美国

关注风云之声 提升思维层次

解读科学，洞察本质

戳穿忽悠，粉碎谣言

导读

许多媒体和读者担忧中国会轻易被美国断网从而瘫痪，但真正了解互联网基本规则的无几。今天计算机硕士陈经就为大家原原本本地讲解互联网相关的常识，让你明白：美国到底能不能给中国断网？美国能对中国的网络造成什么样的损害？如何防御？中国能否反制？

实际上真正应该关注的不是断网这种粗糙的手段，而是黑客和设备中安置的后门。IPv4、IPv6这种网络协议好比即时战略游戏的地图，本身是公开的，许多人对它们有误解，单凭主根服务器是不可能断网的。

如果您看懂了，希望也能从身边做起，揭穿谣言，为周围人科普。

互联网大家天天在用，近来出现了一些关于互联网国家主权与安全的争议。有对中国提出警示的如“中国没有互联网，只有美国的因特网”。有关于技术标准的，如IPv4、IPv6、IPv9，这些网络名词对中国的互联网主权有什么意义。还有关于技术细节的，如有记者报导”全球电子邮件都要到美国转一圈“，这是真的么？还有对美国攻击中国互联网的疑问，是不是美国可以关掉中国的互联网？

即使是有相当知识水平的人，对于天天在用的互联网，也容易产生误解。例如不少人会以为，IPv6与IPv4的区别，就是IP地址从4个数字升为6个，这种理解其实错大了。

要明白这些问题，首先是名词不要混。在本文中，互联网是泛指各种按网络连接标准连结出来的网络系统，可以有多个。Internet或者“因特网”，指的是目前全球互相连接在一起的大网，本文称为“全球大网”。因为一般公众用的网络就是因特网，所以有时互联网和因特网会被当成一回事。但是也有一些特别的网络，是独立的，和因特网分离的，如军网、公司内网。

其实几台机器用网线连接起来，理论上就能组个“局域网”，可以联网打游戏对战了。当然这是互联网早期时代的事，后来干脆都连到全球大网上去了。如果是几台机器，联网就很简单，所有信息都广播出去发给所有人就行了，和你无关的就扔掉拉倒，就和一伙人在屋里聊天一样。这种“全连接”的技术实现最简单，但是规模一大就不经济了。然后再从这个简单模型开始，优化出各种网络结构。如星形网络，所有节点都只连到中心节点，什么信息都由中心节点转发。再如令牌环网，环形网上有个令牌，交给各个平权的节点，持有令牌的才能说话，往环网上发数据。用现在的通信概念来理解，这个“令牌”就相当于“控制信道”，说话就相当于“数据信道”。

这些联网技术发展下来，越来越复杂，经过多种标准的变迁，终于在1990年代成熟了。某种程度上来说，标准虽然复杂了，但是做事简单了。只要买来几种联网设备，网线、交换机、网卡、路由器之类的，就可以建一个网络了。大约1994、1995年左右，中国各大学校园就开始挖地埋线建网，没有什么困难，都组网成功了。这其实是很了不起的事，这相当于说，不需要专家，互联网就可以推广了，应用傻瓜化了。当然能建起网的人还是需要一些专业技能的，但没多难。就和装电脑一样，电脑是高科技，实用的电脑软件要写出来也不容易，但大学里很多小伙子都学会了装机，有了一门让女生崇拜的手艺。互联网虽然一直飞速发展，但是基础和90年代差不多，人们能发现的重要变化是加入了无线，如无线网卡、无线路由。

那年头，各地建起了很多“局域网”。这些局域网即使完全与外部隔绝，内部也是可以互相通信的，如发电子邮件。有一些ip地址，如192.168.0.1，到现在人们还经常用到，如设置wifi路由器时要用。在很多相互独立的局域网里，有很多节点的ip都是192.168.0.1，完成一样的功能，因为不相干，所以ip一样也不冲突。

对于一个机器来说，其实可以同时处于多个独立的网络中。例如机器的某个IP叫192.168.1.101，这是某个“内网”的IP地址，如屋内几个机器和wifi路由器组的小无线网，所有机器包括路由器的IP都是192.168.1.XXX的样子，前三位一样，有时没弄好还会告诉你IP地址冲突了。全球其实有无数机器都有一样的“内网”IP地址，因为是一样的网络结构，只不过互相独立。可以肯定的是，内网是完全可以独立运作的。就算你家里的网络坏了，连不到外面，但是无线路由器开着，仍然可以手机、电脑都连上它，然后互相倒文件。例如你要把一个小说文件从电脑上传到手机上某种阅读器里，这个阅读器就会说，请你在电脑浏览器上输入http://191.168.1.100：10123就能上传文件了，不需要外网。

一个机器连到“外网”，会同时还有另一个IP比如叫202.96.128.166。这是指在全球大网中的地址，世界各国很不相同，但是又有规律。以前中国的机器基本都是202开头的，因为分配的就是这个“字段”，而美国一个大学就能有一个字段，美国占有的IP资源远多于中国，这和全球大网发展历史有关。在windows的cmd里，输入”ipconfig /all”，就可以看到各种IP了。

这个IP地址就是互联网的核心概念，或者说理解互联网最好的起始点。为什么给机器分配一个IP地址，它就能和其它IP地址网络通信了，这很神奇，是计算机学界多年发展出来的研究成果，但概念上就这么简单。你要和一个网络节点通信，最简单的就是在cmd里输入”ping XXX.XXX.XXX.XXX”，对方就会给出回应，告诉你两个节点之间是通着的，通信延时是多少，或者不通。有时发生了意外，某些地址就ping不通了，那更复杂的访问肯定就不行了。如果能理解ping的机制，复杂的互联网应用无非就是数据多一些，概念是一样的。

其实互联网通信理解起来不难。比如有人说，我要捣乱，给风云学会会长袁岚峰工作单位的IP地址发信息，我来ping 218.22.21.25 （微尺度国家研究中心互联网访问主机的IP地址）。在电脑上发出这个指令，你的机器看到这个地址，说我发到无线路由那去。无线路由说，这不是内网的地址不归我管，我交给外网最近的“网关”去。外面的网关根据这个地址，很容易明白是发到再上级的网关，还是发到下级网关，直到进入目标主机。218.22.21.25收到信息，就给回应，再原路返回（或者找个新路也可能），发回你这个机器。这和快递分发其实差不多，我们查淘宝上的“物流信息”，能看到说包裹到哪哪了，中间会有很多“网关”一样的分发节点。

理论上，我们只要输入这种“IP地址”，就能完成互联网访问。有一些应用其实就是这样的，直接让你输入数字的IP地址。但是数字IP地址难记，微尺度国家实验室需要hfnl.ustc.edu这样的字母（有时也有数字）组成的“域名”，真的象人类的快递地址一样了，什么国家、哪个单位、哪个部门。在前面那个域名中，cn就是指中国，edu就是教育部门包括各大学，ustc是指中国科学技术大学，hfnl就是微尺度国家研究中心。域名中间有数个“．”，最少一个点就可以，前面的www其实不加也行，如中国政府网gov。但各种域名，对应的都是四个数字的IP地址。

其实机器的IP地址是可能变的，网络结构调整会动态分配。但是域名这个机制不错，IP地址变了不要紧，反正别人也是用域名来访问的，只要网络系统里的“域名解析”做对了就行。这个域名解析，是个挺重要的事，我们稍一想就知道，这可不是不同内网里IP地址重合了不要紧，域名是不能重合的，而且是个全球事务。所以，如果只谈IP地址通信，那可以各种内网、局域网随便玩，用不着全球统一管理。如果要谈域名，我们就需要引入国家概念，引入互联网政治相关的概念了。

我们在windows机器上输入”ipconfig /all”，会看到“DNS服务器”这么个东西，它有一个202.96.134.133这样的地址。其实深圳的很多机器，都会发现自己的“DNS服务器”地址是这个，它就是深圳的域名解析服务器，DNS是Domain Name Server的缩写。你可不可以换一个“DNS服务器”？可以！比如你抱怨说，深圳这个DNS机器老出问题，太烂了，我换成广州的DNS服务器202.96.128.143，这是可以的。你打入一个hfnl.ustc.edu这样的地址，这个字符串就会被发给你选用的DNS服务器（用IP地址通信的方法发的），这个服务器会负责找出这个字符串对应的IP地址，然后你再和目标IP地址用IP通信的方法传送信息。所以，你ping 218.22.21.25，这个就直接访问了，如果你输入的是ping hfnl.ustc.edu，那这个命令会先由DNS服务器处理一通。

那么，一个DNS服务器的本事有多大？是不是全世界任何一个域名，它都能独立找出对应的IP地址？我们想一想就知道，这是不可能的。全球各种域名地址有几十亿个了，都放进一个机器会有麻烦。一是重复，如果所有DNS服务器都象区块链节点一样有全部“域名账本”，这种“去中心化”非常浪费。更重要的是，域名不断在增加与注销，要通知全球所有DNS服务器更新账本，去中心化是极为低效的架构，全球DNS要同步账本得烦死。所以肯定得层级管理，要中心化。例如，深圳的DNS看到hfnl.ustc.edu，虽然hfnl.ustc看不懂，但是edu一看就明白，不就是中国的教育分部么，交给上级DNS就行了。上级DNS一看，ustc.edu，扔到ustc的DNS那去查。ustc的DNS一看，hfnl我知道，是微尺度国家研究中心的，IP地址我这有，就给出了答案，原路传回给深圳的DNS。这样，各级DNS各司其职，统一将全球的域名都解析得好好的，是个高效的中心化机制。

我们这提到了“上级DNS”的概念，那就出来一个问题了，上级也可能有上级，最后是个啥？最后就是根服务器！再没有上级了，到这就是根了，是顶级了。到这，我们终于绕不开美国了。由于历史的原因，全球最顶级的根服务器在美国。一开始，只有美国有互联网，所有DNS服务器，包括最顶级的DNS服务器当然都在美国。别的国家连进来，有两种选择，一种是接入美国这个网，自己弄一个次顶级DNS服务器（这是所有国家的选择），另外一种是自己建一个顶级DNS服务器。第二种选择美国会说，你可以这么干，但那是你自己的网，甚至也可以拉别的国家来；但我美国和已经加入我的其它国家，和你的网会有冲突，技术上会乱套，只好互相不连了。因为这种“路径依赖”，人们虽然觉得美国占了大便宜，但也没办法，只好让美国当根服务器。

其实，根服务器可以不只一个，事实上有13个。但是这13个功能全都一样，你用到根服务器时，找近的一个查到了就行。互联网访问非常多，一个根服务器顶不住，开多个是必须的。但是这13个不能互相矛盾了，得有一致性，就是和在美国的“主根服务器”保持一致。美国的主根内容更新了，就会同步到其它12个辅根去。12个辅根其实也有9个在美国，欧洲2 个（英国瑞典各一个），还有1个在日本。

那这种架构，美国确实能大占便宜，不仅名义上地位高。比如域名层级分配，中国的大学是XXX.edu，美国的就直接是XXX.edu，少了一级。再比如IP地址分配，美国的网建的早，已经将大段地址占掉了，只留下些边角地址分给其它国家。再比如，美国说我维护这个根服务器要钱啊，这么重要的互联网服务不能免费，你们各国用了我提供的服务，得根据流量交钱。再比如，对于外面来的服务请求，是不是一视同仁？如果按“网络中立”原则，不分用户大小，用户来自哪国，都应该一样，按公平原则服务，不要故意延迟。但是美国内部在吵，要放弃“中立”，大客户优先，或者美国优先。

对这个事情，要平衡观察。一方面，确实要注意，现在这个“全球大网”，美国有特殊优势，能占到不小的便宜。但是另一方面，也不能过分夸张，其实就是域名解析根务器的事，出于实际考虑放在美国。不能夸张成，什么服务都要经过美国了，电子邮件都要跑到美国去，这从技术上说不通。发个电子邮件，理论上邮件地址有可能到美国的根服务器去解析，但是IP地址解析完了，邮件内容就可以找合适路径传输了，不需要到美国。如果硬的网络线路要经过美国，那没办法，邮件内容也会到美国。但从软的体系结构来说，只是邮件地址解析要访问美国根服务器的概率大一些。如果美国把互联网体系真设计得这么笨，邮件等数据内容也要到美国去，那线路会堵得不得了，学术上更会被喷死。

我们不排除有可能性，美国公司搞的硬件网络设施做了手脚，一些内容会偷偷发到美国。但是基于IP的网络体系结构是公开透明的，谁都可以看标准搞明白，不可能有这种设计。IP体系结构的理念是，互联网是“强壮”的，缺了谁都行，只要还有线路连着都能通信。如果不要域名服务，那根本不需要“根”，节点可以尽量平等。

当然，域名服务由于历史的原因，极端偏向美国，这是很不公平。最突出的矛盾就是各国地址不够用了，美国占着那么多IP地址没用，别的国家却挤爆了，特别是中国。四个数字的IP地址，如202.96.128.143，每个位置256种可能，一共才不到43亿个，比世界人口还少，是真不够分。而且老早就不够了，要找美国要地址。这种事都是由ICANN（InternetCorporation for Assigned Names and Numbers）管理，原来叫IANA （Internet Assigned Numbers Authority）。这个IANA是个和美国政府签了合同的管理机构，是个合同工。升级成ICANN以后，理论上是全球事务非营利...