Может ли суверенный интернет существовать в РФ с учетом того, что dns-записи во многих случаях хранятся на зарубежных ns-серверах?
В контексте вероятных блокировок / замедлений Cloudflare решил перевезти свой домен с сайтом (который я использую в связке с xray) с ns-серверов CF на регру (почему-то неудачно, но речь не об этом).
Параллельно я понял, что более чем не разбираюсь в DNS-теме и возникла мысль ниже.
Страны говорят о суверенном интернете, защите от киберугроз, защите от "отключения от глобального интернета". И вот мне интересен последний пункт.
Да, допустим какие-то сервера с "контентом" локализованы в стране. Но (если я правильно понимаю) первоисточники dns-записей - корневые сервера, ns-сервера гугла и клаудфлейр находятся за рубежом? То есть, по сути ограничив доступ РФ к ним, можно навести неплохой такой шорох в перспективе?
Да, есть несколько уровней кэша dns-записей, который какое-то время будет актуален. Но со временем начнутся отвалы.
Или в таком сценарии, условно, какой-нибудь отечественный CDN станет чем-то типа корневого сервера, агрегирующего все записи?
Да, есть несколько уровней кэша dns-записей, который какое-то время будет актуален. Но со временем начнутся отвалы.
А кэш он, наверное, где-то в квантовом поле храниться, и разрушается ну совершенно неизбежно, и ну ничегошеньки нештатного в нештатной ситуации с ним поделать никак нельзя, да?
Впрочем, они и без кэша давно всё что нужно продублировали.
...
Были тут деятели, предлагавшие всё разделигировать нафиг, но хоть эти деятели и имеют докторскую степень по экономике, на некоторые темы, всё же, лучше жевать
Технически возможно сделать полностью независимую подсеть интернета, суверенные сайты будут работать в суверенных браузерах с суверенной осью, но полученная конструкция будет не интернет, а локалка, по типу севернокорейской, со всеми остальными вытекающими от сюда недостатками.. и кстати сил на эту конструкцию уйдет немеряно.
Главная причина - центры сертификации (выдача сертификатов для работы https), они значительно централизовали интернет, поставив его в зависимость от грубо говоря единого центра во главе с США, как они скажут, те корневые сертификаты будут 'у всех'
Еще более главная причина, верные решения не будут выбираться, так как на этом не заработать, ведь гораздо удобнее продавать целую ос с вендорлоком и господдержкой, вместо удобных механизмов адаптации уже существующих.
И в лучшем случае эта локалка выродится в десяток централизованных сервисов, спонсируемых и управляемых государством, а все остальное поддерживать в работоспособном состоянии не будут, когда как работа интернета в децентрализации.
spoiler
Проблема изоляции в том, что крохотная страна (150кк населения, в демографической яме, восполняющая циферки статистики выходцами из 'аулов и кишлаков') не способна существовать на самообеспечении,.. в лучшем случае влачить существование.
У китая более менее получилось, только потому что процесс самоизоляции проходил постепенно, одновременно с появлением и ростом самого интернета, и конечно потому что жителей там в десять раз больше, ну и правительство по видимому не делает откровенного трешака в вопросах этого самообеспечения (например не выставляя свою страну в тотальную зависимость от других, а делает наоборот,.. по изучайте как-нибудь на досуге, как в россии жрачку делают, выращивают, где берут семена/яйца/.. как относятся к генным модификациям и т.п.).
rPman, ну на самом деле формально корневые ЦС не монополизировали, так как их заметно больше одного - нет формального признака монополии, но вот как бы случайно если рассматривать ЦС по принадлежности к юрисдикции - то да, есть нечто типа монопольности)
d-stream, главный полицейский запретил работать СЦ с компаниями под санкциями и вот весь мир боится давать сертификат условному сбербанку... нет там никакой децентрализации, и ломают это уже давно, просто не видно было раньше
p.s. что тебе dns, если на уровне протоколов сеть банится у всех провайдеров страны.. что такое входящие подключения, можешь ужже забыть, выделенный ip конечно покупай, но пользоваться этим не получится
Вообще, не уверен что они уже сейчас не кэшируют DNS-запросы где-нибудь на пограничных узлах сети.
Лет 10 назад работал в компании которая производила и разрабатывала оборудование беспроводных сетей. Они единственные кто в РФ сделал CDMA чип, но ошиблись с одним выводом. Так вот коллеги из бывшего коллектива много что дедали. Сертификаты на лету генерировали и запросы перехватывали. По этому я сомневаюсь что он не будет работать. Другой вопрос состоит в мотивах по которым проходят данные спекуляции. На мой взгляд, это все давно ушло из плоскости"чтобы было безопасно и надежно" в плоскость "чтобы эффективнее использовать рабочую силу россиян". Т.е. Вы условно говоря обрабатываете запрос на Aliexpress каком-нибудь, а вам под дудкой отключения от иниернета посовывают пусский Ali, на котором работают просто перекупы. Скоро обычные пользователи в радиолюбители перейдут и будут на КВ работать чтобы без посредников.
Я не сторонник теории заговора, но знаю приблизительно как устроена власть уже. Они обычно называют простых людей "детьми" а себя мнят "директорвми детской площадки". Короче любые казалось бы благородные мотивы переходят в разряд наживы конечном счете.
А так, ну отловят они все запросы к 8.8.8.8 и отдадут вам правильный ответ (если еще не перехватывают) и все. А корневые для зоны ru у себя хранить будут.э и все путем. О суверенности конечно думать нужно, но еще больше нужно думать как нас загоняют в цифровое рабство. Мне непонятно для чего фильтровать трафик гражданского лица не обладающего криминальной или политической активностью кроме как для надивы на нем и дезинформации по принципу разделяй и влавствуй.
Что мешает мне перенести днс с клаудфларе в Россию это три секунды
Ну и корневой для своих зон поднять в России тоже можно.
Интернет это основное поле пропаганды для запада, выключить интернет внешний хотим мы сами изнутри а не халва снаружи, как бы основной стек вертикальных интернет сервисов от такси до поисковика у нас свои.
То есть вы путаете мотивацию, отключаем внешний интернет мы, запад всячески спонсировал в свое время впны чтобы бороться с этим
Каждый корневой сервер DNS состоит из множества хостов-реплик, размещаемых в различных локациях сети Интернет и имеющих один IP-адрес. Маршрутизация запросов к репликам корневых серверов DNS осуществляется с применением технологии anycast. Таким образом достигается малое время отклика и стабильная работа системы.
На 24.11.2023 в России размещены следующие реплики корневых серверов DNS[4]:
Первоисточник - это тот dns-сервер, адрес которого прописан у вас на сетевом интерфейсе. Ему ничего не мешает хранить хоть все доменные зоны у себя, как и не мешает в качестве корневых использовать произвольные сервера.
какой-нибудь отечественный CDN станет чем-то типа корневого сервера, агрегирующего все записи?
Именно так. У каждого DNS-сервера есть файло named.root. В нем перечислены все корневые сервера, к которым сервер обращается, когда не знает, где ему отрезолвить имя. Ничего не мешает в этом файле прописать вместо IANA-серверов a-root.servers.net, b-root.servers.net и т.д. какие-нибудь импортозамещенные :)
С этим проблем не будет. Почти уверен что почти все российские сервисы используют российские dns сервера. Те, что не используют - довольно легко перенести в Россию. Это задача на 1 час. Максимум сутки, если админ гдето отдыхает. В дополнению к этому проблему dns серверов можно решить централизованно - сделав зеркало.
