DNS被污染后續：中國互聯網為何輕易被劫持？

        文/顧曉波

        1 月 21 日下午全國范圍出現了互聯網訪問故障，包括百度、新浪、騰訊在內的多家大型網站域名被劫持，事故時間持續數個小時，成為了一場全國性的互聯網災難。

        類似規模的事故并不多見，為何此次影響范圍如此之廣？為何無法在短時間內恢復？為何中國互聯網輕易被劫持？

        在多方咨詢后，網易科技試圖用淺顯的語言將事件還原。

        DNS 為何如此脆弱？

        DNS 全稱 Domain Name System（域名系統），用戶輸入的域名通過 DNS 解析到對應的 IP 地址，域名會最先被本地 DNS 服務器解析，如果解析不到，就返回上層服務器，直到查詢到最高級的根服務器，查詢到結果后本地服務器會將這一 IP 緩存，用戶再次訪問該域名就會返回到這一被緩存的 IP。

        此次受到影響就是根 DNS 服務器，指的是全球一共 13 臺的根 DNS 服務器，負責記錄各后綴所對應的頂級域名根服務器。

        在 DNS 受到污染的情況下，域名可被解析到非網站對應的 IP 上，如此次被劫持到的 65.49.2.178。

        據了解，DNS 上一次更新技術規范是在 1987 年，之后幾乎再無改動，也就是說，目前的 DNS 標準是 27 年前的，盡管根服務器受到了最高級別的保護，但是仍然可能因為政治、域名管理權分歧等原因引發大規模故障，這樣的癱瘓不會就此終結。

        既然從本地 DNS 讀取，為何還會被劫持？

        如上所述，當用戶訪問一個域名時，電信運營商的遞歸 DNS 會對其進行處理，從而緩解根 DNS 的壓力。

        遞歸 DNS 會對一個域名指向的 IP 地址進行緩存，并默認認為這一對應關系在一段時間內不會改變，不過這一緩存會有時限，通常是一個小時，每過一個小時遞歸 DNS 就會向上級 DNS 重新請求一次 IP，所以最終根 DNS 被攻擊的影響會波及到遞歸 DNS，從而影響到每個用戶。

        當用戶在電腦上把網絡連接的 DNS 設置為 8.8.8.8（國外 DNS）時，訪問網站后就不會從遞歸 DNS 進行解析，所以可以規避污染問題。

        誰是罪魁禍首？

        一名安全行業人士表示，黑客要黑掉遞歸 DNS 服務器幾乎不可能，此次事故肯定是人為造成的，但是元兇很難追溯。

        myip.cn 的查詢結果顯示 65.49.2.178 的 IP 位于美國北卡羅萊納州卡里鎮，屬于 Dynamic Internet Technology 公司。

        而 whatismyipaddress 的查詢結果顯示該 IP 指向一個叫 Sophidea 的組織。

        運營商無能為力？

        對普通的域名劫持，電信運營商可以通過刷新 DNS 緩存的方式來快速解決，從而將影響控制在較短的時間內，不過此次被劫持的是根服務器，從上到下污染到本地服務器，一方面被劫持的域名量非常大，難以逐一回 復，另一方面即使清理了本地服務器緩存，上一級的服務器如果沒有恢復仍然是徒勞。

        各級 DNS 服務器緩存的刷新時間在 1 小時左右，對電信運營商來說，除了手工恢復部分網站的 DNS 解析外，只能被動等待。

        故障到底持續了多久？

        此次域名劫持影響持續了數個小時，但是真正的故障時間并沒有那么長。

        一名 IDC 運維人員表示，這次劫持的影響大約只有 15 分鐘，但是由于各層服務器緩存受到根服務器影響，在電信運營商沒有對遞歸 DNS 手動刷新的情況下，影響可持續數個小時。

        有沒有隱私風險？

        有網友稱此次劫持或造成用戶隱私泄露。

        對此 360 安全專家表示此次被劫持的是域名，存儲網站數據的服務器并未受到影響，雖然黑客可以將域名劫持至釣魚網站，但是目前看來對方并沒有這么做，也尚未發現用戶受此影響造成損失。

        對于此次故障的罪魁禍首，目前尚不能確認，有業內人士稱，在沒有發生地震等不可抗力的前提下，有能力造成這種事故的組織并不多。

        目前事故的影響已經基本消除，域名被劫持的網站已經可以正常訪問。

                    <span id="shareA4" class="fl">                          </span> 

</div>