O que acontece com os DPNs específicos de um país em uma guerra envolvendo esse país?

Estou tentando descobrir o que poderia acontecer e o que provavelmente acontecerá - estou baseado no Reino Unido e em domínios próprios do Reino Unido, bem como em domínios estrangeiros, como os TLDs da Rússia e dos EUA, por exemplo: domain.co.uk, domain .ru, domínio.us.

Eu não entendo completamente como o DNS funciona, mas o que estou tentando descobrir é se eu tenho TLDs estrangeiros e eles estão hospedados em um servidor que está no meu país, se o acesso ao URL pode ser interrompido ou restringido por o país anfitrião do TLD e, se isso for possível, existe alguma probabilidade de que isso aconteça no caso de envolvimento em uma guerra ou em um grande colapso político entre os países?

• É fisicamente possível que um país possa restringir ou proibir o acesso a seus DPNs específicos de alguns ou de todos os outros países? (por exemplo, EUA e Rússia em guerra, é fisicamente possível impedir a Rússia de acessar seus TLDs .us?)
• É provável que os TLDs sejam restringidos ou banidos de alguma forma? Teria alguma vantagem para qualquer país fazer isso? (por exemplo, Reino Unido e EUA em guerra, teria alguma vantagem para os EUA proibir o Reino Unido de acessar seus TLDs .uk?)
• Algum país restringiria seu próprio país de acessar os TLDs de outros países? (por exemplo, Reino Unido em guerra com a Rússia, o Reino Unido teria algum motivo para proibir o acesso a sites russos?)

Estou tentando descobrir se possuo TLDs estrangeiros e eles estão hospedados em um servidor que está no meu país, se o acesso ao URL pode ser interrompido ou restringido pelo país anfitrião do TLD

A resposta curta é sim (mas não pense apenas em URLs, ou seja, na Web, mas em qualquer tipo de serviço, como email, VOIP etc.)

Aqui está o porquê. A raiz do DNS da IANA delega cada TLD para alguns registros. Os gTLDs são delegados por registros sob contrato com a ICANN e os registros de ccTLDs são delegados a governos de países relevantes, cada um decidindo tecnicamente como o ccTLD é gerenciado (há muitos modelos: às vezes ele ainda é administrado pelo próprio governo, às vezes é terceiriza para uma organização sem fins lucrativos e, às vezes, é colocada em leilão para a melhor oferta, incluindo empresas).

Esses registros gerenciam servidores de nomes nos quais cada domínio registrado no TLD é delegado por meio de registros NS.

Dito de forma diferente, sem nenhum cache, cada acesso a um nome de domínio em um TLD, para sua resolução, em algum momento chega ao servidor de nomes do TLD. Portanto, teoricamente, eles poderiam responder qualquer coisa e encaminhar seu domínio para qualquer outra coisa.

Isso é restrito porque o DNS possui um cache; portanto, o servidor de nomes do TLD não será consultado em cada resolução, apenas por algum tempo.

Esse processo é facilmente visto usando dns +trace, como:

dig www.openstreetmap.fr +trace @1.1.1.1 +nodnssec

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.openstreetmap.fr +trace @1.1.1.1 +nodnssec
;; global options: +cmd
.           6313    IN  NS  a.root-servers.net.
.           6313    IN  NS  b.root-servers.net.
.           6313    IN  NS  c.root-servers.net.
.           6313    IN  NS  d.root-servers.net.
.           6313    IN  NS  e.root-servers.net.
.           6313    IN  NS  f.root-servers.net.
.           6313    IN  NS  g.root-servers.net.
.           6313    IN  NS  h.root-servers.net.
.           6313    IN  NS  i.root-servers.net.
.           6313    IN  NS  j.root-servers.net.
.           6313    IN  NS  k.root-servers.net.
.           6313    IN  NS  l.root-servers.net.
.           6313    IN  NS  m.root-servers.net.
;; Received 431 bytes from 1.1.1.1#53(1.1.1.1) in 64 ms

fr.         172800  IN  NS  f.ext.nic.fr.
fr.         172800  IN  NS  d.ext.nic.fr.
fr.         172800  IN  NS  g.ext.nic.fr.
fr.         172800  IN  NS  e.ext.nic.fr.
fr.         172800  IN  NS  d.nic.fr.
;; Received 357 bytes from 192.33.4.12#53(c.root-servers.net) in 62 ms

openstreetmap.fr.   172800  IN  NS  a.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  c.dns.gandi.net.
openstreetmap.fr.   172800  IN  NS  b.dns.gandi.net.
;; Received 110 bytes from 194.0.36.1#53(g.ext.nic.fr) in 68 ms

www.openstreetmap.fr.   10800   IN  CNAME   osm146.openstreetmap.fr.
osm146.openstreetmap.fr. 10800  IN  A   217.182.186.67
openstreetmap.fr.   10800   IN  NS  b.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  a.dns.gandi.net.
openstreetmap.fr.   10800   IN  NS  c.dns.gandi.net.
;; Received 147 bytes from 217.70.179.1#53(c.dns.gandi.net) in 81 ms

Você pode ver cada etapa recursivamente, à esquerda do rótulo (raiz, depois o TLD, o domínio e o nome do host final) e à direita nos NSregistros os servidores de nomes autoritativos em cada etapa, primeiro os IANA para a raiz e depois os para o TLD, depois o nome do domínio.

A cada passo, um servidor de nomes pode mentir e fornecer uma resposta falsa, como qualquer elemento ativo no caminho que possa alterar a consulta ou a resposta. O DNSSEC fornece algumas proteções contra isso, mas primeiro nem todos os domínios são protegidos pelo DNSSEC (muito poucos deles de fato) e, em seguida, isso não conseguiu resolver um TLD "não autorizado".

Esta é a parte técnica. Suas outras perguntas são mais um problema político. Mas observe que, exatamente pelas mesmas razões, alguns países decidiram, ou pelo menos anunciaram, que desejam operar sua própria raiz DNS. A lógica é que a raiz atual está sob a supervisão dos EUA (que é um ponto complicado que pode ser discutido sem parar, para que eu não desenvolva esse ponto específico aqui e agora), e alguns países temem que os EUA possam "censurar" um TLD dessa maneira , especialmente alguns países que são considerados inimigos pelo governo dos EUA. No entanto, muitos atores acreditam que, se isso acontecer um dia, será metaforicamente no mesmo nível de um ataque nuclear e fragmentará a Internet de uma maneira que nunca poderá ser costurada novamente.

Observe, por exemplo, este caso: alguns demandantes processaram para obter indenizações por baixas após ataques terroristas e exigiram (mas isso foi recusado) que isso controlasse os ccTLDs que consideravam ser a fonte do terrorismo. Veja este artigo para uma parte da história: " Matar .IR para compensar vítimas terroristas: IGOs ​​em socorro? "

O outro ponto importante a entender primeiro é que, assim que você compra um nome de domínio em qualquer TLD, está vinculado (mesmo que não o leia quando deveria) pelos regulamentos desse TLD, que ditam os requisitos de elegibilidade e qualquer outras restrições relacionadas ao registro e manutenção de um nome de domínio. Para ccTLDs, isso inclui especificamente cumprir as leis do país. E como alguns ccTLDs são comercializados como TLDs agradáveis ​​para jogos de nomes de domínio, algumas pessoas não percebem isso. Por exemplo, a tendência em um momento foi iniciada .LYe, por mais engraçado que você queira ver um nome de domínio interessante, esse ainda é o ccTLD do país "Lybia" e, portanto, você precisa seguir as leis e a sharia. Algumas empresas perderam ou arriscaram perder seu nome de domínio exatamente pelas mesmas razões. Veja por exemplo:Problemas em terras inteligentes em domínios: Bit.ly e outros correm o risco de perder Swift.ly "ou" o domínio da Líbia não encerra nenhuma ameaça, insiste em bit.ly "

Como estamos iniciando .LYe você falou sobre guerras, esses artigos podem lhe dar uma visão retrospectiva do que as guerras podem fazer com nomes de domínio (TLDs) ou apenas lutar por controles:

• " Dr. Hosni Tayeb e o caso da Internet que desaparece; por que a Líbia foi desolada " (2004)
• " A Internet da Líbia fica escura à medida que a turbulência se espalha; as comunicações líquidas são cortadas " (março de 2011)
• " Kadafi expulso de Whois da Líbia " (novembro de 2011)

Mas observe também que mudanças drásticas podem acontecer nos ccTLDs, mesmo sem guerras. Este é um exemplo (in) famoso: " A história do domínio nacional de primeiro nível eslovaco roubado .SK "

Vamos voltar às suas perguntas específicas, mas observe que elas envolvem parte de respostas subjetivas.

É fisicamente possível que um país possa restringir ou proibir o acesso a seus DPNs específicos de alguns ou de todos os outros países? (por exemplo, EUA e Rússia em guerra, é fisicamente possível impedir a Rússia de acessar seus TLDs .us?)

Sim, tecnicamente, você pode imaginar que os .USservidores de nomes negam responder a solicitações provenientes de um local geográfico específico do mundo. No entanto, isso estaria longe de 100% por vários motivos: a geolocalização de IP não é uma ciência rigorosa com 100% de confiabilidade, o DNS possui caches, é fácil usar uma VPN, qualquer pessoa (incluindo pessoas dos países afetados) poderia usar um resolvedor aberto , como DNS público do Google ou CloudFlare one ou Quad9 one (na verdade, isso era usado no passado para combater a censura do estado, veja, por exemplo: " Google DNS Freedom Fight: 8.8.8.8 "), etc.

É provável que os TLDs sejam restringidos ou banidos de alguma forma? Teria alguma vantagem para qualquer país fazer isso? (por exemplo, Reino Unido e EUA em guerra, teria alguma vantagem para os EUA proibir o Reino Unido de acessar seus TLDs .uk?)

Como escrito acima, tecnicamente a raiz da IANA lista o TLD ativo hoje. Tecnicamente, isso pode mudar, mas sob processos específicos, como os novos gTLDs da ICANN em 2012. Quanto às mudanças nos ccTLDs (como os países podem decidir alterar vários detalhes em seu TLD, incluindo o gerente técnico), eles precisam seguir " Delegando ou transferindo um domínio de nível superior com código de país (ccTLD) ".

Agora, além da parte técnica, existem "políticas" no sentido genérico:

• Atualmente, a IANA é mais uma "função" do que uma estrutura. A estrutura é o PTI (Public Technical Identifiers), que atualmente é afiliado da ICANN. Consulte https://www.iana.org/about para obter detalhes
• A ICANN é uma organização sem fins lucrativos, constituída na Califórnia, EUA. Foi recentemente um conjunto profundo de mudanças, depois da pressão de muitos governos estrangeiros para que possa ser vista como mais "internacional" e menos sob controle direto do governo dos EUA, como aconteceu no passado (veja o infame fiasco em torno da .XXXdelegação) . Agora não há mais um contrato específico entre ICANN e o governo dos EUA especificamente para as funções da IANA.
• o operador técnico do servidor de nomes raiz A, que é o mestre de todos os quais o servidor de nomes raiz é "puramente", uma cópia é gerenciada pela VeriSign, uma empresa americana contratada diretamente pelo governo dos EUA.

Algum país restringiria seu próprio país de acessar os TLDs de outros países? (por exemplo, Reino Unido em guerra com a Rússia, o Reino Unido teria algum motivo para proibir o acesso a sites russos?)

Essa é uma forma de censura ao DNS e tem como alvo mais os servidores de nomes recursivos, em vez dos oficiais. Sim, os países podem ordenar às operadoras locais que proíbam o acesso (mais precisamente: resolução) a alguns sites específicos. Isso acontece em todos os lugares: EUA, Alemanha, França, China, Austrália etc. (para ser sincero, não tenho certeza de que você poderia encontrar muitos países com absolutamente nenhuma censura como essa) por vários motivos, com base na política local e porque alguns sites são considerados ilegais para serem consultados a partir de um determinado país.

Mas, como qualquer forma de censura, pode ser evitada por mecanismos mais ou menos complicados. Como nos exemplos acima, quando em alguns países os servidores de nomes recursivos locais foram proibidos de resolver alguns nomes, as pessoas escreveram 8.8.8.8(endereço IPv4 do resolvedor de DNS público do Google) para que qualquer pessoa pudesse reconfigurar seu sistema para usá-lo em vez do local (mentindo ) Resolvedor de DNS, já que, obviamente, o país em questão não pôde impor ao Google que alterasse suas respostas para algumas das consultas. Em outros casos, no passado, onde até a Internet como transporte era interrompida, alguns provedores de serviços de Internet em outros países forneciam linhas telefônicas conectadas a modems que você podia discar para obter acesso novamente à Internet, mesmo se todas as FAIs locais fossem encerradas.

Atualmente, a censura do DNS é mais frequentemente sobre alguns nomes de domínio específicos, em vários TLDs, mas a base seria exatamente a mesma para censurar um TLD inteiro.

Este artigo técnico pode fornecer muitas visões retrospectivas sobre como isso é feito e como é contornado: " Censura de DNS (DNS encontra-se) como vista pelo RIPE Atlas "

Esse único ponto de censura do DNS / Internet pode ser expandido de várias maneiras para detalhar tudo o que aconteceu no passado, mas espero que os pontos anteriores já tenham lhe dado idéias sobre o que é tecnicamente possível e como isso se encaixa em toda a estrutura de política / governança.

Esta é uma pergunta interessante. É possível que um país negue o acesso a subdomínios de seus ccTLDs? Sim. É provável, mesmo remotamente, que eles o façam? Não.

Se alguém estiver navegando para os endereços domain.ru, os resolvedores deles acabariam acessando os servidores de nome do ccTLD .ru e perguntando 'onde estão os servidores de nome domain.ru?'

Sob padrões internacionais, o DNS é um protocolo justo, o que significa que todas as perguntas recebem uma resposta. É possível que os servidores de TLD .ru digam 'aha! esse IP é do Reino Unido e não lhes diremos onde está o servidor de nomes domain.ru ', mas isso não seria bom para eles.

Por fim, a direção de tudo é controlada pelos servidores raiz. São 13 servidores raiz independentes, operados por 12 organizações independentes, que trabalham juntos para manter o acesso igual ao DNS. Se isso realmente acontecesse, os servidores raiz, em colaboração com os organismos padrão internacionais, poderiam literalmente substituir os servidores russos por outra pessoa. Ou seja, em vez de dizer 'vá encontrar .ru lá na Rússia', eles poderiam dizer 'vá encontrar .ru aqui na Ucrânia'.

Embora possível, é realmente contrário a todo comportamento internacional e é extraordinariamente improvável.

editado: altere o texto para esclarecer não 13 organizações independentes, mas 13 servidores raiz.

Estou tentando descobrir se possuo TLDs estrangeiros e eles estão hospedados em um servidor que está no meu país, se o acesso ao URL pode ser interrompido ou restringido pelo país anfitrião do TLD e, se isso for possível, existe alguma probabilidade de que isso aconteça em caso de envolvimento em uma guerra ou em um grande colapso político entre os países?

É possível e já aconteceu sem guerra.

A China possui o TLD .cn. Costumava ser aberto ao mundo. Se o governo chinês quiser derrubar um domínio .cn porque não gosta de algum conteúdo, ele poderá alterar o registro DNS desse domínio .cn.

No entanto, não era uma maneira perfeita para o governo chinês gerenciá-lo, porque quem sabe qual conteúdo é veiculado a partir de qual domínio .cn. Então, um dia o governo decidiu que todos os domínios .cn precisam apontar para endereços IP fisicamente na China. (Se você possuía um domínio .cn apontando para um IP fora da China na época, eles lhe deram algum tempo para migrar ou desligar seu domínio.)

Ao forçar as pessoas a hospedar domínios .cn fisicamente na China, o governo chinês pode inspecionar quais serviços cada domínio fornece e qual conteúdo ele serve. Pode até forçar as pessoas a instalar backdoor em seus servidores como requisito para colocar qualquer servidor no data center. (Tentou essa idéia por um tempo.)