中国顶级域名根服务器故障回目录
网站域名解析错误导致大规模断网;全球13台根域名服务器10台在美国,中国无掌握权。
昨日下午,全国DNS域名解析系统出现了大范围的访问故障,全国大半网站不同程度地出现了不同地区、不同网络环境下的访问故障。此次故障是网络技术故障,还是黑客袭击?网民访问这些网站会遇到哪些风险,该如何应对?
■ 探因
目标网站曾有黑客攻击行为
网络安全专家表示,此次网站无法访问的原因是网站域名解析错误。
百度(172.7, 2.56, 1.50%)公司一名技术人员分析认为,网站域名解析错误存在几种可能。一是黑客攻击国外根服务器造成国内服务器域名解析遭到污染。二是由于数据传输过程中网络节点较多,节点也可能成为攻击目标。但如果是攻击节点的话,此次攻击比较特殊,“攻击者既没有图名,也没有图利,而是指向了一个没有具体内容的IP地址。”三是黑客在攻击单个网站的时候,因为节点较多,导致节点污染从而影响了全网。
除此之外,还存在黑客攻击了国内运营商和网络防火墙,或者国内网络运营商由于某种失误操作导致故障。
360网站卫士负责人董方解释说,此次故障是由于13台全球DNS中级别最高的根域名服务器当中的一两台出现问题,“很可能是人为因素,不排除黑客攻击”。
据报道,此次故障大量网站被解析到的IP是美国北卡罗来纳州卡里镇Dynamic Internet Technology公司。根据记录,该IP曾有过黑客攻击行为。
■ 释疑
为何手机上网未受影响?
访问互联网时,要经过一个由网址到IP的转换过程,这个过程是通过访问互联网域名解析系统(DNS)实现的,也就是域名服务器来完成的。
根域名服务器是DNS中最高级别的域名服务器,全球仅有13台根服务器。这13台根服务器中,主根服务器和9台辅根服务器位于美国,其余3台里,2台在欧洲,1台在日本。目前,由互联网名称与数字地址分配机构(ICANN)全面管理DNS。
资深IT媒体人阳淼对新京报记者表示,在根域名服务器方面,ICANN起到协调管理的作用,各个机构分别管理根域名服务器,统一协调并进行商务化运营。ICANN本身是互联网域名的最终的裁决者。
虽然国内多数网络访问出现故障,但大部分网站的手机客户端在本次故障中并未受到影响,包括新浪(76.33, 1.31, 1.75%)微博、支付宝等在内的多个主流应用仍可正常使用。对此,360网络安全工程师赵武解释说,全球有13个根服务器,假设这次有两台被“污染”了,还有11台是干净的。由于网络访问机制不同,手机上网可能会访问不同的根服务器,因此在访问一些网页时,在PC上无法登录,在手机上却能正常登录。
■ 预警
专家建议尽快建DNS监控系统
DNS服务被攻击劫持,正常访问被解析到错误的服务器地址,给网民造成的最直接影响就是大面积断网,风险是被钓鱼网站欺诈。
黑客可能将正常网站的域名解析到错误的地址,假如黑客在这个目标地址搭建一个钓鱼网站,网民在钓鱼网站输入的账号密码信息就会被盗。大规模的DNS劫持,其结果往往是断网,因为大网站的访问量实在太大了,钓鱼网站的服务器可能会扛不住大流量的访问,瞬间就会瘫痪掉,网民看到的结果就是网页打不开。
2013年,大量家用无线路由器的安全漏洞被发现,访问某个特定的攻击网页,路由器的DNS配置会立刻被篡改。此后,受害网民使用淘宝购物时,就会被强制浏览到某个淘宝客推广站,攻击者可因此获得大量利益。也有些区域运营商使用DNS强行在用户电脑上网时弹出广告。
360网站卫士负责人董方解释说,“本次DNS故障,导致国内三分之二网站的DNS服务器解析失败,全国多达数千万网友无法正常访问网站。好在本次域名劫持的IP是一个无法访问的地址,如果是一个钓鱼网站或者非法获利网站,可能造成用户财产损失、个人信息泄露等危害。”
“如果我国没有建立起完善的对DNS监控及灾备系统,未来很可能还会受到此类故障的影响”,董方告诉新京报记者,“由于根域名服务器全在美国以及日本和欧洲,我国对根域名几乎没有掌控权,如果根域名出现问题,将影响我国所有域名解析和网站访问,因此,需要建立一套完善的对DNS监控及灾备系统。同时,最好尽快在国内建立根域名目录服务器”。
惊魂一小时:全国域名解析首遭大规模污染回目录
1月21日下午3点,十几封报警邮件,让寇博惊出一身冷汗。
寇博是一家国内流量排名前十的网站运维负责人,他和他的团24小时队维护着这家日浏览量过亿网站。十几封报警邮件,意味着全国十几省的用户都出现无法访问该网站的状况。
“核心机房又出问题了?”寇博小声默念着,赶忙从一个会议中退席,小跑着上楼,回到运维部的工作大厅。他桌面上的座机正刺耳着响着。“我是客服部的XX,有浙江的用户反映咱们首页上不去了……”“知道了。”
寇博立即挂断了电话,朝着正在值班的同事大喊“怎么回事了?”“北京上海机房和CDN(网络加速)反馈都正常,PING了下域名,IP地址的指向不对,可能是DNS的问题。”值班同事回答他。
“别查了,不是咱们的事,国内所有.com域名的DNS都有问题。”正在刷微博的另一个同事告诉寇博,“你看DNSPod发微博了,说国内所有通用顶级域的根出现异常,正联系相关机构协调处理。”
DNSPod是国内第一大DNS解析服务提供商和域名托管商,管理着超过270万域名。寇博推了推眼镜,凑过去仔细盯着微博,一边说“别大意,再给机房打电话查一下。”
几乎与此同时,国内最大的数据中心之一的北京机房负责人刘硕也正高度紧张。当他接通新浪科技的电话时,他背后的座机铃声响成一片。“是的,我们已经监测到问题了,很多网站也向我们反馈了,我们马上开会研究应对。”他匆匆的挂断了电话。
“用户在微博上把我们骂死了。”寇博的同事告诉他。他笑着对新浪科技说,“我们无能为力,是全网出现的系统性问题,只能告诉用户直接用IP地址访问我们。”
这次故障是怎么回事?
“所有连接在互联网上的设备都必须有一个IP地址,就像每个房子都有地址一样,这样才能让别人找到。”寇博开始向新浪科技解释起来。“这个IP地址是一段数字,例如120.84.21.23,但是用户上网要记这段数字,太麻烦了,所以有了域名。”
域名就是IP地址的另一种体现方法,而DNS就是将域名翻译成IP地址的翻译器。比如,用户在浏览器中输入facebook.com,浏览器就会向用户最近的DNS服务器询问,“facebook.com对应的IP地址是什么?”
这个最近的DNS服务器一般是当地电信运营商的服务器。如果这个服务器不知道,他就会向上一级请求,一般是运营商的全国性DNS服务器。如果这个全国性DNS还不知道会向全球DNS服务器查询。
这一级一级的层级中,最高一级是全球的13台根服务器,名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。
为了防止上述服务器出现故障造成全球性访问异常,目前世界上很多国家都设有镜像。我们国家在全网的出口也设有顶级的域名服务器。“这次网络出现异常是这个服务器出现了解析错误。”寇博解释说。
为什么有的人正常,有的人异常?
这是因为为了加快用户访问速度,整个系统设有多级缓存,包括浏览器缓存、系统缓存、路由器缓存、DNS服务器缓存等等。
当用户访问一个网站时,其浏览器会自动记录域名对应的IP一段时间,这样用户在第二次进入该网站时,浏览器就不必向上一层级反复查询,直接就可以告知用户结果。同样的,用户的电脑、路由器和DNS服务器都会设置一定的缓存,当然缓存是有时间限制的,到期就要向上级服务器查询最新的记录。
当顶级根域名服务器出现故障时,用户的访问不会马上中断,因为各级缓存还在。当缓存时间到后,他们会向上一级重新查询,这时根服务器的错误反馈才会生效,导致用户访问异常。然而这个缓存时间,因设置不同,差异很大。有的缓存时间只有30秒,有的缓存时间长达12小时。
截至当日下午4点,全国根服务器的解析陆续恢复正常。同样的道理,出现异常的用户也不会马上恢复正常,因为错误的记录仍然在缓存中,最长可能需要等待24个小时,缓存到期后,正确的记录才会生效。
而对于一个大型网站来说,其内容一般不是全都放置在同一域名下。比如图片、数据库一般都采取不同的域名,当有的域名缓存正确,有的域名缓存错误时,就会出现页面加载出来,而图片出不来,或者图片出来,文字数据错乱的情况。
神秘IP地址引发黑客疑云
随着故障陆续恢复,数据中心的刘硕也松了一口气。他向新浪科技介绍说,这次事故的原因是根域名服务器被污染,域名解析请求都被指向“65.49.2.178”这个IP地址。
不过,据刘硕对多个域名的测试发现,Facebook、Twitter等国外域名解析正常,只是国内域名遭到污染。即便如此,受到影响的范围也是空前的,包括百度、新浪、腾讯在内的国内绝大多数网站出现访问异常,根域名服务器故障持续将近1小时。
据粗略估算,受到影响的国内用户超过2亿,平均受影响的时间约在3小时左右。截至21日晚间1点,全国仍有十余个地区受DNS估值影响,包括贵州电信、河南电信、香港新世界、江苏电信、北京电信通等。
国内漏洞报告平台“乌云”称,65.49.2.178这个IP位于国外,有证据表明该IP所处于的网络有过发送垃圾邮件及其他有政治目的的黑客活动,不排除此次攻击为黑客所为。
金山的一位安全专家称,经查询65.49.2.178的信息,发现该IP位于美国北卡罗莱纳州卡里镇Dynamic Internet Technology公司。“大量中国知名IT公司的域名被解析到美国某公司,从目前看该事件极可能是黑客攻击行为。”该专家说。
去年8月25日凌晨,中国.cn域名解析出现大规模解析故障。中国互联网络信息中心后来透露,当日零时许,国家域名解析节点受到拒绝服务攻击,经处置,至2时许服务器恢复正常,这是有史以来.cn域名遭受的最大规模拒绝服务攻击。
不过,刘硕和另一位网络安全专家都认为,这次DNS污染事件影响之广、范围之大在国内尚属首例,远远超出一般黑客的能力范围。“很可能与主干网络的设置调整有关。”上述网络安全专家说。
