Co dzieje się z TLD specyficznymi dla kraju podczas wojny z tym krajem?

30

Próbuję dowiedzieć się, co może się zdarzyć i co może się zdarzyć - mam siedzibę w Wielkiej Brytanii i posiadam własne domeny brytyjskie, a także domeny zagraniczne, takie jak rosyjskie i amerykańskie domeny najwyższego poziomu, np .: domain.co.uk, domain .ru, domain.us.

Nie do końca rozumiem, jak działa DNS, ale próbuję dowiedzieć się, czy posiadam zagraniczne domeny TLD i są one hostowane na serwerze w moim kraju, a dostęp do adresu URL można zatrzymać lub ograniczyć przez kraj będący gospodarzem TLD, a jeśli jest to możliwe, czy istnieje prawdopodobieństwo, że miałoby to miejsce w przypadku ich zaangażowania w wojnę lub poważnego załamania politycznego między krajami?

  • Czy jest fizycznie możliwe, że kraj może ograniczyć lub zakazać dostępu do swoich określonych domen TLD w niektórych lub wszystkich innych krajach? (np. wojna USA i Rosji, czy fizycznie jest możliwe, aby powstrzymać Rosję przed dostępem do ich domen .us?)
  • Czy prawdopodobne jest, że TLD zostaną w jakikolwiek sposób ograniczone lub zbanowane? Czy przyniosłoby to jakąkolwiek korzyść temu krajowi? (np. czy wojna w Wielkiej Brytanii i USA, czy USA miałyby jakąkolwiek korzyść z zakazania Wielkiej Brytanii dostępu do ich TLD .uk?)
  • Czy jakikolwiek kraj ograniczy dostęp własnego kraju do TLD innych krajów? (np. czy Wielka Brytania jest w stanie wojny z Rosją, czy Wielka Brytania miałaby powód, by zakazać dostępu do rosyjskich stron internetowych?)
5Diraptor
źródło
5
Nieco powiązany temat: .euDomeny należące do Wielkiej Brytanii nie będą już dozwolone z powodu Brexitu i najwyraźniej zostaną one zamknięte: dot-eu-is-going.uk
a_horse_with_no_name
1
@a_horse_with_no_name Oficjalna strona główna w rejestrze na temat wszystkich informacji związanych z Brexitem : eurid.eu/en/register-a-eu-domain/brexit-notice . TL; DR: sytuacja nie jest jasna, nigdy nie była od miesięcy, prawdopodobnie też nie będzie w nadchodzących miesiącach
Patrick Mevzek
@a_horse_with_no_name - ciekawe, że ten link ma teraz kilka dat - 1 stycznia domena .eu zamyka się najwyraźniej dla mieszkańców Wielkiej Brytanii ... Jak to możliwe, gdy Brexit nadal nie został uzgodniony?
5Diraptor,

Odpowiedzi:

35

Próbuję się dowiedzieć, czy posiadam zagraniczne domeny TLD i są one hostowane na serwerze w moim kraju, a dostęp do adresu URL może zostać zatrzymany lub ograniczony przez kraj hostujący TLD

Krótka odpowiedź brzmi „tak” (ale proszę nie myśleć tylko o adresach URL, czyli Internecie, ale o wszelkiego rodzaju usługach, takich jak e-mail, VoIP itp.)

Oto dlaczego. Katalog główny IANA DNS deleguje każdą TLD do niektórych rejestrów. gTLD są delegowane przez rejestry na podstawie umowy z ICANN, a rejestry ccTLD są delegowane do rządów odpowiednich krajów, które pod względem technicznym decydują o sposobie zarządzania ccTLD (istnieje wiele modeli: czasami jest on nadal zarządzany przez sam rząd, czasem jest zleca na zewnątrz organizację non-profit, a czasem jest ona poddawana przetargom na najlepszą ofertę, w tym firmy).

Rejestry te zarządzają serwerami nazw, w których następnie każda zarejestrowana domena w ramach TLD jest delegowana poprzez rekordy NS.

Inaczej mówiąc, bez żadnej pamięci podręcznej, każdy dostęp do nazwy domeny w TLD, w celu jej rozstrzygnięcia, w pewnym momencie przychodzi do serwera nazw TLD. Dlatego teoretycznie mogą odpowiedzieć na wszystko i przekazać twoją domenę na cokolwiek innego.

Jest to ograniczone, ponieważ DNS ma pamięć podręczną, więc serwer nazw TLD nie będzie sprawdzany przy każdej rozdzielczości, tylko przez pewien czas.

Ten proces można łatwo zobaczyć za pomocą dns +trace, takich jak:

dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
.           6313    IN  NS  a.root-servers.net.
.           6313    IN  NS  b.root-servers.net.
.           6313    IN  NS  c.root-servers.net.
.           6313    IN  NS  d.root-servers.net.
.           6313    IN  NS  e.root-servers.net.
.           6313    IN  NS  f.root-servers.net.
.           6313    IN  NS  g.root-servers.net.
.           6313    IN  NS  h.root-servers.net.
.           6313    IN  NS  i.root-servers.net.
.           6313    IN  NS  j.root-servers.net.
.           6313    IN  NS  k.root-servers.net.
.           6313    IN  NS  l.root-servers.net.
.           6313    IN  NS  m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms

fr.         172800  IN  NS  f.ext.nic.fr.
fr.         172800  IN  NS  d.ext.nic.fr.
fr.         172800  IN  NS  g.ext.nic.fr.
fr.         172800  IN  NS  e.ext.nic.fr.
fr.         172800  IN  NS  d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms

openstreetmap.fr.   172800  IN  NS  a.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  c.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms

www.openstreetmap.fr.   10800   IN  CNAME   osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800  IN  A   217.182.186.67
openstreetmap.fr.   10800   IN  NS  b.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  a.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms

Możesz zobaczyć każdy krok rekurencyjnie, po lewej stronie etykiety (root, następnie TLD, następnie domena, a następnie końcowa nazwa hosta), a po prawej stronie w NSrejestrze autorytatywne serwery nazw na każdym kroku, najpierw IANA dla roota, potem te dla TLD, a następnie dla nazwy domeny.

Na każdym kroku serwer nazw może kłamać i zapewniać fałszywą odpowiedź, tak jak każdy aktywny element na ścieżce może zmienić zapytanie lub odpowiedź. DNSSEC zapewnia pewne zabezpieczenia przed tym, ale najpierw nie wszystkie domeny są chronione za pomocą DNSSEC (w rzeczywistości bardzo niewiele), a następnie nie można rozwiązać „nieuczciwej” TLD.

To jest część techniczna. Twoje pozostałe pytania są bardziej problemem politycznym. Pamiętaj jednak, że z tych samych powodów niektóre kraje zdecydowały lub przynajmniej ogłosiły, że chcą obsługiwać własny katalog główny DNS. Uzasadnieniem jest to, że obecny rdzeń znajduje się pod nadzorem USA (co jest kwestią skomplikowaną, którą można by bez końca argumentować, więc nie będę rozwijał tej konkretnej kwestii tu i teraz), a niektóre kraje obawiają się, że USA mogą „cenzurować” TLD w ten sposób , szczególnie niektóre kraje uważane przez rząd USA za wrogów. Jednak wielu aktorów uważa, że ​​jeśli kiedyś tak się stanie, nastąpi to metaforycznie na tym samym poziomie co atak nuklearny i rozpadnie Internet w sposób, który może nigdy nie zostać z powrotem połączony.

Zwróćmy na przykład uwagę na tę sprawę: niektórzy powodowie pozywali o odszkodowanie za straty po ataku terrorystycznym i domagali się (ale odmówiono) za to, aby uzyskać kontrolę nad ccTLD, które uważali za źródło terroryzmu. Zobacz ten artykuł, aby znaleźć część tej historii: „ Zabijanie .IR w celu zrekompensowania ofiarom terroryzmu: IGO na ratunek?

Inną ważną kwestią, którą należy najpierw zrozumieć, jest to, że jak tylko kupisz nazwę domeny w dowolnej TLD, jesteś związany (nawet jeśli nie czytasz go, kiedy powinieneś) przepisami tego TLD, które określają wymagania kwalifikacyjne i wszelkie inne ograniczenia związane z rejestracją i utrzymywaniem nazwy domeny. W przypadku ccTLD dotyczy to w szczególności przestrzegania prawa danego kraju. A ponieważ niektóre ccTLD są sprzedawane jako ładne TLD do gier nazw domenowych, niektórzy ludzie nie zdają sobie z tego sprawy. Na przykład trend w pewnym momencie był włączony .LYi choć zabawne, jak chcesz na niego spojrzeć, aby zrobić fajną nazwę domeny, wciąż jest to ccTLD kraju „Lybia”, a zatem musisz przestrzegać jego praw i szariatu. Niektóre firmy straciły lub zaryzykowały utratę nazwy domeny z tych samych powodów. Zobacz na przykład:Kłopoty w Clever Domain Land: Bit.ly i inni ryzykują utratę Swift.ly ”lub„ libijskie zamknięcie domeny nie stanowi zagrożenia, nalega bit.ly

Skoro już jesteśmy .LYi mówiłeś o wojnach, artykuły te mogą dać ci pewien wgląd w to, co wojny mogą zrobić z nazwami domen (TLD) lub po prostu zmagać się z kontrolami:

Ale zauważ też, że drastyczne zmiany mogą zdarzyć się w ccTLD, nawet bez wojen. Oto (nie) znany przykład: „ Historia skradzionej słowackiej domeny najwyższego poziomu narodowego .SK

Wróćmy do konkretnych pytań, ale pamiętaj, że dotyczą one części subiektywnych odpowiedzi.

Czy jest fizycznie możliwe, że kraj może ograniczyć lub zakazać dostępu do swoich określonych domen TLD w niektórych lub wszystkich innych krajach? (np. wojna USA i Rosji, czy fizycznie jest możliwe, aby powstrzymać Rosję przed dostępem do ich domen .us?)

Tak, technicznie można sobie wyobrazić, że .USserwery nazw odmawiają odpowiedzi na zapytania pochodzące z określonych miejsc geograficznych na świecie. Byłoby to jednak dalekie od 100% z wielu powodów: geolokalizacja IP nie jest twardą nauką ze 100% niezawodnością, DNS ma pamięci podręczne, łatwo jest korzystać z VPN, każdy (w tym ludzie z krajów dotkniętych problemem) mógłby użyć otwartego resolvera , takich jak Google Public DNS lub CloudFlare one lub Quad9 one (w rzeczywistości było to używane w przeszłości do przeciwdziałania cenzurze stanu, patrz na przykład: „ Google DNS Freedom Fight: 8.8.8.8 ”) itp.

Czy prawdopodobne jest, że TLD zostaną w jakikolwiek sposób ograniczone lub zbanowane? Czy przyniosłoby to jakąkolwiek korzyść temu krajowi? (np. czy wojna w Wielkiej Brytanii i USA, czy USA miałyby jakąkolwiek korzyść z zakazania Wielkiej Brytanii dostępu do ich TLD .uk?)

Jak napisano powyżej, technicznie główny katalog IANA zawiera listę aktywnych TLD dzisiaj. Technicznie może się to zmienić i to się zmienia, ale w ramach określonych procesów, takich jak nowa runda gTLD ICANN w 2012 r. Jeśli chodzi o zmiany w ccTLD (ponieważ kraje mogą zdecydować o zmianie różnych szczegółów swojej TLD, w tym kierownika technicznego), muszą przestrzegać „ Delegowanie lub przeniesienie domeny najwyższego poziomu z kodem kraju (ccTLD) ”.

Teraz oprócz części technicznej istnieje „polityka” w sensie ogólnym:

  • IANA jest obecnie bardziej „funkcją” niż strukturą. Struktura to PTI (publiczne identyfikatory techniczne), który jest obecnie podmiotem stowarzyszonym z ICANN. Szczegółowe informacje można znaleźć na stronie https://www.iana.org/about
  • ICANN jest organizacją non-profit zarejestrowaną w Kalifornii w USA. Przeszedł ostatnio głęboki zestaw zmian, po presji ze strony wielu zagranicznych rządów, aby można go było postrzegać jako bardziej „międzynarodowy”, a mniej pod bezpośrednią kontrolą rządu USA, tak jak to miało miejsce w przeszłości (patrz osławione fiasko wokół .XXXdelegacji) . Teraz nie ma już konkretnej umowy między ICANN a rządem USA, specjalnie na funkcje IANA.
  • technicznym operatorem serwera nazw root, który jest mistrzem wszystkich, z których każdy inny serwer nazw serwerów jest „wyłącznie” kopią, zarządzany jest przez VeriSign, amerykańską spółkę na podstawie bezpośredniej umowy rządu USA.

Czy jakikolwiek kraj ograniczy dostęp własnego kraju do TLD innych krajów? (np. czy Wielka Brytania jest w stanie wojny z Rosją, czy Wielka Brytania miałaby powód, by zakazać dostępu do rosyjskich stron internetowych?)

Jest to forma cenzury DNS i dotyczy bardziej rekurencyjnych serwerów nazw niż autorytatywnych. Tak, kraje mogą nakazać lokalnym operatorom zabronić dostępu (a dokładniej: rozstrzyganie) do niektórych określonych stron internetowych. Dzieje się tak wszędzie: w USA, Niemczech, Francji, Chinach, Australii itp. (Szczerze mówiąc, nie jestem pewien, czy można znaleźć wiele krajów bez takiej cenzury) z różnych powodów w oparciu o lokalną politykę i niektóre strony internetowe uważa się za nielegalne konsultacje z danego kraju.

Ale jak każda forma cenzury można tego uniknąć dzięki mniej lub bardziej skomplikowanym mechanizmom. Podobnie jak w przykładach podanych powyżej, gdy w niektórych krajach lokalne rekurencyjne serwery nazw zostały zakazane w celu rozwiązania niektórych nazw, ludzie napisali 8.8.8.8(adres IPv4 Google Public DNS Resolver), aby każdy mógł zmienić konfigurację systemu, aby używał go zamiast lokalnego (kłamstwo ) DNS resolver, ponieważ, rzecz jasna, dany kraj nie mógł narzucić Google zmiany odpowiedzi na niektóre zapytania. W innych przypadkach w przeszłości, w których nawet Internet jako transport był zakłócany, niektórzy usługodawcy internetowi w innych krajach udostępniali linie telefoniczne podłączone do modemów, na które można zadzwonić, aby ponownie uzyskać dostęp do Internetu, nawet jeśli wszystkie lokalne FAI zostały wyłączone.

Cenzura DNS jest obecnie częściej związana z niektórymi konkretnymi nazwami domen w wielu TLD, ale podstawa byłaby dokładnie taka sama, aby ocenzurować całą TLD.

Ten artykuł techniczny może dać ci wiele perspektyw zarówno na temat tego, jak to się robi, jak i na obejście: „ Cenzura DNS (kłamstwa DNS), jak widać w RIPE Atlas

Ten jedyny punkt cenzury DNS / Internetu można rozszerzyć na wiele sposobów, aby szczegółowo opisać wszystko, co wydarzyło się w przeszłości, ale mam nadzieję, że poprzednie punkty już dają pomysły na to, co jest technicznie możliwe i jak to pasuje do całych ram polityki / zarządzania.

Patrick Mevzek
źródło
3

To interesujące pytanie. Czy kraj może odmówić dostępu do poddomen swojej domeny ccTLD? Tak. Czy to możliwe, nawet zdalnie, że zrobiliby to? Nie.

Jeśli ktoś nawiguje do twoich adresów domain.ru, ich resolwery ostatecznie trafią na serwery nazw dla domeny .ru ccTLD i zapytają „gdzie są serwery nazw dla domain.ru?”.

Zgodnie ze standardami międzynarodowymi DNS jest uczciwym protokołem, co oznacza, że ​​każde pytanie otrzymuje odpowiedź. Możliwe, że serwery TLD .ru powiedzą „aha! ten adres IP pochodzi z Wielkiej Brytanii i nie powiemy im, gdzie jest serwer nazw domain.ru, ale nie byłoby to dla nich dobre.

Ostatecznie kierunek wszystkiego jest kontrolowany przez serwery root. Jest to 13 niezależnych serwerów głównych, obsługiwanych przez 12 niezależnych organizacji, które współpracują ze sobą, aby zachować równy dostęp do DNS. Gdyby tak się naprawdę stało, serwery root we współpracy ze standardowymi organami międzynarodowymi mogłyby dosłownie zastąpić serwery rosyjskie kimś innym. To znaczy, zamiast powiedzieć „idź znaleźć .ru tam w Rosji”, mogliby powiedzieć „idź znaleźć .ru tutaj w Urkrainie”.

Chociaż jest to możliwe, naprawdę jest sprzeczne z wszelkimi zachowaniami międzynarodowymi i jest wyjątkowo mało prawdopodobne.

edytowane: zmień sformułowania, aby wyjaśnić nie 13 niezależnych organizacji, ale 13 serwerów głównych.


źródło
1
Jako dowód na to, jak mało prawdopodobne jest wyłączenie ccTLD: .SUccTLD dla Związku Radzieckiego, kraju, który nie istniał przez ponad ćwierć wieku, wciąż żyje i ma się dobrze.
Calle Dybedahl
Bardzo interesująca i szczegółowa odpowiedź, dzięki! Czy to oznacza, że ​​jedyną kontrolą kraju goszczącego jest kontrola serwerów znajdujących się w tym kraju? A jeśli moja domena .ru wskazywała na serwer, który był w Wielkiej Brytanii, to Rosja nie ma sposobu na przerwanie usługi?
5Diraptor
Nie mogę ręczyć za jego dokładność, ale właśnie to znalazłem: theregister.co.uk/2017/12/01/russia_own_internet
5Diraptor
Aby nitpick, istnieje 13 logicznych serwerów głównych, ale nie 13 organizacji. Na przykład dwoma z nich (A i J) zarządza VeriSign. Zobacz root-servers.org, który wyraźnie stwierdza: Na dzień 15.06.2018 system serwerów root składa się z 928 instancji obsługiwanych przez 12 niezależnych operatorów serwerów root.
Patrick Mevzek,
3
@CalleDybedahl .sujest znanym przykładem, ale na pewno nie jest regułą. Masz dzisiaj .ski .czpo podziale i .cszniknąłeś. Same dla .yuktóry zniknął być zastąpione .si, .hr, .rsi .ms.
Patrick Mevzek,
0

Próbuję dowiedzieć się, czy posiadam zagraniczne domeny TLD i są one hostowane na serwerze, który znajduje się w moim kraju, czy dostęp do adresu URL może zostać zatrzymany lub ograniczony przez kraj będący gospodarzem TLD, a jeśli to możliwe, czy istnieje prawdopodobieństwo, że stanie się tak w przypadku ich zaangażowania w wojnę lub poważnego załamania politycznego między krajami?

Jest to możliwe i stało się to już bez wojny.

Chiny są właścicielami domeny .cn TLD. Kiedyś był otwarty na świat. Jeśli rząd chiński chciałby usunąć domenę .cn, ponieważ nie lubi niektórych treści, mógłby zmienić rekord DNS tej domeny .cn.

Jednak nie był to doskonały sposób na zarządzanie tym przez chiński rząd, ponieważ kto wie, jakie treści są obsługiwane z jakiej domeny .cn. Więc pewnego dnia rząd zdecydował, że wszystkie domeny .cn muszą fizycznie wskazywać adresy IP w Chinach. (Jeśli posiadałeś domenę .cn wskazującą na adres IP spoza Chin w tym czasie, dali ci trochę czasu na migrację lub zamknięcie domeny.)

Zmuszając ludzi do fizycznego hostowania domen .cn w Chinach, chiński rząd może sprawdzić, jakie usługi zapewnia każda domena i jakie treści obsługuje każda domena. Może nawet zmusić ludzi do zainstalowania backdoora na swoich serwerach jako wymogu umieszczenia dowolnego serwera w centrum danych. (Przez jakiś czas próbował tego pomysłu).

Cat Chen
źródło