Bitget下载

注册下载Bitget下载，邀请好友，即有机会赢取 3,000 USDT

APP下载   官网注册

2014年1月21日，平淡的一天。大人置办年货，孩童点燃爆竹，中国铁路紧张进行春运。所有人都在等待新年的到来。

变故是在下午出现的。

下午3点20分，整个中国所有正在上网的用户都突然失去链接。百度、微博、淘宝等门户网站均无法访问。这种状况没有持续太久，三个小时后便陆续恢复正常。事后查明，直接原因是全球域名解析出现故障所致。

除了些许不便之外，故障的影响并不大，讨论者寥寥，这件事也就如一颗石子般隐入历史洪流。但没有人知道，断网的三小时中，有些事已经被永远地改变了。

历史的脉络在这个下午交汇，最终在三年后，引发了那场世界最大网络行动。

奥林匹克

2008年的夏天，第29届奥林匹克运动会在中国举办，成为一个时代的符号与注脚。但北京并不是“奥林匹克”的唯一举办地。

当张怡宁卫冕金牌；当菲尔普斯抵达终点；当博尔特穿越百米的时候，万米之外的白宫，一个代号为“奥林匹克”的行动启动。北京的奥林匹克圆满落幕，而白宫的奥林匹克要四年后才浮出水面。

2010年，白俄罗斯的一家安全公司Virusblokada在为伊朗客户检查系统时，发现了一种蠕虫病毒 Stuxnet（震网）。

Stuxnet（震网）代码

这种病毒的作用是通过入侵核工厂离心机的频率控制器，控制离心机以超过安全范围的数值运转，同时在监视器上显示正常数值欺骗管理员，最终导致设备损坏。

病毒公开后，业界人士发现这种病毒并非传统病毒，而是针对伊朗的纳坦兹核工厂量身定制的病毒。这是人类史上第一个跨过网络与现实界限，直接对设施发起物理攻击的病毒。

伊朗纳坦兹核工厂

如果不是伊朗工程师意外将绝密U盘插入了自己的电脑，那震网病毒可能到今天都不会被发现。

当年，俄罗斯卡巴斯基实验室发布声明，认为“种种迹象表明，除非有国家级的支持和协助，否则很难发动如此规模的攻击”。

卡巴斯基没有说错。两年后的2012年，《纽约时报》在报道中援引一位高级官员的秘密消息，确认震网是由美国国家安全局和以色列联合研发，目的在于阻止伊朗发展核能。

并且除了震网之外，感染伊朗全国大半电脑的Flame（火焰）病毒，也是美以行动的成果。

Flame（火焰）病毒

秘密官员还透露了行动最早于2006年由布什建立，2008年奥巴马下令加速。行动代号：“奥林匹克”。

奥林匹克行动曝光后，舆论哗然。

一波未平一波又起。第二年，棱镜门事件爆发，美国全球窃听计划曝光。苹果、微软、谷歌、Facebook、Youtube以及世界电信巨头威瑞森都牵涉其中。被监听对象囊括美国的对手和盟友，连默克尔也在监听之列，引发了美国外交的大地震。

香港媒体的报道

在中国方面，斯诺登向媒体提供的文件表明，美国国家安全局对部分中国企业进行了监听，还对清华大学发起了大规模网络攻击。

2013年的世界名词中，网络安全占了重重一笔。

棱镜门事件后，各国都开始着手网络安全，德国建立内部安全网络，英国发布网络安全战略，巴西立法保护信息。

中国亦采取了大量措施，但其实窃听仅仅是我们互联网面临的众多危险中最小的一个。

假如我们把窃听计划看成美国躲在欧洲的房子外听里面的动静，那么中国面临的形势就更加严峻，欧洲好歹有房子，我们连房子都是美国的，他完全可以站在我们的客厅里听。并且只要美国愿意，完全可以让中国瞬间在互联网上消失。

一切的一切，要从互联网的开端说起。

流浪中国

我们今天的世界互联网始于1969年的美国，在最初它是为美国军事而生的，直到1980年互联网才开始商业化，进入人们的生活。严格来说，不是世界人民共享互联网，而是世界人民使用美国的互联网。

这一点，在IP地址的分配上极为明显。

互联网空间不同于现实空间，现实空间别人可以通过地址、门牌、甚至经纬度找到你，但互联网世界只有0和1，所以你也只有一串由0和1组成的地址，来让别人找到你。

这串由0和1组成的地址，叫IP地址，这是互联网的基础资源，你可以直接理解成互联网的土地。

从互联网诞生之日起IP地址协议就一直在完善，最终在1981年，IETF（互联网标准组织）规定IP地址由一串32位的二进制数构成，每台设备都需要独立的IP地址才能够进入互联网，比如：11000000 10101000 00000001 11111111。

你对这串数字会感到陌生，因为为了方便人们阅读和记忆，IP地址在我们的设备上通常显示为点分十进制，上面这串地址在点分十进制后就变成了：192.168.1.255，方便很多。

这版协议是IP协议的第四版--Internet Protocol version 4，也就简称IPv4。

今天你可以在任何设备的信息中看到IPv4地址，它是第一个被广泛使用，同时也是构成现今互联网的基础协议，从1981年诞生到今天，它已经使用超过了四十年，简单、可靠、大家互信。

但它有一个致命的问题——数量。

IPv4地址是32位的二进制数，意味着IP地址在逻辑上的最大总量为2^32-1，也就是4294967295（42亿）个。

在1981年，这个地址数量是天文数字，但互联网发展速度超过所有人想象，个人PC、移动电话、智能设、ISP（移动服务提供商）的兴起中，IP地址被迅速消耗。

全球有70亿人口，IP地址仅有43亿个，一旦用完，后来者将无法进入互联网。

危机不止于IP地址不够用，许多国家还面临用不上。

全球互联网都用IPv4协议，那就要有人来分配和记录地址，于是，IANA（互联网数字分配机构）出现了。

IANA

IANA于1988年正式成立，负责将IP地址分配给全世界。

这个组织虽是国际组织，但从创立之初，资金来源就是美国国防部，再加上美国作为世界互联网起源地，有先发优势。于是资源大量向美国倾斜。

截至2022年8月26日，全球各国IP地址分配数量为如图。

其中美国分配了16亿个，占全世界38%，中国分配了3亿个，占8%。换算成人均的话，每一个美国人有5个IP地址，每五个中国人有1个IP地址。

如果说中国地图上的每一段线，都是一场冒险，那么在互联网地图上，中国连冒险的机会都没有。其他国家则连冒险是什么都不知道。

IP不够的问题当然不是突然出现的。

IPv4诞生10年后，1991年，IETF就预测IPv4地址将会在2010年耗尽，并在次年提出了IP协议第六版，简称IPv6。

IPv6标准协议

和IPv4的32位不同，IPv6的地址长度扩张到了128位，是前者的四倍，这是一串IPv6地址，你感受一下：

0010000000000001 0000110110111000 1000011010100011 0000100011010011 0001001100011001 1000101000101110 0000001101110000 0111001101000100

长度增加后原有的点分十进制也不够用了，于是IPv6改用了十六进制表示，变成这样：

2001:0db8:86a3:08d3:1319:8a2e:0370:7344

IPv4的有43亿个地址，IPv6的长度是它的四倍，那是不是就有43X4，也就是172亿个地址？不是。IPv6的地址空间为2^128-1，IP地址总数为:

340282366920938463463374607431768211455个

简单一点描述就是：IPv6能给全世界每粒沙子都分配一个地址。

如果说IPv4是一块美国分配土地的大陆，那么IPv6就是一片新的海洋，广阔、无限、没有压迫。

IPv6出现后，全球主要国家纷纷开始IPv6的研发。

2001年 欧盟成立IPv6 Task Force，专门制定IPv6推广计划，并在次年同时启动6NET和Euro6实验网。2004年，韩国启动IT839计划，目标建成东亚网络枢纽。因为有较多IP储备，美国态度并不积极，直到2003年才宣布启动。

而中国对IPv6的研究，比所有国家都要早。

1992年，IETF开始讨论IPv6，两年后的1994年，中国就在CERNET网络中建立了IPv6试验床。而当时中国连IPv4都还没玩明白，搞IPv6基本等于边学走路边学跑步。但总有能把这事干了的人。

CERNET网络中的IPv6试验由清华大学教授吴建平领衔，这位狠人曾经仅靠几张日文图纸，就在100天内搭建出北京期货交易所，用世界最先进技术建立了一个大型分布式计算机期货交易系统，是中国互联网工程科技的主要开拓者和学术带头人。

吴建平

1994年，国家计委启动CERNET工程，担任项目负责人的吴建平联合了数十家大学开始建设，在1995年11月完成，比原计划提前一年。

1997年，IETF发布正式的IPv6协议，第二年，中国CERNET就成为了世界最大IPv6测试平台6Bone的骨干网成员。

CERNET官网

在研究上，中国领先了全世界，并且不止于研究。

1995年CERNET网络完成后，吴建平就把目标转向了IPv6的实际发展问题。2001年，包括吴建平在内的57名院士联合致信国务院，提出建设一个纯IPv6主干网。

第二年，国家计划委员会批复同意，启动“下一代互联网战略研究”，将建设纯IPv6网络的任务交给了吴建平，并命名为CERNET2。

吴建平带领的CERNET团队愈战愈勇，仅两年后的2004年，CERNET2主干网就正式开通。

整个网络使用纯IPv6建设，连接全国20个城市25个核心节点，成为中国第一个IPv6国家主干网，同时也是世界规模最大IPv6网。

2004年，吴建平在布鲁塞尔宣布CNGI-CERNET2启动

在CERNET2的组网中，建设组原本可以全部使用国产设备，但他们选择了三分之二使用国产，三分之一使用国外，因为只有设备上的复杂、混合、不干净，才能最大程度暴露出问题。

CERNET2不止要建设一个中国的IPv6，还要为世界IPv6作准备。而同时期，欧盟、美国、日本才刚刚进入IPv6的论证。

2007年，互联网创始人温瑟·顿夫（Vint Cerf）访问清华大学，参观了CNGI-CERNET2。第二天，他在世界互联网技术大会中说，“在此我想提醒诸位，中国在IPv6方面已经走得比世界上任何一个国家都要远了”。

当筵意气凌九霄。

第二年，北京奥运会举办，这是中国新时代的开篇，也是互联网新时代的开篇。

2008年北京奥运会开幕式

2008奥运会中58个场馆全面部署了IPv6系统，所有网络、传感器、摄像机均为IPv6网络，由中央控制中心无缝控制。同时外围超过15000辆出租车使用IPv6传感器，交通部门实时指挥。在这些大规模网络中，没有使用闭路电线，没有手动配置，所有传感器全部使用标准以太网连接并自动配置。中国向全世界展示了一个名为IPv6的理想。

2008年的年末，中国成功完成了当初下一代互联网战略的第一个五年目标，但没有人想到，这已是中国IPv6的顶峰。

此后，尽是低谷。

孤筏重洋

1992年，为了解决IPv4数量极限的问题，IETF提出了IPv6，但IPv6不是IPv4协议的升级，而是一个全新的协议，两个协议之间无法兼容。

如果要使用IPv6，全世界的互联网设备都要同步更换硬件设备。1992年IPv6提出后，IETF等国际标准组织的共识是，全世界互联网逐步向IPv6的转移，并争取在2010年IPv4地址耗尽前完成。

如果计划顺利，那2008年北京奥运展示的IPv6模型，很可能成为世界模板，但计划不顺利，因为一种新技术技术出现了——NAT（网络地址转换）。

NAT技术

1994年，NAT技术首次提出，通过在路由器上安装NAT软件，就可以实现多个主机使用同一个IP地址，也就是我们常说的公网、私网。

用个比喻，过去一个IP地址代表一个人，快递员只要知道IP地址就能找到这个人，而NAT技术就是把一个IP地址变成一个小区，快递员只用把包裹交给门卫，门卫再将包裹交给住户，反过来如果住户要寄包裹，也是交给门卫。小区之外是公网，小区之内就是私网。

NAT原理示意图

NAT技术的出现大大缓解了IP地址耗竭的危机，在全世界发展IPv6的几年中，NAT技术也在蓬勃生长。

1999年，NAT技术标准提出，迅速被各国接纳，相比起要全部硬件回炉重造的IPv6，使用NAT技术只需要在路由器安装软件，成本更低，也更方便。

并且，IPv6是基础层技术，在用户侧是无法感知的，对你我他这些消费者来说，使用IPv4和IPv6完全没有区别，商家也就缺乏更换的动力。

成本和经济效益两个问题一叠加，所有国家都倒向了NAT，当然，代价是忍受资源的不平等。全世界IPv6的发展都开始放缓，中国也在2008年后进入黯淡。

IPv6的退潮换来的是NAT的升起。

为了帮助NAT技术发展，IANA在全球IP地址中预留了3个私有地址网段。这三个网段的地址不会在互联网上被分配，可以在私网内自由使用，同时私网的IP不允许出现在公网，只能通过NAT使用公网IP连接。

公网与私网网段

任何一个有基础网络知识的人，都不会对192.168这个地址感到陌生，因为除了学校和大型企业，一般网络都会使用C类地址搭建私网。

我们在生活中使用的网络，99%也都是NAT技术映射的192.168地址。

十九世纪的英国维多利亚时代，社会贫富差距极大，富人享受宫殿、舞会，穷人只能在小旅馆中用一根绳子撑着头睡觉，不能睡地上，那是另外的价钱。

如果以网络基础资源的角度看，那在二十一世纪的互联网，除了美国之外，所有人都在睡绳子，这根绳子叫192.168。

并且更惨的是，绳子还是有限的。

2011年，负责分配全球IP地址的IANA宣布，最后的IPv4地址块已经分配给了五个RIR机构，此后世界再无新的IPv4。

2011年，IANA在直播分配最后的IP地址

这个消息并没有引起太大波澜，因为NAT技术已经解决了地址耗尽的问题。

中国对广阔天地的理想没有打动欧洲和亚洲。

2008年奥运会IPv6亮相之后，中国下一代互联网国家工程中心联合其他国家发起了IPv6 Enabled Logo项目，并在北京成立全球测试中心，帮助全球进行IPv6的标准统一，这是中国第一次在互联网领域站在规则制定者的位置上。

但全球IPv6退潮后，这个项目也走入黑暗。

IPv6会不会就此蒙尘，成为理想的亡魂，没有人知道。但所有中国互联网工程师都在等。

等一场必然出现的风暴。

DNS诅咒

世界上所有的领域都有一个技术核心，小说的核心是文字，篮球的核心是规则，互联网也不例外，它的核心叫DNS域名解析系统。

DNS系统

互联网诞生初期，网络中只有上百台主机，技术人员只需要背下几十个主机的IP地址，就能访问任何人。但随着互联网的膨胀，主机数量从上百变成了上万，这种原始的记录方式就没有用了，人们需要一种新的记录方式。

比如，在互联网中设立一个服务器，记录下所有主机的IP地址，然后给这些IP地址备注一个简单好记的名字：122.111是伦敦修车行，就记作LDG；192.168是南京板鸭，就记作NJDSD。

所有人进入互联网的主机都可以在这里登记，也都可以在这里查询其他人。相当于一个互联网电话簿。

但随着互联网主机越来越多遍布全世界，这种命名很容易出现重名。为了解决问题，人们决定给命名施加一个规则，比如，在名字后面加上后缀。

开在南京市的板鸭店的IP地址，就命名为：南京板鸭.中国.南京中山北路；开在纽约的板鸭店的IP地址，就命名为：南京板鸭.美国.纽约斯塔滕岛路。这样既能找到人也不会重复。

这套命名规则，就是我们今天的互联网网址。每个点后面的词都是一个域名，而负责识别域名并提供准确IP地址的系统，就叫DNS域名解析系统。

DNS域名树状网络（顶部为根服务器）

这个解析系统是一个树状网络，由根服务器，顶级域名服务器，二、三、四级域名服务器组成，每个服务器只储存自己域名的信息。

还是南京板鸭举例。

当你输入南京板鸭.中国.南京中山北路后，你的主机会向根服务器提出请求，根服务器看到.中国后便告诉你的主机去找.中国服务器（顶级域），主机找到.中国服务器，服务器再告诉主机，去找.南京中山北路服务器（二级域），最后二级域服务器告诉你，南京板鸭店的IP地址是220.181.38.150。

DNS解析示意图

听起来复杂，但在DNS高度完善的今天，完成这一切，只需要几毫秒（ms）。

在这个系统中，根服务器是整个DNS系统的绝对核心，所有网址都必须通过根服务器后，才能访问顶级域、二级域，所以也是国际互联网最重要的战略基础设施，谁能掌握谁就有生杀大权。

如果说IP地址是我们脚下的土地，那么DNS，就是让我们能找到其他人的呼叫系统。而和IPv4地址一样，DNS系统也由美国掌握。

1983年，DNS的原始技术规范在互联网发布，发明人保罗·莫卡派乔斯也因此成为互联网奠基人之一。

DNS出现后，美国军方资助建设了根服务器，至今为止，全世界共有13台根服务器，用A-M命名，除了I根在瑞典，K根在英国，M根在日本外，所有服务器都在美国。

13个根服务器的运作单位与地址

并且13台服务器中，A根为主根，其它均为辅根。A根对所有根服务器拥有最终解释权。同时所有根服务器的文件和资料，也是由美国商务部下属的NTIA（美国电信管理局）掌控。

现在你能明白为什么说不是全世界共享互联网，而是全世界使用美国的互联网了。因为这个互联网世界的土地、工具以及所有的访问请求，都会经过美国，只要美国愿意，可以让任何一个国家断网。

如此巨大的权力当然会招来质疑。

从1987年DNS最后一次更新之后，世界范围内不乏对DNS根服务器“武器化”的担忧，随着互联网发展，这种声音也越来越大，如同一柄悬在头上的达斯克摩之剑。

为了安抚人心，1998年，美国商务部发布了一份绿皮书，向全世界征集意见，以实现一个“民主”的互联网治理方案。根据收集的六百多条意见，美国在洛杉矶成立了一个非营利性机构，ICANN（互联网名称与数字地址分配机构），负责在全球范围内协调互联网发展，创始主席由著名慈善家埃丝特·戴森担任

ICANN

当年，美国商务部将IANA（互联网数字分配机构）和NTIA（美国电信管理局）两个机构的职能，全部移交给了ICANN。同时在章程中规定：ICANN可以收取一定费用维持运营，以保证不受任何国家的资金操控。

美国开诚布公的行动让全世界都放心了，质疑声烟消云散，对所有国家来说，这都是一个完美的互联网解决方案，多边、民主，能够确保世界互联网的独立。当然，要是这个方案能真的实施就更好了。

对美国来说，自己已经拥有足够多的IP地址，IANA掌管的IP地址分配职能无可厚非，但NTIA手中的根服务器权力太过重要，无法轻易割舍。

1998年ICANN成立后，两个机构的职能都逐步移交给了ICANN，美国商务部却利用与NTIA的合同，保留了对DNS根服务器的最终控制权。

NTIA简介

这次移交虽有瑕疵，但ICANN的出现已经够激动人心。没有人再纠缠不放。

2002年，应许多国家的呼声，ICANN开始在全球布置镜像根服务器。就是将根服务器中的数据复制到新的服务器中，安装在各地各国，这样所有的解析请求都可以直接访问自己国家的镜像根服务器，能够降低延迟，帮助世界互联网发展。

中国不会错过这样的机会。

从2003年开始，中国陆续引进了多个镜像根，截止2022年，全世界已有1546个镜像根服务器，其中有40个在中国。

全球镜像根服务器分布图，中国区域数字为包括韩国日本的数字

即使真的有一天断根了，我们也可以用数据备份搭建应急根服务器来解决。这是不是意味着根服务器的困境解决了？没有。

以往中国面对的封锁问题基本都是技术问题，是“有没有”的问题，而DNS不同。根服务器没有技术壁垒，全世界都能造，但数据和系统只有一个人有，这是“认不认同”的问题。

比如我们建立了镜像根服务器，没有了断根的风险，但我们的镜像根在法定上仍然从属于主根。如果主根拒绝授权，同样会被踢出去。

中国互联网澎湃发展的十几年中，除了一些技术人员、专家、网络工程师外，鲜少有人提到DNS这个问题，因为它和IPv6一样属于专业技术，除非行业人士，普通人不可能意识到。

不过就和IPv6研究有吴建平领头一样，DNS的安全问题也有一个人在推动——吕述望，密码学家，中科院院士，中国第一个公开商用密码算法SMS4的创始人，数字物理噪音源芯片（WNG4）发明者。

吕述望

或许是因为专业中对“安全”的天然感知，这位密码学家从90年代互联网进入中国后，就一直在呼吁DNS系统的安全问题。

2002年中国大力建立镜像根服务器，就有这位专家的长文推动。

镜像根服务器建立之后，吕述望愈战愈勇，不满足于国内安全，开始用密码专家的影响力在国际上奔走，一度让美国相关机构看到他就头疼，他们把吕述望称为“互联网分裂者”，他很生气，说你怎么能这么小看我，我明明是互联网的掘墓人。

吕述望没有说错，10年后那场DNS风暴中，他真的给互联网的墓来了一铲子。

燃烧的世界树

就像前面说的，中国IPv6在2008年后渐入低谷，DNS安全也久悬未下。听起来这是两个不同的难题。但并不，IPv6和DNS面临的其实是同一个难题——话语权。

在这个问题上，我们需要交给时间。

短期内来看，世界需要互联网发展，美国也需要互联网发展来巩固霸权，二者能够和平共处。但长期来看，世界互联网的终点一定是多边机制，与美国的切身利益相反，这是二者不可调和的根本矛盾。我们只能等待这个矛盾出现。

互联网全球化

图危制变，虑难立权。

吴建平率领的IPv6蛰伏冰下，吕述望在黑暗中为DNS安全奔走。最终在2012年，短暂的和平迎来了裂变。

2012年，纽约时报援引秘密官员的消息，报道了“奥林匹克行动”，引起世界关注。

但奥林匹克只是互联网安全风波的预热，一年后，斯诺登出逃，棱镜门事件爆发，这个在水面下运行数十年的窃听计划曝光。近80多个国家遭到监控，35个国家元首被窃听，其中包括日本首相、德国总理默克尔。苹果、微软、谷歌、思科 、IBM、高通、英特尔等世界巨头均牵涉其中。

G20峰会上，对奥巴马表示不满的默克尔

在中国方面，北京、上海、成都、香港、台北，都在窃听目录。商务部、外交部、中资企业、科研机构为重点窃听对象，甚至华为、腾讯、飞信、海尔，都没有逃过。

棱镜计划的窃听对象之广、牵涉之大、影响之深，引发了美国外交大地震。

对欧洲、拉美来说，重要的不是美国进行了窃听，而是美国对盟友也进行了无差别的窃听。棱镜门事件爆发后，各国都向美国发出了质询，但却没有得到解释、道歉、弥补。

2013年6月7日，美国国家情报总监詹姆斯·克拉珀发表声明，“棱镜计划是合法行动”，并将斯诺登称为懦弱叛徒，世界哗然。

7月1日，玻利维亚总统埃沃·莫拉莱斯在采访中表示，他将考虑接受斯诺登的庇护申请，仅仅一天后，法国、西班牙、意大利在美国的授意下拒绝了这位总统的飞机经过，于是莫拉莱斯只得绕道飞往维也纳，但抵达维也纳后，他的飞机遭到了突击搜查。

埃沃·莫拉莱斯

一国之主，落如此遭遇。

我们常说2013棱镜门是世界影响最深的安全事件，它的重要不仅仅在于霸权淋漓尽致的体现，还在于这件事真正让所有人注意到了比窃听更危险的领域：IP地址与DNS。

前面我们说了，DNS系统诞生之初设定了顶级域、二级域等域名。为了实现互联网共治，ICANN规定每个国家都有自己的顶级域名。

如中国的.CN、英国的.UK和德国的.DE，这些顶级域被视为一个国家的主权空间。虽然美国保留了DNS根服务器的控制权，大家也都默认美国不会侵犯主权空间。但只是默认。

2003年，伊拉克战争爆发后，美国动用DNS根服务器权力，删除了伊拉克国家顶级域名.iq，于是，整个伊拉克都从互联网消失了两年；2004年，利比亚与美国发生冲突，当月，利比亚国家顶级域名.ly瘫痪，利比亚在互联网消失三天。

伊拉克战争

现实世界中，两个国家的国土不可动摇，但在互联网世界，却可被随意划改。

这还只是简单粗暴的打击，几年后，美国操控的DNS体系已经进化成为了精准的手术刀。

ICANN划分的顶级域名中，不仅有国家专属的顶级域，还有世界通用的顶级域。比如大家熟悉的.COM。

2010年11月29日，美国国土安全局以涉嫌违法犯罪为由，对82个.COM伊朗网站发出了扣押令，所有人在访问扣押网站时，都会看到这样一张图。

美国国土安全局的扣押通知

于是，一个伊朗人，坐在伊朗的家里，打开伊朗的网站，却发现自己被美国法律制裁了。

美国为什么能扣押.COM域名？因为掌握.COM域名的公司威瑞信（Verisign）在佛吉尼亚州，受美国法律管辖。

比这更恐怖的是，威瑞信除了持有.COM、.NET两个通用顶级域名外，还是13个DNS根服务器中A根和J根的运营商。并且，棱镜门事件，威瑞森也是参与者。

如果说2003年的伊拉克、利比亚域名消失，2010年伊朗域名扣押这些事件后，欧洲都还抱有“这些国家都是小国”的侥幸心理，觉得自己不会遭此对待，那2013年的棱镜门事件，就是给欧洲泼了一盆冷水。

棱镜门听证会

今天可以无差别窃听，明天同样可以无差别封锁，再加上美国的强硬态度，和威瑞信卷入棱镜门，坚如磐石的欧美互信，出现了一丝裂缝。

巨大外交压力下，美国不得不选择退步。2014年3月14日，美国商务部宣布，NTIA将放弃对DNS根服务器的最终控制权，并将权力移交给ICANN。

2014年，NTIA移交权力的声明

这场DNS根服务器控制权的转移最终在2016年10月1日完成，ICANN在官网发布声明，将这一时刻称为“历史性时刻”。

但历史不会这么容易清算。

美国放弃了DNS根服务器的直接控制权，但掌握A根的威瑞信仍然由美国管理。并且早在2012年，美国就宣布过有权扣押任何.COM等域名。

2012年，美国移民和海关执法局发言人妮可·纳瓦斯宣布美国有权扣押任何.com、.net和.org域名

问题没有解决，只是藏得更深了而已

历史的车轮缓缓碾过，欧美联盟在窃听中被动摇，DNS解析系统出现信任危机，每个国家都迫切需要一套方案、一条退路、一个盟友 ，来解决互联网安全问题。

所有人都怒了，只等待一个将他们心里怒火勾出来的人。

横海怒舶

2013年6月棱镜门爆发后，各国开始重视互联网安全。

11月，巴西宣布将颁布法律，要求巴西公民和公司产生的任何数据都要在国内存储。欧盟同期也开始审议新的数据保护法，除非得到成员国同意，否则不得传输欧盟公民的个人数据。

中国亦开始讨论网络安全问题。2013年8月，发改委下发信息安全专项通知，针对金融、云计算、信息系统、工业控制，四个方向提出了若干要求。

2013年发改委信息安全专项通知

此时全世界都集中在解决“安全问题”这个点上，如果互联网安全是一座房子，那大家都在给这座房子打补丁。中国也同样。

但四个月后，事情发生了改变。

2014年1月21日，平淡的一天。大人置办年货，孩童点燃爆竹，中国铁路紧张进行春运。所有人都在等待新年的到来。

下午3点20分，整个中国所有正在上网的用户都突然失去链接。百度、微博、淘宝等门户网站均无法访问。

光明网对断网事件的报道

两天后，国家互联网应急中心证实，故障是由于根服务器遭受攻击所致。

这次攻击迷因重重，事发时该DNS服务器面向其他国家的解析正常运行，唯独面对中国大规模错误。倘若是网络攻击，那这种攻击相当于一伙劫匪冲进酒店，什么都没动，偏偏抢了二楼角落的一个房间。既不合理，也不应该。

有人认为这是美国对中国在棱镜门事件上强硬态度的打压，有人认为这是黑客无差别攻击。无论真相如何，我们都没法证实，因为根服务器与我们无关。

这听起来是一个无解的困境，但并非如此。

前面我们说了，IPv6在实际应用中面临着一个巨大的成本问题，即IPv6和IPv4是完全不同的协议，所有硬件都需要更换。DNS解析系统同样是建立在IP地址上的。

所以，如果使用IPv6，也必须重新设立IPv6的DNS服务器。这意味着世界将有机会打破美国掌控DNS的局面。

历史的车轮就是在这个下午转向的，有人意识到，我们需要的不是一栋房子，而是一栋建立在我们自己的土地上的房子。

伏冰五年的中国IPv6，终于迎来机会。

2014年8月，中国正处炎热，韩寒的新电影上映不久，南京地铁S8号线刚刚开通，平淡如水的日子中，一场会议在北京举行——“互联网未来基础技术发展研讨会”。

互联网未来基础技术发展研讨会

这场会议的参与人包括保罗·维克西，DNS域名软件之父；斯蒂芬·肯特，互联网安全体系之父；比尔·曼宁，互联网根服务器B根创造者；安德鲁·沙利文，IPv6协议DNS64创造者；马克·布兰特，DNS域名系统设计者；全吉南，韩国互联网之父。

中国方面的参与人包括胡启恒，中科院院士；于全，中科院院士；刘东，天地互连公司总裁；毛伟，互联网专家。

部分参会人员信息

整个会议参与者均为互联网顶级专家，其中包括两个互联网奠基人，四个互联网名人堂入选者。但和阵容级别不符的是，这场会议没有任何排场，没有灯光、演讲，也没有大屏幕。

在互联网上你甚至找不到这场会议的记叙，但它却真真实实改变了世界。

研讨会四个月后，2015年，中国下一代互联网工程中心领衔发起“雪人计划”。

雪人计划

这个计划提出以IPv6为基础，在全世界设立根服务器。法国、巴西、新西兰、荷兰最先响应；日本、印度、俄罗斯、德国随后加入。

2015年6月，雪人计划在ICANN正式制定执行，最终参与国16个，计划协调员为保罗·维克西、日本WIDE、北京天地互连。

这是世界互联网DNS系统自1998年后，最大的一次行动。

2017年11月27日，中国下一代互联网国家工程中心宣布“雪人计划”已在全球部署25台IPv6根服务器。架构为3+22（3个主根 22个辅根），中美日各设一台主根服务器，其余国家依需求设立辅根服务器。同时三个主根间等级平等，无法互相影响，这确保了所有辅根的稳定安全。

雪人计划根服务器分布情况

这25根服务器的加入，打破了此前13个根服务器的困境。在雪人计划之前，美国只要停止对中国的解析，就能让我们从互联网消失。在雪人计划之后，美国连这一点也无法做到了。

这代表一劳永逸了吗？并不。

ICANN、IEEE、IETF这些国际组织，多年以来的唯一标准就是建立一个技术统一的互联网。如果要进入IPv6，必须全世界一起。

此前美国独占话语权，将全世界停留在了IPv4，没有美国的允许，任何人都无法脱离出来独自发展。

ICANN的所有文件中，你都会看到雪人计划仅仅是一个试验性的计划，如果要借此挑战既有体系，只有死路一条。

雪人计划声明

在国内外许多报道中，都将雪人计划描述成收兵的凯旋歌，但不是，它是冲锋号，是在棱镜门和DNS霸权之后，中国联合世界各国，尝试在现有体系中撕出一道口子的试验。如果美国发难，这个试验仍会充满未知数。

而且仅仅是这样一次试验，也危机重重。

2015年6月雪人计划启动后，招致白宫不满。六个月后，2016年，世界经济论坛发布了一份白皮书，在DNS域名系统报告中，将雪人计划称为“危害互联网的变种”。

世界经济论坛白皮书中的DNS报告

DNS域名软件之父保罗·维克西当即发布文章，声明“雪人计划”仅仅是一个试验，除非IANA允许，任何人都无法更改互联网体系。日本wind、中国互联网中心随后也发表同样声明，才将指责化解。

除了无端攻击外，你会发现雪人计划共有3个主根设立在中美日，雪人计划3个主根的数据均继承自日本wind的M根，日本提供了数据，中国提供了技术并牵头发起计划，美国没有任何贡献，但仍然得到了一个主根。

计划背后的重重惊险与让步，可见一斑。

如果说在IPv4时代，中国通过设立镜像根服务器解决了“生死”的问题，那么雪人计划中设立的IPv6服务器，就是解决了“端稳饭碗”的问题。

但这还不够，远远不够。对世界来说，加入雪人计划是为了DNS安全，而对中国来说，雪人计划只是中国IPv6的关键一步。

工业再构

为什么IPv6对中国如此重要？因为它是中国过去十年最重要改革的一部分。我们需要用几分钟向你讲清楚这个改革。

过去三十多年中，中国经济经历了高速增长，主要是靠对劳动力、自然资源、资本，这三个要素的供给实现的，比如改革开放后劳动力进入城镇，这是劳动力供给；出让土地使用权生产煤炭、制造钢铁，这是自然资源供给，等等

三个要素

这三个要素在过去是拉动中国经济腾飞的“三驾马车”。但发展三十多年后，这三架马车开始减速。

2015年，中国经济指标的联动性开始出现背离，比如居民收入增加，但企业利润下降，消费上升而投资下降。中国面临着一个比其他国家更诡异的“中等收入陷阱”。

这一年也被称为中国经济的新阶段，如果跨不过这个坎，复兴无望，我们必须重新为市场提供新的东西。

过去国家投资建设全国高速公路，造就了淘宝、京东的出现；村村通4G的建设计划，让中国互联网产业迅速积累经验成为世界第一。这些都是国家供给基建，然后企业和市场来创造价值的典型案例。但当经济进入新阶段后，旧的发展模式已经疲软，我们必须为市场供给新的东西。

比如——IPv6。

就像前面说的，使用IPv4和IPv6对普通人来说没有任何差别，但对工业互联网不同。举个例子，工业互联网中依靠大量传感器来实现监控和控制，智能路灯、智能流水线，这些设备中的每一个传感器都需要IP地址。

智能生产线

IPv4时代的工业互联网中，只能使用NAT来解决，但这大大降低了效率。由于NAT隔离了终端和网络，所有指令和数据都需要通过多个NTA网关，很容易导致对象丢失。

为了解决这个问题，工程师和程序员都只能让传感器不间断传输，保持主机和传感器间的通讯，但这种行为大大增加了设备的功耗和信令负担。

能耗是其一，NAT还消灭了工业互联网的可能性。

比如我们修建了一条公路，有智能路灯和智能监控，两种设备的运作方式不同，只能使用不同的NAT网络来链接。但不同的NAT网络间是无法对话的，因为会出现地址冲突。

NAT地址冲突

也就是说在物理上，我们把路灯和监控装到了一起，但在互联网通信层上，两个东西隔着十万八千里。

这一切的解决方案，是IPv6。

如果我们使用IPv6，那么每一个设备都能得到一个独立的IP地址，所有的设备都可以互相对话、互相控制。

比如我们完全可以实现公路夜间灯光控制，通过监控实时定位车辆，车来开灯 ，车走关灯，不必所有路灯都夜间常亮。甚至只要传感器够多，还可以通过监控检测车辆的车灯亮度，然后路灯自动调整亮度和发光角度，保证车辆得到完美视野。不晃眼、不反光，没有盲区。

这还仅仅是IPv6在工业互联网中的一个小小遐想，如果真的实现，技术发展只会更快。而要在全国大规模部署IPv6，只有国家级的力量能做到。所以，我们需要为全国提供IPv6以求发展。

这种在供给侧进行改变提供增长的模式，和传统的供给学派理论不同，为中国独有，它有一个名词——供给侧改革。

供给侧改革

现在，你搞懂中国过去十年最重大改革的基本逻辑了。让我们回到IPv6。

有改革就要有实施，那么，中国IPv6的改革是如何实施的？

前面我们提到，2014年8月，互联网未来基础会议召开，但这场奠定雪人计划的会议中，还藏着一个中国IPv6的关键人物——邬贺铨，中国工程院院士，中国数字通信先驱之一。

邬贺铨

你很难想象，这个在现实世界略显瘦削的老人，在互联网世界，却是中国IPv6的大将。

从2012年开始，邬贺铨就任职中国IPv6规模部署专家委主任，主导中国的IPv6大范围应用。当年，多部委联合发布IPv6的建设意见，围绕标准制定、规模应用、产业发展制定了多个目标。

如果说吴建平是中国IPv6的学术带头人，吕述望是中国网络安全的吹哨人，那邬贺铨，就是将这一切付诸实现的执行人。

雪人计划宣布完成的同一年，2017年11月26日，国务院发布行动计划，开始IPv6的全国战略部署。

2017年国务院发布的IPv6行动计划

计划提出到2018年末，IPv6活跃用户数达到2亿，在互联网用户中的占比不低于20%，省部级以上网站 ，必须全面支持IPv6，并建立国家级IPv6发展监测平台，定期发布报告。

这份文件，是中国IPv6浪潮再起的第一缕水花。

五个月后，工信部发布行动计划，提出了落地IPv6的详细措施，直接对接四大运营商及阿里巴巴、腾讯、华为、小米等大型企业，同步IPv6的具体落地。

工信部文件

到这里你一定会有一个疑问，IPv6要如何落地？

我们在第三章提过，IPv4和IPV6是两个不同的协议，更换协议需要全世界一起更换硬件，成本巨大，难道全中国都要换硬件吗？并不。

2008年，NAT技术出现，能够将一个公网地址扩张成无数个私网地址，极大缓解了IP地址的枯竭，同时也阻碍了IPv6的发展。但几年之后，这个NAT技术演变出了一个新的协议——NAT-PT（网络地址转换协议）。

NAT-PT技术示意图

这个协议可以实现一对一的地址映射，并建立连接。简单来说就是，它可以将IPv6的地址，翻译成IPv4，让不同IP协议的主机互相对话。

2014年后，这个技术成为了全世界从IPv4过渡到IPv6的方法，我们可以在所有的IPv6设备中加入NAT-PT协议，保证现有网络不受影响，然后再逐步淘汰IPv4，最终实现纯IPv6。徐以图之。

曾经阻碍IPv6发展的NAT技术，后来却成为了IPv6腾飞的助力，情况发展的戏剧性超出了大家想象。

在关于这件事的讨论中，有人说这是技术决定论中“技术发展决定历史走向”的证明；也有人说这是中国文明缺乏创新的体现；还有人认为这是宗教中宿命论的例证。都错了。

科学技术固然是核心，但社会是一个有机系统，生产力对社会的作用要通过与生产关系的矛盾运动，和经济基础与上层建筑的矛盾运动来展开。

在2008年之前，互联网生产关系的矛盾是扩张与成本，NAT技术必然帮助扩张。但2013年之后，生产关系的矛盾逐步变化为霸权与安全，为了适应新的生产关系，NAT技术也必然演变出NAT-PT。

NAT的两个必然

换句话说，中国IPv6的发展，并不是NAT-PT技术的全功，而是中国人民在把握技术与社会的矛盾时，坚持人民群众利益的理念，于时代浪潮中造出来的。文学会骗你，宗教会骗你，但事实不会。

说回IPv6。

行动计划发布同年，2017年11月，世界互联网基础设施论坛（IIF)在中国举办揭牌仪式，邬贺铨、保罗·维克西、全吉男等近十位全球顶级互联网专家共同揭幕。

互联网基础设施论坛揭幕式

这场会议之后，此前原定在2017年结束的雪人计划，顺利开启了第二期，所有参与国的安全协定进一步完善。我们建立了一个真正民主、多边、合作的组织。

中国IPv6发展也迎来高峰。

2020年12月，CNTC大会在中国召开。CNTC全名全球网络技术大会，由中国下一代互联网国家工程中心主办，自2016年首次举办以来，这个大会已成世界互联网盛会之一。

邬贺铨在2020GNTC大会上作演讲

2020大会上，中国工程院院士邬贺铨表示，中国三大基础运营商，全国骨干网均已支持IPv6；城域网设备支持度达到95%；市场主流软硬件全部支持IPv6。地址数量、技术标准、合作频率，中国均走在了世界前列。

这场会议上，中国同时宣布推出公共DNS服务。这是全球首个纯IPv6的公共DNS服务，只要在本机的IPv6协议中将DNS服务器设置为240C::6666，你所有的解析请求，都将使用中国IPv6根服务器，智能、安全、稳定。

中国公共DNS开通

如果你是一名家长，甚至还可以在国家IPv6公共DNS网站中开启家长控制，从计算机的IP层进行限制，实现对孩子的保护。

当然，如果你的孩子能够破解这种IP层的控制，那贪玩就不是问题了，你应该送他去学计算机。

大会的同年，2020年，中国发布第47次互联网发展状况报告，在互联网基础资源中，中国的IPv6地址拥有量已达57634块/32，位居世界第二。

中国第47次互联网发展状况报告

每1个块/32的地址数量等于2的96次方，也就是近8亿个地址，57634块等于46万亿。如果算成人均，则是一人3万个。

不过这不是我们的终点，因为也许未来你全身上下的每一个细胞，都需要一个IP地址。

从1994年CERNET落地，到2008奥运展示，再到2022 世界联合，这个名为IPv6的理想，在中国的三十年激荡中飘摇、落定、成长，最终造出时代之势。

中国呼啸而来，时代亦呼啸而来。

吴建平没有离开学术，到2018年，他已先后培养研究生100余名，并被增选为中国工程院院士；吕述望仍在为DNS安全奔走，论文被译作多种语言传播；邬贺铨的征程还未告落，2020年的大会上，他宣布将继续拓展IPv6的边界，围绕6G、量子技术、卫星网络继续攻坚。

中国IPv6的故事还没有落幕，甚至还没有达到高峰，因为我们还差最后一步——使用率。

到2022年9月，中国IPv6活跃用户已达到7亿，占中国网民的67%，但从实际网络流量上看，IPv6的流量却只占到了9%。

造成这个现象的原因，是路由器。因为在真实生活场景中，绝大部分人是使用wifi进行上网。

自2018年后，中国就要求主流路由器全部搭载IPv6。但在实际生产中，许多厂商为了稳定，都将IPv6功能设置为了默认关闭。

工信部文件

如果说IPv6是一条互联网高速公路，这就相当于我们铺好了路、建好了桥，却发现没有人开车上来，因为入口被关了。

2022年，网信办发布深入推进IPv6安排，明确要求到2022年末，新出厂的路由器必须全面支持IPv6，并默认开启IPv6功能。

如果你的路由器是2018年后购买 ，2022年前安装的，那大概率没有开启IPv6，你可以在浏览器中输入192.168.1.1，进入路由器设置，手动将IPv6功能开启。

IPv6设置

按下这个按钮，你的网速不会变得更快，你的信息不会变得更多，唯一不同的是，你在互联网世界所踩的每一寸土地，都将属于我们自己。

它是我们前往新大陆的船票，再起高楼的奠基石，是我们在这片旷野之中紧攥的火种，将我们的过去、现在，送往未来。

历史的债在这里还清。我们将穿越黑暗，带着火光重临热土！

现在，烈火燎原！