Я пытаюсь выяснить, есть ли у меня иностранные ДВУ, и размещены ли они на сервере, который находится в моей стране, может ли доступ к URL-адресу быть остановлен или ограничен страной-хозяином ДВУ
Короткий ответ - да (но, пожалуйста, не думайте только об URL-адресах, то есть в Интернете, но не о каких-либо услугах, таких как электронная почта, VOIP и т.д.)
Вот почему. Корень DNS IANA делегирует каждый TLD некоторым реестрам. рДВУ делегируются реестрами по контракту с ICANN, а реестры нДВУ делегируются правительствам соответствующих стран, каждый из которых решает технически, как управляется нДВУ (существует множество моделей: иногда он все еще управляется самим правительством, иногда Аутсорсинг некоммерческой организации, а иногда ее просто ставят на тендер на лучшее предложение, включая компании).
Эти реестры управляют серверами имен, в которых затем делегируются все зарегистрированные домены в рамках ДВУ через записи NS.
Иными словами, без какого-либо кэша каждый доступ к доменному имени в TLD для его разрешения в какой-то момент поступает на сервер имен TLD. Следовательно, теоретически они могут ответить на что угодно и перенаправить ваш домен на что угодно.
Это ограничено, поскольку DNS имеет кэш, поэтому сервер имен TLD не будет запрашиваться при каждом разрешении, только в течение некоторого времени.
Этот процесс легко увидеть, используя dns +trace , например:
dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
. 6313 IN NS a.root-servers.net.
. 6313 IN NS b.root-servers.net.
. 6313 IN NS c.root-servers.net.
. 6313 IN NS d.root-servers.net.
. 6313 IN NS e.root-servers.net.
. 6313 IN NS f.root-servers.net.
. 6313 IN NS g.root-servers.net.
. 6313 IN NS h.root-servers.net.
. 6313 IN NS i.root-servers.net.
. 6313 IN NS j.root-servers.net.
. 6313 IN NS k.root-servers.net.
. 6313 IN NS l.root-servers.net.
. 6313 IN NS m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms
fr. 172800 IN NS f.ext.nic.fr.
fr. 172800 IN NS d.ext.nic.fr.
fr. 172800 IN NS g.ext.nic.fr.
fr. 172800 IN NS e.ext.nic.fr.
fr. 172800 IN NS d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms
openstreetmap.fr. 172800 IN NS a.dns.gandi.net.
openstreetmap.fr. 172800 IN NS c.dns.gandi.net.
openstreetmap.fr. 172800 IN NS b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms
www.openstreetmap.fr. 10800 IN CNAME osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800 IN A 217.182.186.67
openstreetmap.fr. 10800 IN NS b.dns.gandi.net.
openstreetmap.fr. 10800 IN NS a.dns.gandi.net.
openstreetmap.fr. 10800 IN NS c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms
Вы можете увидеть каждый шаг рекурсивно, слева метка (root, затем TLD, затем домен, затем окончательное имя хоста) и справа в NS записывает авторитетные серверы имен на каждом шаге, сначала IANA для корня, затем один для TLD, затем один для доменного имени.
На каждом этапе сервер имен может лгать и давать ложный ответ, как любые активные элементы в пути могут изменить либо запрос, либо ответ. DNSSEC обеспечивает некоторую защиту от этого, но сначала не все домены защищены DNSSEC (на самом деле их очень мало), а затем это не может разрешить "мошеннический" TLD.
Это техническая часть. Ваши другие вопросы - больше политическая проблема.
Но обратите внимание, что по этим же причинам некоторые страны решили или, по крайней мере, объявили, что хотят использовать свой собственный корень DNS. Смысл в том, что нынешний корень находится под наблюдением США (что является сложным вопросом, о котором можно спорить бесконечно, поэтому я не буду развивать этот конкретный момент здесь и сейчас), и некоторые страны опасаются, что США могут "подвергнуть цензуре" ДВУ таким образом. особенно в некоторых странах, которые правительство США считает врагами. Однако многие актеры считают, что если это когда-нибудь произойдет, это будет метафорически на том же уровне, что и ядерная атака, и приведет к фрагментации Интернета таким образом, что его никогда не объединят.
Обратите внимание, например, на этот случай: некоторые истцы подали иск о возмещении убытков за жертвы после террористической атаки и потребовали (но отказали) за то, чтобы получить контроль над прибывающими нДВУ, которые они считают источником терроризма.
См. Эту статью для некоторой части этой истории: « Убийство.IR возместит жертвам терроризма: МПО на помощь?"
Другой важный момент, который также необходимо понять, заключается в том, что как только вы покупаете доменное имя в любом ДВУ, вы обязаны (даже если вы не читаете его, когда это необходимо) соблюдать правила этого ДВУ, которые определяют требования к приемлемости и любые другие ограничения, касающиеся регистрации и хранения доменного имени. Для нДВУ это особенно относится к соблюдению законов страны.
А поскольку некоторые ccTLD продаются как хороший TLD для игр с доменными именами, некоторые люди не осознают этого. Например, тенденция в какой-то момент была включена .LY , и как это ни смешно, чтобы сделать красивое доменное имя, это по-прежнему является нДВУ страны "Ливия", и, следовательно, вам необходимо следовать ее законам и шариату. Некоторые компании потеряли или рискнули потерять свое доменное имя по тем же причинам. См., Например: « Проблема в умной доменной зоне: Bit.ly и другие рискуют потерять себя Swift.ly » или « Закрытие ливийского домена не представляет угрозы, настаивает bit.ly »
Так как мы находимся .LY и вы говорили о войнах, эти статьи могут дать вам некоторое представление о том, что войны могут сделать с доменными именами (TLD) или просто бороться за контроль:
Но также отметьте, что радикальные изменения могут произойти с нДВУ, даже без войн. Это (не) известный пример: « История похищенного словацкого национального домена верхнего уровня.СК "
Давайте вернемся к вашим конкретным вопросам, но учтите, что они содержат часть субъективных ответов.
Возможно ли физически, чтобы страна могла ограничить или запретить доступ к своим конкретным TLD из некоторых или всех других стран? (Например, США и Россия в состоянии войны, возможно ли физически помешать России получить доступ к своим доменам .us?)
Да, вы технически можете себе представить, что .US серверы имен отказывают в ответах на запросы, поступающие из определенных географических мест в мире. Однако это будет далеко от 100% по многим причинам: геолокация IP - это не сложная наука с 100% надежностью, DNS имеют кеш, легко использовать VPN, любой (включая людей из затронутых стран) может использовать открытый преобразователь например, Google Public DNS или CloudFlare one или Quad9 one (на самом деле это использовалось в прошлом для противодействия цензуре штата, см., например: « Google DNS Freedom Fight: 8.8.8.8 ») и т. д.
Возможно ли, что ДВУ будут ограничены или запрещены каким-либо образом?
Достигнет ли это какой-либо выгоды для какой-либо страны? (Например, Великобритания и США на войне, будет ли у США какое-либо преимущество запретить Великобритании доступ к своим доменам .uk?)
Как написано выше, технически в корне IANA перечислены активные сегодня TLD. Технически это может измениться, и это изменится, но при определенных процессах, таких как раунд новых рДВУ ICANN в 2012 году. Что касается изменений в ccTLD (поскольку страны могут принять решение об изменении различных деталей своего TLD, включая технического менеджера), они должны следовать « Делегированию или передаче домена верхнего уровня с кодом страны (ccTLD) ».
Теперь кроме технической части есть "политика" в общем смысле:
- IANA в настоящее время является скорее "функцией", чем структурой. Структура PTI (Public Technical Identifiers), которая в настоящее время является филиалом ICANN. Смотрите https://www.iana.org/about для деталей
- ICANN - некоммерческая организация, зарегистрированная в Калифорнии, США. В последнее время он подвергся глубоким изменениям, после давления со стороны многих иностранных правительств, с тем чтобы его можно было считать более "международным" и в меньшей степени находящимся под прямым контролем со стороны правительства США, как это происходило в прошлом (см. Печально известное фиаско вокруг
.XXX делегация). Теперь больше нет конкретного контракта между ICANN и правительством США специально для функций IANA.
- Техническим оператором корневого сервера имен A, который является основным из всех, чей "корневой" сервер имен является "чисто" копией, управляет американская компания VeriSign по прямому контракту правительства США.
Будет ли какая-либо страна ограничивать доступ своей страны к ДВУ других стран? (Например, Великобритания воюет с Россией, будет ли у Великобритании какая-либо причина запретить доступ к русским сайтам?)
Это форма DNS-цензуры, и она нацелена больше на рекурсивные серверы имен, чем на авторитетные. Да, страны могут приказать местным операторам запретить доступ (точнее: разрешение) к некоторым конкретным веб-сайтам. Это происходит повсюду: в США, Германии, Франции, Китае, Австралии и т.д. (Если честно, я не уверен, что вы могли бы найти много стран, где бы не было такой цензуры) по разным причинам, основанным на местной политике и на некоторых веб-сайтах. считаются незаконными для консультаций из данной страны.
Но, как и любая форма цензуры, ее можно избежать с помощью более или менее сложных механизмов. Как и в приведенных выше примерах, когда в некоторых странах локальные рекурсивные серверы имен были запрещены для разрешения некоторых имен, люди написали 8.8.8.8 (IPv4-адрес Google Public DNS Resolver), чтобы любой мог перенастроить свою систему, чтобы использовать ее вместо локальный (лежачий) DNS-распознаватель, поскольку, очевидно, данная страна не может навязать Google изменение своих ответов на некоторые запросы. В других случаях в прошлом, когда даже Интернет как транспорт был нарушен, некоторые интернет-провайдеры в других странах предоставили телефонные линии, подключенные к модемам, по которым можно было дозвониться, чтобы снова получить доступ к Интернету, даже если все локальные интерфейсы FAI были отключены.
В настоящее время цензура DNS чаще связана с некоторыми конкретными доменными именами в нескольких TLD, но основание будет точно таким же, чтобы подвергать цензуре весь TLD.
Эта техническая статья может дать вам много подробностей о том, как это делается, и как ее обойти: « Цензура DNS (ложь DNS), как видно из атласа RIPE »
Эта единственная точка DNS/ интернет-цензуры может быть расширена многими способами, чтобы детализировать все, что происходило в прошлом, но я надеюсь, что предыдущие пункты уже дают вам идеи о том, что технически возможно и как это вписывается в общую структуру политики / управления.
