|
|---|
|
|
|
|
|
|
w*********g
发帖数: 30882 | 1 中国互联网根域名服务器(DNS)故障的现象与推测
来源: kylelong 于 2014-02-03 10:02:48 [档案] [博客] [旧帖] [给我悄悄话] 本文
已被阅读:316次 字体:调大/调小/重置 | 加入书签 | 打印 | 所有跟帖 | 加跟贴 |
查看当前最热讨论主题
1,网络故障现象:
2014年1月21日,众多网站同行报告称国内互联网根域出现问题,导致大量网站域名解
析不正常,分析后发现,所有通用顶级域名的根域解析出现异常。故障具体表现在域名
访问请求被跳转到几个没有响应的美国IP上,不同省份的用户均出现不同程度的网络故
障,但也有访问完全正常的案例。
2,根域名服务器(DNS):
维基解释:域名系统(Domain Name System,简称DNS)是整个互联网服务的底层基础
之一。这一服务将人们访问的互联网域名转换为IP地址,相当于网络访问的指路牌。举
例来说,ifeng.com是一个域名地址,方便人们记忆与输入。但其实每个域名都必须要
与一个服务器的IP地址相对应,才能被网络正确识别和访问到,如210.51.19.61。域名
系统就负责将好记的域名地址转换为真实的IP地址,这一转换的过程,有一个术语叫做
“域名解析”。域名系统由DNS服务器来运行,DNS服务器是一个树状的分布式的大型网
络。其中最顶级的服务器叫做根服务器(Root Server),存储了全球所有通用域名的
信息。在根服务器之下,有大量的一层一层的次级服务器,面向用户提供服务。
一般的用户安装好网络之后,会使用宽带运营商提供的本地DNS服务器。这是离用户最
近的DNS服务器,位于整个DNS网络的最末端。DNS服务器采用缓存机制,当用户在本地
DNS服务器找到域名解析结果的时候,就直接返回IP地址。如果找不到,则最近的服务
器将依次向上查询,查询更上层的服务器,层层循环,一直查询到最高等级的根服务器
。同时,查询到后,本地服务器就会缓存下来,其它用户再次访问该域名时,可以直接
在本地服务器拿到结果,不用再次层层查询。这一域名网络具有严格的等级制度,底层
服务器严格遵循上层服务器的更新结果。这一层层向上查询并缓存的机制,保证了整个
域名系统的高效。但也为安全带来了隐患:即一旦上层的DNS服务器受到攻击时,所有
底层的服务器都将受到牵连,从而导致大规模的网络瘫痪。
网友以1月21日的这次DNS故障为例分析:位于中国的高级别的域名服务器出现故障,导
致中国大部分的域名服务器解析出现错误,从而导致了接近2/3的中国互联网瘫痪。据
金山毒霸网络专家的数据,近年来中国大规模的网络瘫痪事故有五起。包括2006年台湾
地震震断海底光缆事故、2009年暴风DNS受攻击导致大范围断网、2010年百度域名被劫
持事件、2011年中国电信宽带维修导致大规模网络故障、以及昨日2014年DNS域名根服
务器故障。从近年来的五起网络瘫痪大事故看来,除了不可抗力的地震和维修导致物理
故障之外,其余的三起事故都是由DNS系统引起的。事实上,作为互联网最基础的服务
之一,随着互联网应用的不断发展,互联网安全链条上最薄弱的环节就是DNS域名系统
了。也就是说,因为技术的路径依赖和特殊的社会历史原因,对DNS系统的重新设计和
大修几乎是不可能的,支撑全球网络的DNS系统不可能完全颠覆重来。
3,出现解析异常的推测
(1)DNS故障原因极有可能为GFW工作人员乌龙操作。
http://www.zhihu.com/question/22572025
http://www.v2ex.com/t/97867
http://ovear.info/post/207
(2)根服务器故障DNS解析失败互联网络瘫痪疑因美翻墙软件。
专业人士进一步分析指出:访问任何以 .net,.com,.org结尾的域名的网站,统统被
送到65.49.2.178这个IP上,而这是一个翻墙代理服务器提供商的IP。该IP位于美国北
卡罗来纳州卡里镇DynamicInternetTechnology公司,大量中国知名IT公司的域名被解
析到该地址。
《环球时报》记者21日晚通过多方调查发现,这家名为DynamicInternetTechnology的
公司与研发“自由门”翻墙软件的是同一家公司。依据名称和地址,记者在查询这家公
司信息过程中了解到,该公司总裁为比尔·夏,此人正是“自由门”的创始人。
DynamicInternetTechnology公司网站介绍称,其服务对象包括Dajiyuan、美国之音、
自由亚洲电台等,为中国的互联网用户提供被屏蔽网页的访问服务。《环球时报》记者
发现该公司并未留下联系电话,只有传真和电子邮件联系方式。记者向该公司发出电子
邮件询问,比尔·夏回复称其与此事无关,事件更像是DNS域名被第三方劫持。
(3)国家互联网应急中心22日证实,这次故障是由于根服务器遭受网络攻击所致。
“游戏团队拿了68薪的年终奖,技术团队愤而格式化”——这条段子是21日互联网界的
热点。
(4)有人指出:这次网路瘫痪并非骇客所为,最可能的是中国的防火墙跟自己开了个
天大的玩笑,因为只有中国的“防火长城”能同时瘫痪不同网站的DNS。
4,根域名服务器的背后
2014年1月21日,中国境内三分之二网站由于DNS域名根服务器故障,处于瘫痪状态,网
站的访问受到严重影响。初步判断此次事件是由于网络攻击导致中国境内互联网用户通
过国际顶级域名服务解析时出现异常。目前,全球只有13个顶级根域名服务器维持着整
个互联网的运行,其中10个在美国,在中国尚未有布置。中国使用这些根服务器是否需
要付费?每年大约多少?
来自网络的消息称:中国没有根服务器。根服务器主要用来管理互联网的主目录,全世
界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置
在美国;欧洲2个,位于荷兰和瑞典;亚洲1个,位于日本。所有根服务器均由美国政府
授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域
名体系和IP地址等的管理。
2010年3月16日前,中国大陆有其中两个根域DNS镜像,但因为多次发生DNS污染而影响
外国网络,威胁互联网安全和自由而被撤销路由通告。据2008年1月《第一财经日报》
援引中央党校的一份报告推算说,中国每年向美国支付的使用现有国际互联网的费用,
包括域名注册费、解析费和信道资源费及其设备、软件的费用等,高达5000亿元以上,
超过了当年中国国防预算的数额。相当于当年云南全年的GDP(5700亿元),占到广东
当年GDP(35696亿元)的七分之一。
但另据《南方都市报》报道,《中国域名经济》丛书主编沈阳说,通用顶级域名(gTLD
)注册费,一个是5.5美元,中国大概有300万个,一年是1650万美元;中国去美国的单
向流量信道费2004年是10亿元人民币。所谓的“解析费”是不存在的,是蒙人的说法。
在中国互联网发展的早期,中文资源少,国内用户访问外国网站较多。随着中文信息的
丰富,反而是国外用户访问国内网站多于国内用户访问国外网站,所以相关的费用还在
逐年下降。
5,笔者推测
2014年1月21日,中国互联网根域名服务器(DNS)的故障,并非所谓的“故障”,而是
中国安全部门(即新成立的国家安全委员会)对中国网络安全进行的一次有效的测试,
因为中共中央政治局星期五(1月24日)召开会议,决定了中央国家安全委员会设置,
中央国家安全委员会由习近平任主席,李克强、张德江任副主席,下设常务委员和委员
若干名。此次网络安全测试被证明是成功的,中国自己设计的网络安全系统是可行的,
有望在不远的将来,完全取代由美国控制和管理的“国际互联网”,笔者称之为“中国
全球电讯网”。
为什么这样推测?
据资深网友分析:21日的DNS攻击虽然已经平息,但这样的情况的发生,自然给我们敲
响了警钟,如果下一次这样的攻击不再像这次一样,只是一次“玩笑”,而是真真正正
的网络进攻,而且范围达到整个中国,甚至影响到政府层面的网络安全的话,我们又应
该怎么来面对呢?从战略角度上讲,当国家安全受到威胁的时候,一切都应以大局为重
,很可能届时会启动应急方案,拉停国内的民用互联网。所以,提升网络安全,是我们
必须认真对待的现实问题。
根据上述几个方面的分析,笔者由此可以断定:中国相关部门研制多年的“中国全球电
讯网”,在今年得到了一次有效而成功的测试,必将在不远的一天,全面取代当今的“
国际互联网”。我们拭目以待! |
|
|
|
|
|
|
