, потому что кто знает, какой контент подается с какого домена .cn. Поэтому однажды правительство решило, что все домены .cn должны физически указывать на IP-адреса внутри Китая. (Если в то время у вас был домен .cn, указывающий на IP-адрес из Китая, вам дали время на миграцию или закрытие домена.)

Вынуждая людей физически размещать домены .cn внутри Китая, китайское правительство может проверять, какие услуги предоставляет каждый домен и какой контент обслуживает каждый домен. Это может даже заставить людей установить бэкдор на своих серверах, как требование поместить любой сервер в центр обработки данных. (Он попробовал эту идею на некоторое время.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .