1月21日下午15时10分左右,国内互联网根域名服务器发生故障,导致大量网站无法正常访问。虎嗅也未能幸免,处于异常状态近30分钟。
16时18分,国内DNS解析服务商DNSPod 发布紧急通知,确认了此次异常,并明确表示“技术人员已联系相关机构协调处理”。此时根服务器已恢复正常,但由于缓存原因,部分地区异常状态可能仍会持续12小时。
与此同时,“中国网络瘫痪,疑遭黑客攻击”的消息在Twitter、新浪微博及各类媒体上迅速传播、蔓延。随后的几小时内,新闻标题已经升级为“互联网安全专家表示,此次故障或与黑客攻击有关”。
在官方对此故障发表正式公告之前,一切都只是猜测。可以确认的是,这是一次大规模的DNS污染。
这次故障是怎么回事?
所有连接在互联网上的设备都必须有一个IP地址,就像每个房子都有地址一样,这样才能让别人找到。这个IP地址是一段数字,例如120.84.21.23,但是用户上网要记这段数字,太麻烦了,所以有了域名。”
域名就是IP地址的另一种体现方法,而DNS就是将域名翻译成IP地址的翻译器。比如,用户在浏览器中输入Facebook.com,浏览器就会向用户最近的DNS服务器询问,“Facebook.com对应的IP地址是什么?”
这个最近的DNS服务器一般是当地电信运营商的服务器。如果这个服务器不知道,他就会向上一级请求,一般是运营商的全国性DNS服务器。如果这个全国性DNS还不知道会向全球DNS服务器查询。
这一级一级的层级中,最高一级是全球的13台根服务器,名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。为了防止上述服务器出现故障造成全球性访问异常,目前世界上很多国家都设有镜像。我们国家在全网的出口也设有顶级的域名服务器。
为什么有的人正常,有的人异常?
这是因为为了加快用户访问速度,整个系统设有多级缓存,包括浏览器缓存、系统缓存、路由器缓存、DNS服务器缓存等等。
当用户访问一个网站时,其浏览器会自动记录域名对应的IP一段时间,这样用户在第二次进入该网站时,浏览器就不必向上一层级反复查询,直接就可以告知用户结果。同样的,用户的电脑、路由器和DNS服务器都会设置一定的缓存,当然缓存是有时间限制的,到期就要向上级服务器查询最新的记录。
当顶级根域名服务器出现故障时,用户的访问不会马上中断,因为各级缓存还在。当缓存时间到后,他们会向上一级重新查询,这时根服务器的错误反馈才会生效,导致用户访问异常。然而这个缓存时间,因设置不同,差异很大。有的缓存时间只有30秒,有的缓存时间长达12小时。
截至当日下午4点,全国根服务器的解析陆续恢复正常。同样的道理,出现异常的用户也不会马上恢复正常,因为错误的记录仍然在缓存中,最长可能需要等待24个小时,缓存到期后,正确的记录才会生效。
而对于一个大型网站来说,其内容一般不是全都放置在同一域名下。比如图片、数据库一般都采取不同的域名,当有的域名缓存正确,有的域名缓存错误时,就会出现页面加载出来,而图片出不来,或者图片出来,文字数据错乱的情况。
神秘IP地址引发黑客疑云
这次事故的原因是根域名服务器被污染,域名解析请求都被指向“65.49.2.178”这个IP地址。
据粗略估算,受到影响的国内用户超过2亿,平均受影响的时间约在3小时左右。截至21日晚间1点,全国仍有十余个地区受DNS估值影响,包括贵州电信、河南电信、香港新世界、江苏电信、北京电信通等。
国内漏洞报告平台“乌云”称,65.49.2.178这个IP位于国外,有证据表明该IP所处于的网络有过发送垃圾邮件及其他有政治目的的黑客活动,不排除此次攻击为黑客所为。
这次DNS污染事件影响之广、范围之大在国内尚属首例,远远超出一般黑客的能力范围。“很可能与主干网络的设置调整有关。”上述网络安全专家说。
