Sunday, April 1, 2012

Sự thật về "13 máy chủ tên miền gốc"

Dạo gần đây có tin đồn rằng nhóm hacker Anonymous đe dọa sẽ đánh sập internet bằng cách sẽ DDoS chết "13 máy chủ tên miền gốc" ( 13 Root DNS server ). Vậy 13 máy chủ tên miền gốc này là gì ? có thực sự tồn tại 13 máy chủ tên miền gốc này và chúng đều thuộc kiểm soát của Hoa Kỳ ?



Lời đồn huyền thoại


Lời đồn về sự tồn tại của 13 máy chủ tên miền gốc xuất phát từ một dải gồm 13 tên miền được hardcode bên trong mã nguồn của chương trình quản lý máy chủ tên miền nổi tiếng của đại học Berkeley - BIND và được đề cập trong RFC 2929:


a.root-servers.net
b.root-servers.net
c.root-servers.net
d.root-servers.net
e.root-servers.net
f.root-servers.net
g.root-servers.net
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net
l.root-servers.net
m.root-servers.net


Lời đồn cho rằng mỗi dòng trên đây ứng với một máy chủ tên miền gốc và máy chủ tên miền gốc này là một siêu máy tính được đặt tại một nơi nào đó thuộc Hoa Kỳ hoặc đồng minh của Hoa Kỳ.


Lời đồn này có vẻ được giới truyền thông hiểu lầm và đăng lại suốt một thời gian dài dẫn tới nhiều ngộ nhận tức cười về khả năng tổn thương của internet và quyền lực tác động của chính phủ Hoa Kỳ đối với internet. Điển hình là hàng ngàn cuộc tấn công lớn nhỏ xuyên suốt chiều dài lịch sử của internet vào 13 Root servers này, đỉnh cao là tin đồn về việc Anonymous huy động lực lượng tấn công vào 13 Root servers nhằm "đánh sập hoàn toàn internet" vào ngày 31/3/2012.


Sự thật ?


Sự thật là có 13 Root Servers thật. Nhưng đó không phải chỉ là 13 cái máy siêu máy chủ mà là 13 mạng lưới máy chủ bao gồm hàng trăm máy chủ DNS được phân rải khắp nơi trên thế giới, kể cả tại các quốc gia thù địch với Hoa Kỳ như Nga và Trung Quốc (f.root-servers.net). 13 mạng lưới máy chủ này được thiết kế để mỗi máy chủ trong mạng lưới ( có thể hiểu nôm na như vậy ) đều có vai trò giống nhau, không có cái nào quan trọng hơn, bản thân chúng được thiết kế để trở thành mirror của các máy chủ hidden DNS master. Mỗi một máy chủ hoặc nhiều hoặc thậm chí cả trăm cái cùng chết một lúc thì những cái khác vẫn còn đủ dữ liệu và sẵn sàng thay thế tức thì.


Tới đây có một câu hỏi cần làm rõ về hidden DNS master. Đây mới chính là các máy chủ DNS gốc, chúng không trực tiếp thò mặt ra internet, chúng chỉ đóng vai trò lưu trữ dữ liệu DNS gốc, các máy chủ trong 13 mạng lưới máy chủ DNS sẽ chứa bản sao dữ liệu từ các hidden DNS master. Các hidden DNS master hiện nay nằm dưới sự kiểm soát của Verisign và US Department of Commerce.


Quyền lực của chính phủ Hoa Kỳ ?


Người Mỹ tạo ra internet đó là điều không thể chối cãi. Người Mỹ hiện nay cũng kiểm soát toàn bộ các tổ chức nắm quyền kiểm soát hệ thống quản lý 13 mạng lưới máy chủ DNS. 12 tổ chức này bao gồm Verisign · USC-ISI · Cogent · UMD · NASA-ARC · ISC · DOD-NIC · ARL · Autonomica · RIPE · ICANN · WIDE


Bất kỳ tổ chức nào nếu muốn đóng góp máy chủ của mình vào mạng lưới mirror cho 13 Root DNS server này thì có thể liên lạc với một trong 12 tổ chức trên họ sẽ sẵn sàng nhận sự trợ giúp.


Chính phủ Hoa Kỳ có quyền ra lệnh cho tất cả 12 tổ chức trên với quyền kiểm soát 13 mạng lưới DNS Root Servers ngưng xử lý tất cả các DNS Request trên thế giới. Sau tối đa 86400 giây hay 24 giờ thì tất cả các DNS cache sẽ hết hạn (TTL expired) và toàn bộ internet sẽ ngưng hoạt động ( không tính các nước chỉ chuyên xài intranet riêng như TQ, Iran, Bắc Hàn... ). Hoặc bằng một cách khác, họ sẽ ra lệnh ngưng hoạt động các hidden DNS master, ngay lập tức Internet sẽ bị đóng băng, sẽ không một DNS Record nào được tạo ra và không một DNS Record nào được xóa đi, internet sẽ vẫn vận hành nhưng sẽ không phát triển nữa.


Có khả năng một tổ chức hacker nào đó không phải chính phủ Hoa Kỳ vô hiệu hóa internet ?


Câu trả lời là không. Internet được thiết kế để tồn tại lâu dài mà không phụ thuộc quá nhiều vào bất kỳ một thành phần trọng yếu nào.


Như câu chuyện 13 Máy chủ trên miền gốc ở trên. Nhóm hacker Anonymous không thể nào triệt hạ được toàn bộ hàng trăm máy chủ tên miền gốc đang vận hành trên khắp thế giới chỉ bằng DDoS. Đặc biệt hơn, các máy chủ thuộc 13 mạng lưới trên có cấu hình hoàn toàn khác nhau, chạy những phần mềm khác nhau và được bảo vệ cũng rất khác nhau. Không một tổ chức nào hoặc quốc gia nào có đủ lực lượng và tài nguyên để tiêu diệt hết các máy chủ này. Hơn nữa, ngoài các tổ chức chính thức quản lý các DNS Root server, còn có hàng trăm tổ chức khác cũng đóng góp máy chủ vào 13 mạng lưới này. Số lượng máy chủ không hề giảm đi mà còn tăng lên theo thời gian.


Mặt khác, dù Chính phủ Hoa Kỳ có ra lệnh tiêu diệt internet thì với khả năng của các quốc gia khác hiện tại, việc tái lập internet là chuyện hoàn toàn có thể xảy ra.


Internet chỉ có thể chết nếu không còn ai muốn dùng nó nữa, mà điều này cũng là chuyện không  tưởng nốt.


xnohat


Tham khảo:
[1] http://blog.icann.org/2007/11/there-are-not-13-root-servers/
[2] http://www.root-servers.org/presentations/rootops-gac-rio.pdf
[3] http://www.root-servers.org/presentations/wsis.pdf









3 comments:

  1. Hay quá! nhưng sao không có nhiều thông tin về root severs trên internet nhỉ?

    ReplyDelete
  2. Vấn đề mình vẫn không hiểu là tại sao lại là 13 root? thêm một root nữa thì có được không, mà bỏ bớt 1 root đi thì có được không?

    ReplyDelete

Quí đọc giả đọc xong, nếu thấy chút thú vị thì tác giả cũng mong được chút comment lấy làm kích lệ