想想美國為什麼怕華為，就能明白網絡攻擊會從哪下手！_風聞

风云之声-风云之声官方账号-2019-05-17 07:26

2019-05-17

【袁嵐峯，中國科學技術大學化學博士，中國科學技術大學合肥微尺度物質科學國家研究中心副研究員，科技與戰略風雲學會會長】

在上一期中（美國如果要進行網絡攻擊，能讓中國“斷網”嗎？ | 科技袁人），陳經老師提出了，美國當然也可以對中國進行“斷網”，但是他們並不會這麼做——因為這樣很愚蠢。

為什麼呢？首先，美國在明面上，是把根服務器這事説成是國際事務，如果他直接對中國斷網，那就是赤裸裸地失信於全世界，告訴大家説我就是隻為了我自己利益，那以後別人還會願意安心把網絡都託給美國嗎？這顯然是美國不願看到的。

那麼美國難道就不會對中國網絡動手了？正相反，美國多的是枱面下的手段。陳經老師想強調的是，我們千萬不能搞錯了網絡攻擊的重點，如果美國想要攻擊中國，絕對不會用斷網這種全世界都知道是美國乾的做法，而會是各種暗箭難防的突然襲擊。

所以美國為什麼這麼忌憚華為中興？因為網絡設備就是一個特別容易植入“後門”的網絡攻擊手段，所以美國對這種危險這麼上心瞭解這麼細緻，大家猜猜美國自己賣出去的網絡設備會不會存在這種“後門”？

簡而言之，美國仰仗他強大的互聯網和IT技術實力，當然可以對中國網絡造成很大威脅，但比起粗暴簡單的斷網，我們更應該研究防範的是各種明面上看不到的進攻方式。

最明顯的例子，在稜鏡門中暴露出來的默克爾等美國盟友都被美國一直竊聽，類似這樣表面美國在幫你搞網絡背地裏為自己謀利的做法才是美國最想要的，他幹啥要用斷網這種要被人罵又落不着好處的方式呢？

滄泉月影：

終於講到我熟悉的IT領域了，就袁老師本期的內容，我嘗試用簡單的語言來幫助大家理解一下：

1. 根服務器攻擊：上網的時候，訪問bilibili.com，電腦需要查一個"電話本"，看看B站的號碼（IP地址）是多少。根服務器就是全世界最大最全的電話本（域名服務器），美國如果對我們封鎖，那我們可以使用中國境內自己備用的電話本，頂多也就是外網的內容訪問不了，國內網站還是基本夠用的（實際原理涉及域名解析服務，有興趣的可以瞭解）。所以陳經老師説，這種攻擊太蠢，以至於不可能會用。

2. Ddos攻擊：網路實際上受限於物理線路，就像你家門口的馬路，總有一個兩車道或者四車道的寬度。Ddos攻擊就是開很多輛車停在你家門口的馬路上，佔用有限的帶寬（馬路）資源，想象一下去你家路上連續堵車10公里，Ddos就是這麼噁心人的。

這種攻擊的難度在於，從哪裏，找來能堵滿10公里的車，也就是控制足夠多的"肉雞"。

3. 中國局域網: 實際上從海灣戰爭開始，美國就在戰爭中使用網絡攻擊了（局座張召忠有講過，可以再B站搜一下）。鑑於這招美國已經使用了很多次，我們國家如果一點應對都沒有，也就不是（腹黑）兔子了。

4. 斷網了怎麼辦: 看到彈幕裏有人提到，現在網絡應用這麼廣泛，萬一斷網，支付寶或者金融業務會不會損失很大？首先要明確一點，銀行等單位，處理業務都是在內部網絡上進行的，不通過互聯網。之前已經投入使用的京滬量子通訊幹線，主要的客户就是這些企業。

如果互聯網斷網，最多就是你今天不能使用支付寶付款，但是你存好的錢，買好的債券，或者去銀行線下取現，受到的影響會維持在可控制的範圍。

5. IPv4升級IPv6: 就如視頻中所講，IPV4的地址其實是不夠的，尤其給中國的還特別的少。目前是這麼解決的，類似於，你打電話給某些單位找人的時候，要先撥一個"總號"，再撥"分機號"。現在因特網給我的"總號"特別少，那我就多造點"分機號"(也是有上限的),對付對付吧，日子也能過。IPV6可以解決這些問題，但是要給單位裏每個人裝新的電話，換新的號碼，還要更新整個通訊錄，這都是成本，也是目前IPV6這麼多年推廣都不順利的原因。

語言表達可能不準確，歡迎交流。

鬱江曉帆：

科普來了：剛好兩個老師講的前半部分是我的專業電氣自動化的專場，先科普一下老師講的後門攻擊，其實最典型的就是之前牙膏廠也就是英特爾家的那兩個漏洞CPU幽靈/熔斷漏洞，據説那個漏洞從386還是486開始就有，一直到7代酷睿處理器都捱了，其中一個幽靈的話幾乎10年內所有處理器都捱了（熔斷是牙膏廠特有）。

這個要不是有研究人員發現，估計美帝情報部門還在偷摸用着拿數據呢，而且這個漏洞權限很高，幾乎就在處理器內部相當於有個系統有後門，你所有密碼都沒用，老師説的這個就類似於上回老黃家顯卡算數據出錯那樣，就怕這樣搞事情，就是這樣操作。

第二部分就是震網病毒，剛好我大學是自動化，我實踐工業軟件時候問過我的幾個老師，一個其中就是應急部門事故專家，曾參與過區裏面某工廠被震網病毒攻擊事故調查，另外幾個則是這方面專家，我問了它們，他們説這就是後門的危險，這個病毒是利用了windows系統和西門子SIMATIC WinCC監控與數據採集（SCADA）系統。

而且是多個0day漏洞。儘管這些系統都是獨立與網絡而自成體系運行，也即“離線”操作的，但只要操作員將被病毒感染的U盤插入該系統USB接口（變種版在大學裏面可以通過以太網，無線等傳輸），這種病毒就會在神不知鬼不覺的情況下（不會有任何其他操作要求或者提示出現）取得該系統的控制權。

我專門問過老師，可以怎麼下手破壞工業設備，老師講，通過變頻器，還有plc，我可以急加速某些設備轉速，讓設備過熱磨損，或者急加速應力損壞，技術高的我可以發送虛假數據，讓傳感器失靈，系統顯示正常。結果就是崩壞。

另外就算物理閉網，但是如果破壞方從供應鏈攻擊，或者社交攻擊職員設備，得知設備情況，然後假期或更換設備維護時候搞事情，我不一定立刻爆發，我過半年，一年，或是幾年後爆發出事故，到時候你攝像數據早刪了，名單假的。你還是涼涼。

互聯網安全相關的常識問題 | 陳經

互聯網大家天天在用，近來出現了一些關於互聯網國家主權與安全的爭議。有對中國提出警示的如“中國沒有互聯網，只有美國的因特網”。有關於技術標準的，如IPv4、IPv6、IPv9，這些網絡名詞對中國的互聯網主權有什麼意義。還有關於技術細節的，如有記者報導”全球電子郵件都要到美國轉一圈“，這是真的麼？還有對美國攻擊中國互聯網的疑問，是不是美國可以關掉中國的互聯網？

即使是有相當知識水平的人，對於天天在用的互聯網，也容易產生誤解。例如不少人會以為，IPv6與IPv4的區別，就是IP地址從4個數字升為6個，這種理解其實錯大了。

要明白這些問題，首先是名詞不要混。在本文中，互聯網是泛指各種按網絡連接標準連結出來的網絡系統，可以有多個。Internet或者“因特網”，指的是目前全球互相連接在一起的大網，本文稱為“全球大網”。因為一般公眾用的網絡就是因特網，所以有時互聯網和因特網會被當成一回事。但是也有一些特別的網絡，是獨立的，和因特網分離的，如軍網、公司內網。

令牌環網

其實幾台機器用網線連接起來，理論上就能組個“局域網”，可以聯網打遊戲對戰了。當然這是互聯網早期時代的事，後來乾脆都連到全球大網上去了。如果是幾台機器，聯網就很簡單，所有信息都廣播出去發給所有人就行了，和你無關的就扔掉拉倒，就和一夥人在屋裏聊天一樣。這種“全連接”的技術實現最簡單，但是規模一大就不經濟了。

然後再從這個簡單模型開始，優化出各種網絡結構。如星形網絡，所有節點都只連到中心節點，什麼信息都由中心節點轉發。再如令牌環網，環形網上有個令牌，交給各個平權的節點，持有令牌的才能説話，往環網上發數據。用現在的通信概念來理解，這個“令牌”就相當於“控制信道”，説話就相當於“數據信道”。

這些聯網技術發展下來，越來越複雜，經過多種標準的變遷，終於在1990年代成熟了。某種程度上來説，標準雖然複雜了，但是做事簡單了。只要買來幾種聯網設備，網線、交換機、網卡、路由器之類的，就可以建一個網絡了。大約1994、1995年左右，中國各大學校園就開始挖地埋線建網，沒有什麼困難，都組網成功了。

這其實是很了不起的事，這相當於説，不需要專家，互聯網就可以推廣了，應用傻瓜化了。當然能建起網的人還是需要一些專業技能的，但沒多難。就和裝電腦一樣，電腦是高科技，實用的電腦軟件要寫出來也不容易，但大學裏很多小夥子都學會了裝機，有了一門讓女生崇拜的手藝。互聯網雖然一直飛速發展，但是基礎和90年代差不多，人們能發現的重要變化是加入了無線，如無線網卡、無線路由。

那年頭，各地建起了很多“局域網”。這些局域網即使完全與外部隔絕，內部也是可以互相通信的，如發電子郵件。有一些ip地址，如192.168.0.1，到現在人們還經常用到，如設置wifi路由器時要用。在很多相互獨立的局域網裏，有很多節點的ip都是192.168.0.1，完成一樣的功能，因為不相干，所以ip一樣也不衝突。

對於一個機器來説，其實可以同時處於多個獨立的網絡中。例如機器的某個IP叫192.168.1.101，這是某個“內網”的IP地址，如屋內幾個機器和wifi路由器組的小無線網，所有機器包括路由器的IP都是192.168.1.XXX的樣子，前三位一樣，有時沒弄好還會告訴你IP地址衝突了。全球其實有無數機器都有一樣的“內網”IP地址，因為是一樣的網絡結構，只不過互相獨立。可以肯定的是，內網是完全可以獨立運作的。

就算你家裏的網絡壞了，連不到外面，但是無線路由器開着，仍然可以手機、電腦都連上它，然後互相倒文件。例如你要把一個小説文件從電腦上傳到手機上某種閲讀器裏，這個閲讀器就會説，請你在電腦瀏覽器上輸入http://191.168.1.100：10123就能上傳文件了，不需要外網。

一個機器連到“外網”，會同時還有另一個IP比如叫202.96.128.166。這是指在全球大網中的地址，世界各國很不相同，但是又有規律。以前中國的機器基本都是202開頭的，因為分配的就是這個“字段”，而美國一個大學就能有一個字段，美國佔有的IP資源遠多於中國，這和全球大網發展歷史有關。在windows的cmd裏，輸入”ipconfig /all”，就可以看到各種IP了。

這個IP地址就是互聯網的核心概念，或者説理解互聯網最好的起始點。為什麼給機器分配一個IP地址，它就能和其它IP地址網絡通信了，這很神奇，是計算機學界多年發展出來的研究成果，但概念上就這麼簡單。你要和一個網絡節點通信，最簡單的就是在cmd裏輸入”ping XXX.XXX.XXX.XXX”，對方就會給出回應，告訴你兩個節點之間是通着的，通信延時是多少，或者不通。有時發生了意外，某些地址就ping不通了，那更復雜的訪問肯定就不行了。如果能理解ping的機制，複雜的互聯網應用無非就是數據多一些，概念是一樣的。

其實互聯網通信理解起來不難。比如有人説，我要搗亂，給風雲學會會長袁嵐峯工作單位的IP地址發信息，我來ping 218.22.21.25 （微尺度國家研究中心互聯網訪問主機的IP地址）。在電腦上發出這個指令，你的機器看到這個地址，説我發到無線路由那去。無線路由説，這不是內網的地址不歸我管，我交給外網最近的“網關”去。外面的網關根據這個地址，很容易明白是發到再上級的網關，還是發到下級網關，直到進入目標主機。218.22.21.25收到信息，就給回應，再原路返回（或者找個新路也可能），發回你這個機器。這和快遞分發其實差不多，我們查淘寶上的“物流信息”，能看到説包裹到哪哪了，中間會有很多“網關”一樣的分發節點。

1977年，整個互聯網的拓撲圖（美國的ARPANET）

理論上，我們只要輸入這種“IP地址”，就能完成互聯網訪問。有一些應用其實就是這樣的，直接讓你輸入數字的IP地址。但是數字IP地址難記，微尺度國家實驗室需要www.hfnl.ustc.edu.cn這樣的字母（有時也有數字）組成的“域名”，真的象人類的快遞地址一樣了，什麼國家、哪個單位、哪個部門。在前面那個域名中，cn就是指中國，edu就是教育部門包括各大學，ustc是指中國科學技術大學，hfnl就是微尺度國家研究中心。域名中間有數個“．”，最少一個點就可以，前面的www其實不加也行，如中國政府網gov.cn。但各種域名，對應的都是四個數字的IP地址。

其實機器的IP地址是可能變的，網絡結構調整會動態分配。但是域名這個機制不錯，IP地址變了不要緊，反正別人也是用域名來訪問的，只要網絡系統裏的“域名解析”做對了就行。這個域名解析，是個挺重要的事，我們稍一想就知道，這可不是不同內網裏IP地址重合了不要緊，域名是不能重合的，而且是個全球事務。所以，如果只談IP地址通信，那可以各種內網、局域網隨便玩，用不着全球統一管理。如果要談域名，我們就需要引入國家概念，引入互聯網政治相關的概念了。

我們在windows機器上輸入”ipconfig /all”，會看到“DNS服務器”這麼個東西，它有一個202.96.134.133這樣的地址。其實深圳的很多機器，都會發現自己的“DNS服務器”地址是這個，它就是深圳的域名解析服務器，DNS是Domain Name Server的縮寫。你可不可以換一個“DNS服務器”？可以！比如你抱怨説，深圳這個DNS機器老出問題，太爛了，我換成廣州的DNS服務器202.96.128.143，這是可以的。你打入一個www.hfnl.ustc.edu.cn這樣的地址，這個字符串就會被髮給你選用的DNS服務器（用IP地址通信的方法發的），這個服務器會負責找出這個字符串對應的IP地址，然後你再和目標IP地址用IP通信的方法傳送信息。所以，你ping 218.22.21.25，這個就直接訪問了，如果你輸入的是ping www.hfnl.ustc.edu.cn，那這個命令會先由DNS服務器處理一通。

那麼，一個DNS服務器的本事有多大？是不是全世界任何一個域名，它都能獨立找出對應的IP地址？我們想一想就知道，這是不可能的。全球各種域名地址有幾十億個了，都放進一個機器會有麻煩。一是重複，如果所有DNS服務器都象區塊鏈節點一樣有全部“域名賬本”，這種“去中心化”非常浪費。更重要的是，域名不斷在增加與註銷，要通知全球所有DNS服務器更新賬本，去中心化是極為低效的架構，全球DNS要同步賬本得煩死。

所以肯定得層級管理，要中心化。例如，深圳的DNS看到www.hfnl.ustc.edu.cn，雖然hfnl.ustc看不懂，但是edu.cn一看就明白，不就是中國的教育分部麼，交給上級DNS就行了。上級DNS一看，ustc.edu.cn，扔到ustc的DNS那去查。ustc的DNS一看，hfnl我知道，是微尺度國家研究中心的，IP地址我這有，就給出了答案，原路傳回給深圳的DNS。這樣，各級DNS各司其職，統一將全球的域名都解析得好好的，是個高效的中心化機制。

我們這提到了“上級DNS”的概念，那就出來一個問題了，上級也可能有上級，最後是個啥？最後就是根服務器！再沒有上級了，到這就是根了，是頂級了。到這，我們終於繞不開美國了。由於歷史的原因，全球最頂級的根服務器在美國。一開始，只有美國有互聯網，所有DNS服務器，包括最頂級的DNS服務器當然都在美國。

別的國家連進來，有兩種選擇，一種是接入美國這個網，自己弄一個次頂級DNS服務器（這是所有國家的選擇），另外一種是自己建一個頂級DNS服務器。第二種選擇美國會説，你可以這麼幹，但那是你自己的網，甚至也可以拉別的國家來；但我美國和已經加入我的其它國家，和你的網會有衝突，技術上會亂套，只好互相不連了。因為這種“路徑依賴”，人們雖然覺得美國佔了大便宜，但也沒辦法，只好讓美國當根服務器。

其實，根服務器可以不只一個，事實上有13個。但是這13個功能全都一樣，你用到根服務器時，找近的一個查到了就行。互聯網訪問非常多，一個根服務器頂不住，開多個是必須的。但是這13個不能互相矛盾了，得有一致性，就是和在美國的“主根服務器”保持一致。美國的主根內容更新了，就會同步到其它12個輔根去。12個輔根其實也有9個在美國，歐洲2 個（英國瑞典各一個），還有1個在日本。

那這種架構，美國確實能大佔便宜，不僅名義上地位高。比如域名層級分配，中國的大學是XXX.edu.cn，美國的就直接是XXX.edu，少了一級。再比如IP地址分配，美國的網建的早，已經將大段地址佔掉了，只留下些邊角地址分給其它國家。再比如，美國説我維護這個根服務器要錢啊，這麼重要的互聯網服務不能免費，你們各國用了我提供的服務，得根據流量交錢。再比如，對於外面來的服務請求，是不是一視同仁？如果按“網絡中立”原則，不分用户大小，用户來自哪國，都應該一樣，按公平原則服務，不要故意延遲。但是美國內部在吵，要放棄“中立”，大客户優先，或者美國優先。

對這個事情，要平衡觀察。一方面，確實要注意，現在這個“全球大網”，美國有特殊優勢，能佔到不小的便宜。但是另一方面，也不能過分誇張，其實就是域名解析根務器的事，出於實際考慮放在美國。不能誇張成，什麼服務都要經過美國了，電子郵件都要跑到美國去，這從技術上説不通。發個電子郵件，理論上郵件地址有可能到美國的根服務器去解析，但是IP地址解析完了，郵件內容就可以找合適路徑傳輸了，不需要到美國。如果硬的網絡線路要經過美國，那沒辦法，郵件內容也會到美國。但從軟的體系結構來説，只是郵件地址解析要訪問美國根服務器的概率大一些。如果美國把互聯網體系真設計得這麼笨，郵件等數據內容也要到美國去，那線路會堵得不得了，學術上更會被噴死。

我們不排除有可能性，美國公司搞的硬件網絡設施做了手腳，一些內容會偷偷發到美國。但是基於IP的網絡體系結構是公開透明的，誰都可以看標準搞明白，不可能有這種設計。IP體系結構的理念是，互聯網是“強壯”的，缺了誰都行，只要還有線路連着都能通信。如果不要域名服務，那根本不需要“根”，節點可以儘量平等。

當然，域名服務由於歷史的原因，極端偏向美國，這是很不公平。最突出的矛盾就是各國地址不夠用了，美國佔着那麼多IP地址沒用，別的國家卻擠爆了，特別是中國。四個數字的IP地址，如202.96.128.143，每個位置256種可能，一共才不到43億個，比世界人口還少，是真不夠分。而且老早就不夠了，要找美國要地址。這種事都是由ICANN（InternetCorporation for Assigned Names and Numbers）管理，原來叫IANA （Internet Assigned Numbers Authority）。這個IANA是個和美國政府簽了合同的管理機構，是個合同工。升級成ICANN以後，理論上是全球事務非營利機構，但是還是受美國影響極深，當初美國佔的IP要讓出來，很麻煩。

其實美國克林頓政府1998年直接説，因特網是美國搞出來的，各國加進來，就得服美國管！這種赤裸裸的網絡霸權主義當然遭到了世界各國的反對。這實在説不過去，美國就讓合同商IANA轉型成ICANN，給出了“路線圖”，理論上同意互聯網要全球平等，但是由於歷史因素，美國還是得負責一段時間。到2009年，ICANN從美國政府獨立了。2016年10月1日，美國商務部將互聯網域名管理權，完全移交給了ICANN，解除了合同關係。理論上來説，ICANN是一個全球共治的管理機構，美國不再有特殊地位。

公平地説，一方面要看到由於歷史因素，警惕美國在全球大網中的特殊地位，提防美國利用特殊地位搞事。另一方面，也不要一味地只説美國的壞話，要看到全球各國的共同呼聲，看到世界各國對美國網絡霸權主義的鬥爭成果，積極參與到ICANN的全球共治框架裏，實現世界各國網絡主權平等。

ICANN一個重大成果，就是IPv4升級到了IPv6。我們看202.96.128.143這種地址，它是4個0-255的數字，用計算機的術語説，一個數字佔8個比特，四個數字就是32個比特，一共有2的32次方等於42.9億種組合。IPv4升級到IPv6，很多人常見的誤解是，4個數字的IP我熟，是不夠用；升級到6個數字了，一舉增多65536倍到281萬億種組合，真是夠用了，IPv6太好了。錯！這種理解小看了IPv6。這個IPv6説的是“互聯網協議第六版”，不是6個數字。其實IPv6的一個地址，是128個比特，相當於16個0-255的數字組合，有2的128次方即3.4乘以10的38次方個組合。有一種説法是，IPv6可以給地球上每一粒沙子一個IP地址，那麼6個數字對應的那個281萬億是不夠的，16個數字對應的10的38次方才夠。

其實IPv6早在數年前就已經推行開來了。並不是某天ICANN發公告説，全球IPv4切換成IPv6了，大家全部升級！想想技術細節，就知道這不可能，全球互聯網用户的機器沒法統一行動。唯一可行的選擇是，一個機器，既支持已經有的IPv4，又可以支持新的IPv6，慢慢增加IPv6地址的數量。也就是説，一個機器，除了內網的192.168.1.101這種地址，以及202.96.128.143這種IPv4地址，還新多出來一個IPv6地址，如：

2001:0:9d38:953c:1442:170f:3f57:fe9a（注意，這是128個比特）。

為了支持這個IPv6地址，其實我們機器裏的軟件也發生了變化。比如我們看windows裏的網絡選項，看TCP/IP，會發現除了IPv4，還多支持了一個IPv6。只不過一般人沒注意，機器系統軟件自動更新都幫做了。從概念上來説，其實我們的機器，有一個無線路由器管的內網；也有一個美國主根服務器管的IPv4版的“全球大網”；還有一個IPv6版的“升級版全球大網”，算是ICANN管的。只不過這幾種網，共用了一些硬件設備，IPv4或者IPv6網絡體系，是這些硬件設備上的邏輯概念。

IPv6當然也需要域名解析DNS服務器，這和IPv4一樣的，只不過能用的IP地址多了，也會有多台根服務器。那麼IPv6的根服務器是什麼情況？

IPv6的根服務器多了，有25台！2016年，這25台在中國、美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成了部署。中國有四台，分別在北京、上海、廣州、成都。放在美國的比中國還少，是三台，印度也有三台。這25台中有三台主根，分別在中國、美國、日本。可以看出，IPv6根服務器的分佈要公平多了，相比IPv4，更能體現全球共治互聯網的理念。IPv6這25台，加上IPv4的13台，就是全球互聯網的核心機器了。一些文章裏提到了“雪人計劃”，就是中國推動的，在全球部署25台IPv6根服務器的工程計劃。中國負責的機構叫“下一代互聯網國家工程中心”。

但是要注意，這個“雪人計劃”，以及建成的IPv6根服務器體系，實際上是一個“測試驗證”，從工程規模以及應用頻率上，還不能和IPv4相比。雖然IPv4的根服務器只有13台，但是下面的各級DNS服務器非常多。到2017年8月，25台IPv6根服務器在全球範圍內累計收到2391個遞歸服務器的查詢，這説明整個規模並不大。IPv4的體系已經很成熟了，發展出了很多優化用應的辦法，如各機器會備份DNS查詢的結果。IPv6還談不上，處於開局階段，應用不多，優化開發還沒有深入。

現在支持IPv6的網站還不夠多。據《2017 IPv6支持度報告》，目前全球排名前50的網站支持IPv6訪問的有42%，我國排名前50的網站裏僅1家支持穩定的IPv6訪問。也就是説，全球網站還是更把自己當成IPv4網的成員，對於IPv6不夠重視。IPv4網可以説是全球最重要的基礎設施之一，沒有不行；IPv6網還只是一個測試性的網絡，沒有也不太影響全球經濟。利好消息是，由於手機、PC的終端軟件更新很快，支持IPv6的終端操作系統達到了90%。這是因為手機升級快，PC操作系統軟件更新也較為容易。但是家庭無線路由器需要更新，支持IPv6的還不多。當然以後IPv4地址逐漸枯竭，人們不得不轉向IPv6，各種IPv6的軟硬件逐漸準備好了，如物聯網大規模應用上來了，IPv6的網絡規模應該會超過IPv4。

有時新聞裏還會出現IPv9，這個事就有點糊塗。在國際上，IPv4、IPv6是説互聯網協議版本，作為互聯網協議的IPv9也是有的，1992年提出來了。這個IPv9並不是IPv6的後續高級版本，而是90年代初大家就發現IPv4地址不夠用，同時提出了幾個新的選擇，IPv6、IPv7、IPv8、IPv9都有。IPv9算是和IPv4、IPv6不同的一種選擇，目前看只是理論研究，從理論上來説在低碳環保上有優勢。

中國新聞裏出現的IPv9，就會經常提到“十進制網絡”。可以肯定，這是中國特色的IPv9，和國際上的IPv9不是一回事。而中國研究者提出的“十進制網絡”，是借了IPv9的名，實質就是“十進制網絡”。説實在的，有些高深莫測，也引發了一些爭議。這個十進制網絡，是説除了數據是二進制，其它全部用0-9的數字來做。

域名是0-9的數字組合，中英文全不要，網卡物理地址也全用數字，不要字母。為了支持十進制網絡，一些網絡軟硬件設備要改一下，如DNS服務器要改。個人感覺，這個研究比較偏門，不可能成為IPv6這樣的全球通用協議，只能算是某種特別的選擇，據説可以幫助保密，比如某些特殊部門的機器裏，多了一個“IPv9十進制網絡”協議。從科研意義上看，這個十進制網絡，也只是表面上的，其實內在邏輯仍然是二進制的，根本上來説只是加了一個編碼協議，軟硬件創新不大。

這個應用做出來，會是一種小眾的偏門應用，似乎沒有多大的理論意義。如果説有積極意義，通過研究十進制網絡，能理解網絡體系是怎麼回事，要改哪些設備才能把十進制域名跑起來。其它的意義看不太出來。個人感覺這種網絡協議研究，還是應該象華為公司在國際上推Polar碼一樣，到國際會議上去推行標準，而非自己做一個別人不可能接受的古怪網絡。

以上介紹了互聯網基於IP尋址信息傳輸的基礎知識，介紹了IPv4、IPv6、IPv9的基本常識。個人認為，中國的IPv9可以不用太關注，是個奇怪的非主流。IPv4是美國主導的網絡體系，美國佔了很大便宜，但是各國也有鬥爭。IPv6是IPv4之外的一個新選擇，技術上已經成熟了，而且不是美國主導了，由各國共同主導。但是IPv6需要在市場份額上大幅躍升，才能取代IPv4的主流地位，現在IPv6還只是實驗性的網絡。

美國會在佔優的IPv4體系上搞什麼花招，中國要如何防備，就需要了解更多網絡入侵攻防的專業知識，軟硬件非常複雜。為此，中美兩國在網絡設備上經常發生較量，美國不讓用華為的設備，中國也怕美國公司裝在中國的網絡設備有後門。但是IPv4、IPv6本身是公開透明的網絡體系結構，理解起來不難，不應該過多牽扯進這些爭議裏。

有了這些基礎知識，下面就可以回答一些流傳的具體疑問，例如下面這幾個問題就是很多人關心的。

1. 美國到底能不能給中國斷網？或者説，美國能對中國的網絡造成什麼樣的損害？

2. 如何防禦美國的網絡攻擊？中國有沒有反制的手段？

3、IPv6的主根服務器有三台，它們之間如何保持同步？會不會導致混亂？主根服務器的持有者是不是有損害其他國家的潛在能力？

4、斷網對於美國來説是最笨的一招，我們可以理解了。但美國如果真的用這最笨的一招，那麼中國會怎麼做？會很快啓動自己的根服務器，恢復網絡服務嗎？會不會導致國外的域名不能更新？如果恢復網絡很容易，為什麼朝鮮、利比亞、伊朗就被斷了網？為什麼美國可以隨便修理這些小國，對中國就不能用這種笨招呢？

提問：美國到底能不能給中國斷網？或者説，美國能對中國的網絡造成什麼樣的損害？

回答：美國給中國斷網，有兩種方式，一種是明招，一種是黑招。

明招就是上文説的根服務器，不給中國提供域名解析服務了，或者胡亂服務，中國的IPv4網絡訪問就會碰到一些麻煩。這種事其實發生過，但不是美國故意做的，而是故障。2014年1月21日，全球不少知名網站被錯誤解析指向了同一個IP地址，中國百度新浪等網站也受影響。1997年，由於根服務器錯誤地使用了空白名單，互聯網局部地區幾天之內網頁無法訪問，郵件無法發送，是歷史上最嚴重的一次事故。

如果美國決定用根服務器破壞中國的IPv4服務，是可以的，就是這些域名解析問題。但是通過前面的內容我們知道，這極不可能發生，毫無意義。首先公開這樣做，美國毫無道理，因為ICANN是個國際組織，根服務器雖然放在美國，但這麼做等於是踐踏人類社會基本規則。其次這麼做破壞力不大，無非是中國一些網站域名解析出問題，找到問題要修復並不難，換上新的根服務器就行了，還正好順勢廢掉美國的老根。我相信美國的惡意，但不相信美國人會用這麼笨的法子。如果有人説，IPv4網是美國主導的，中國會因為這個架構問題被斷網，我絕不相信。暫時出了事一些網址上不了，我也只會認為是故障，這類故障其實挺常見。

美國真正可怕的，是用黑招給中國斷網。比如説，中國主幹網絡裏有Cisco的服務器、網關之類的重要部件。我非常傾向於相信，這裏有美國人埋下的邏輯炸彈。例如，美國人發送一個特殊字串到中國，Cisco的部件檢測到了這個特殊字串，就激活進入破壞模式。據説Cisco公司有美國軍方的人不知道在幹啥，很可能就是埋邏輯炸彈。

這個破壞模式不是説不工作了，而是保持網絡不斷，但是癱瘓或者擾亂網絡，讓你根本不知道哪出了問題。鑽研這些破壞方法也是研發，能發展出各種辦法和工具。正因為美國人自己幹了，所以對華為的網絡部件特別小心，根本不讓進美國。這方面不能抱幻想，美國人肯定埋炸彈了，到時激活炸彈，中國網絡就會癱瘓，斷網只是最基本的，更可怕的事都有。

顯性的破壞是比較容易被發現的，更可怕的是不知不覺的損害。另一種大類的攻擊是數據竊密。中國的機密信息，放在網絡上，美國人在網絡基礎設施裏可能放了各種後門。比如你機器用了美國部件，用了某種加密算法，引用了一個庫函數，用美國公司開發的編譯器，這裏都可能有後門。你的密碼可能被美國人弄去了，或者美國人能用一個萬能密碼進你的系統。後果非常可怕，平時信息泄露，極端的時候會被搞破壞。比如把中國金融部門的數據庫都給整死，中國金融就遭到滅頂之災了。

其實網絡黑客們整天琢磨的就是這些，因為比較專業，討論的人不多。美國人要幹起黑客的活，破壞力不會小。美國用根服務器給中國斷網不可怕，因為架構是公開透明的，能做什麼可以想象。但是美國埋在中國的邏輯炸彈就很可怕，因為不知道是哪出事，會出多大的事。

還是得説，IPv4、IPv6這些協議是公開透明的，是客觀的。美國對中國發起網絡攻擊，相當於IPv4是戰場，對戰場越瞭解，攻防起來越有利。但是戰場本身是中立的，戰場地形研究得再清楚，戰爭的勝負還是由參戰雙方的能力決定的。不能説美國人用IPv4攻擊中國，中國用IPv6來防守。不要給這些公開透明的技術協議強行抹上政治色彩。從技術上説，如果認為美國人的“大招”只是IPv4架構或者根服務器，那就太過簡單了。

提問：如何防禦美國的網絡攻擊？中國有沒有反制的手段？

回答：中國的國家網絡安全是中國研發人員的重要課題。IPv4，IPv6只是基礎知識，專業的網絡攻防非常複雜。

第一，要對中國的網絡基礎設施進行考察，用國產的替換掉美國部件，提升安全性。

第二，重要的關鍵網絡通信應用，要從物理層面考察通信過程，避免留下可能被美國做手腳的環節，即使可疑都不行。

第三，我不知道中國有沒有做，但美國人説做了。最出名的就是藍翔技校，美國人説這裏有中國網軍，中國搞了一些人在研究網絡攻擊美國。

這些反制措施比較專業，當然要非常重視。但是對IPv4、IPv6等透明公開的協議，個人認為還是應該從全球共同治理的角度去説事，不要把美國網絡攻擊扯進來。

這裏一個值得提到的問題，就是量子保密通信，這是人類目前已知的最安全的信息傳輸方法。有許多媒體報道和所謂科普文章把量子保密通信説得令人云裏霧裏，其實這些文章都是胡扯。袁嵐峯博士寫過很多量子信息的科普文章，例如《你完全可以理解量子信息》，把量子保密通信的原理解釋得很清楚了，有興趣的讀者歡迎去閲讀。

量子保密通信的一個特點是，在密碼生成這個環節上，它是“無條件安全”的，意思是，只要做好了自己這一方該做的事，那麼敵方就絕不可能破解你的密碼，無論他有什麼樣的技術能力。傳統的密碼術就不是這樣，必須假設敵方的能力不夠強才行，所以傳統密碼術的安全性歸根結底是一種信念，而不是證明。只有量子密碼術的安全性，是得到了數學證明的。你顯然就可以看出，量子保密通信對於處於守勢的中國來説，是非常有價值的。好消息是，目前量子保密通信的技術最先進的國家，就是中國！

提問：IPv6的主根服務器有三台，它們之間如何保持同步？會不會導致混亂？主根服務器的持有者是不是有損害其他國家的潛在能力？

回答：搞IPv4或者IPv6這種公開透明的架構，不要總想各國互相傷害，或者有主根的傷害沒主根的這類事。各國是為了一起建一個新網絡，不是來互相害的，是為了造福人類社會。就好象世界各國共同投資造了幾個大天文望遠鏡放在幾個國家，最好不要去談怎麼拿天文望遠鏡互相傷害。討論起來也比較無聊，技術上會比較搞笑，害不了別國太多，代價卻非常大。

主根服務器完全可以多台，同步也不難，就是傳送一些數據表，不會混亂。邏輯上可以把這三台當成一台就行了，但是這一台的權力分到了三個地點。比如以前要開一個新的頂級域名，如.net，IPv4時要美國主根來做。現在IPv6了，中國、美國、日本的主根都可以做。

提問：斷網對於美國來説是最笨的一招，我們可以理解了。但美國如果真的用這最笨的一招，那麼中國會怎麼做？會很快啓動自己的根服務器，恢復網絡服務嗎？會不會導致國外的域名不能更新？如果恢復網絡很容易，為什麼朝鮮、利比亞、伊朗就被斷了網？為什麼美國可以隨便修理這些小國，對中國就不能用這種笨招呢？

回答：如果美國真的笨笨地發動了“主根攻擊”，中國網絡域名服務是會出問題。要恢復並不難，就當美國主根不存在就行了。全國所有次級DNS的上級都指向自己新造的一個主根。其實所謂“主根”，是需要下面的次級DNS承認的。別人都不承認你，都説新的機子才是主根，那就“革命成功”了。所以，如果美國用境內的主根搞破壞，別的國家就會建起新的主根。而且這也不難，因為主根上的內容其實很多機器都有備份了，方便快速訪問，不用老去查主根，只不過主根有“更新”的權力。這都是搞笑式的討論，不可能發生的。

伊朗被斷網這事，有誤解。2018年初，伊朗當局因為發生了騷亂，主動切斷了網絡。美國對伊朗發動過計算機病毒攻擊，但並不是對域名根服務器動手腳切斷伊朗的網絡。美國2013年用“震網病毒”，對大批伊朗離心機發動了攻擊，破壞伊朗的核計劃。據説，這種攻擊是離線的，伊朗的離心機其實沒聯網，但是病毒已經感染在機器裏了。以前的計算機病毒並不通過網絡傳播，而是人們拿軟盤抄來抄去，潛伏在操作系統和可執行文件裏。震網病毒發作時，伊朗離心機開動時收到大量錯誤的傳感器數據，高速轉動就大批壞掉了。

朝鮮斷網，是指2014年12月22日起，朝鮮忽然從全球大網上消失了兩天，訪問時斷時續。有人説這是美國對朝鮮發動了域名攻擊，報復朝鮮對索尼的網絡攻擊。這個攻擊是誰做的現在也不知道，但是手法不是從根服務器動手腳（我一再説了，不可能有這種笨笨的攻擊發生）。可能是有黑客，對朝鮮的重要網絡節點，發動了暴力的DDOS攻擊。就是説黑客操縱一些機器，不停地訪問朝鮮的關鍵節點，把朝鮮節點機器所有的服務時間都佔掉了，這樣別的正常訪問就沒法進行了，朝鮮網絡就癱瘓了。這個DDOS攻擊是常見的，時不時有受害者，但象朝鮮這樣，整個國家成為受害者比較少見。

利比亞斷網，和敍利亞斷網差不多，都是打仗鬧的。外界社會發現，分配給利比亞或者敍利亞的IP字段，全都無法連上了，就説“全國斷網”了。具體的原因，有的新聞説是當地政府主動切斷的，但敍利亞政府説沒切，是恐怖分子炸的。傳來傳去，有時就會誤以為是美國切斷的，其實和美國無關。

要澄清誤解，美國並沒有動用根服務器這種笨手段去對付朝鮮、伊朗、利比亞等國。這些國家斷網事出有因。不應該用小國斷網的事來營造“中國可能被斷網”的恐怖氣氛，還是應該還原事實。

美國平時是經常隨便修理小國，轟炸、禁運、封鎖。但是從網絡空間上看，美國並沒有用網絡霸權主義的明招讓小國斷網，那真是太笨了，下不了手。美國可能發動網絡攻擊、病毒攻擊，這些中國是要防備。但中美的網絡攻防總要做得有技術含量一些，不要説得太簡單，和小國不一樣。