<del id="aymay"></del> 1月21日下午15時10分左右,國內互聯網根域名服務器發生故障,導致大量網站無法正常訪問。虎嗅也未能幸免,處于異常狀態近30分鐘。
16時18分,國內DNS解析服務商DNSPod 發布緊急通知,確認了此次異常,并明確表示“技術人員已聯系相關機構協調處理”。此時根服務器已恢復正常,但由于緩存原因,部分地區異常狀態可能仍會持續12小時。
與此同時,“中國網絡癱瘓,疑遭黑客攻擊”的消息在Twitter、新浪微博及各類媒體上迅速傳播、蔓延。隨后的幾小時內,新聞標題已經升級為“互聯網安全專家表示,此次故障或與黑客攻擊有關”。
在官方對此故障發表正式公告之前,一切都只是猜測。可以確認的是,這是一次大規模的DNS污染。
這次故障是怎么回事?
所有連接在互聯網上的設備都必須有一個IP地址,就像每個房子都有地址一樣,這樣才能讓別人找到。這個IP地址是一段數字,例如120.84.21.23,但是用戶上網要記這段數字,太麻煩了,所以有了域名。”
域名就是IP地址的另一種體現方法,而DNS就是將域名翻譯成IP地址的翻譯器。比如,用戶在瀏覽器中輸入Facebook.com,瀏覽器就會向用戶最近的DNS服務器詢問,“Facebook.com對應的IP地址是什么?”
這個最近的DNS服務器一般是當地電信運營商的服務器。如果這個服務器不知道,他就會向上一級請求,一般是運營商的全國性DNS服務器。如果這個全國性DNS還不知道會向全球DNS服務器查詢。
這一級一級的層級中,最高一級是全球的13臺根服務器,名字分別為“A”至“M”,其中10臺設置在美國,另外各有一臺設置于英國、瑞典和日本。為了防止上述服務器出現故障造成全球性訪問異常,目前世界上很多國家都設有鏡像。我們國家在全網的出口也設有頂級的域名服務器。
為什么有的人正常,有的人異常?
這是因為為了加快用戶訪問速度,整個系統設有多級緩存,包括瀏覽器緩存、系統緩存、路由器緩存、DNS服務器緩存等等。
當用戶訪問一個網站時,其瀏覽器會自動記錄域名對應的IP一段時間,這樣用戶在第二次進入該網站時,瀏覽器就不必向上一層級反復查詢,直接就可以告知用戶結果。同樣的,用戶的電腦、路由器和DNS服務器都會設置一定的緩存,當然緩存是有時間限制的,到期就要向上級服務器查詢最新的記錄。
當頂級根域名服務器出現故障時,用戶的訪問不會馬上中斷,因為各級緩存還在。當緩存時間到后,他們會向上一級重新查詢,這時根服務器的錯誤反饋才會生效,導致用戶訪問異常。然而這個緩存時間,因設置不同,差異很大。有的緩存時間只有30秒,有的緩存時間長達12小時。
截至當日下午4點,全國根服務器的解析陸續恢復正常。同樣的道理,出現異常的用戶也不會馬上恢復正常,因為錯誤的記錄仍然在緩存中,最長可能需要等待24個小時,緩存到期后,正確的記錄才會生效。
而對于一個大型網站來說,其內容一般不是全都放置在同一域名下。比如圖片、數據庫一般都采取不同的域名,當有的域名緩存正確,有的域名緩存錯誤時,就會出現頁面加載出來,而圖片出不來,或者圖片出來,文字數據錯亂的情況。
神秘IP地址引發黑客疑云
這次事故的原因是根域名服務器被污染,域名解析請求都被指向“65.49.2.178”這個IP地址。
據粗略估算,受到影響的國內用戶超過2億,平均受影響的時間約在3小時左右。截至21日晚間1點,全國仍有十余個地區受DNS估值影響,包括貴州電信、河南電信、香港新世界、江蘇電信、北京電信通等。
國內漏洞報告平臺“烏云”稱,65.49.2.178這個IP位于國外,有證據表明該IP所處于的網絡有過發送垃圾郵件及其他有政治目的的黑客活動,不排除此次攻擊為黑客所為。
這次DNS污染事件影響之廣、范圍之大在國內尚屬首例,遠遠超出一般黑客的能力范圍。“很可能與主干網絡的設置調整有關。”上述網絡安全專家說。
