[[3081]]

域名系統(tǒng)技術專家、中國互聯(lián)網(wǎng)絡信息中心副主任兼總工程師李曉東

5月27日，中國互聯(lián)網(wǎng)絡信息中心（CNNIC）副主任兼總工程師李曉東博士在接受騰訊科技專訪時解密中國網(wǎng)絡故障“第一張骨牌”。

5月19日21時起，中國互聯(lián)網(wǎng)遭遇了 “多米諾骨牌”連鎖反應，出現(xiàn)了大范圍的網(wǎng)絡故障。關于網(wǎng)絡故障的原因及技術原理，眾說紛紜，莫衷一是。對此，中國互聯(lián)網(wǎng)絡信息中心（CNNIC）副主任兼總工程師李曉東博士對騰訊科技表示，引發(fā)本次網(wǎng)絡故障的第一張骨牌是DNSPOD遭遇網(wǎng)絡攻擊，而安裝有暴風影音的千萬臺電腦則成為引發(fā)整個網(wǎng)絡故障連鎖反應的重要推力。

據(jù)悉，BAOFENG.COM是北京暴風科技公司擁有的域名，用于其公司的各項互聯(lián)網(wǎng)業(yè)務，該域名由北京暴風科技委托另外一家公司（DNSPOD.COM）代為運維管理，日常查詢量比較大。

李曉東博士表示，此次故障的起源點在于DNSPOD.COM被人惡意大流量攻擊，承擔DNSPOD.COM網(wǎng)絡接入的電信運營商斷掉了其網(wǎng)絡服務。這是導致本次網(wǎng)絡癱瘓的第一個骨牌。

李曉東表示，事實上，第一輪的網(wǎng)絡故障早在當晚21時前就已開始。當時，由于DNSPOD網(wǎng)絡服務被中斷，致使其無法為包括BAOFENG.COM在內(nèi)的域名提供域名解析服務，諸多采用DNSPOD服務的網(wǎng)站無法訪問。這些采用DNSPOD服務的網(wǎng)站或者網(wǎng)絡服務（包括暴風影音在內(nèi)）同時成為此次網(wǎng)絡故障的第二張骨牌。

本來DNSPOD的故障不一定會對互聯(lián)網(wǎng)造成大面積的擴散影響，但是由于暴風影音的安裝量巨大和網(wǎng)絡服務的特性，使得暴風影音成為此次網(wǎng)絡故障的焦點，被推向輿論的風頭浪尖。

據(jù)了解，暴風影音軟件的部分在線服務功能必須基于BAOFENG.COM域名的正常解析，DNSPOD網(wǎng)絡服務被中斷后，暴風影音的網(wǎng)絡服務因此受到影響，第二張骨牌被推倒。

李曉東表示，第三張骨牌就是電信運營商的本地域名服務器。因軟件網(wǎng)絡服務的需要，使得安裝有暴風影音的電腦不斷發(fā)起域名解析請求，成為推倒第三張骨牌的重要推力。

根據(jù)域名系統(tǒng)的解析原理，由于本地域名服務器（專業(yè)上稱為“遞歸服務器”）有地址緩存，超千萬的暴風影音安裝用戶，僅需在本地網(wǎng)絡接入服務商處就可查找到BAOFENG.COM的解析地址，找到暴風影音的網(wǎng)站。

安裝了暴風影音軟件的用戶電腦產(chǎn)生的巨量域名請求擁塞了為這些用戶提供服務的各地電信運營商的本地域名服務器，導致多個省份的本地域名服務器出現(xiàn)故障甚至無法提供正常服務，第三個骨牌就此岌岌可危乃至最終倒掉。

李曉東告訴記者，第三張骨牌是互聯(lián)網(wǎng)服務的關鍵環(huán)節(jié)。電信運營商的本地域名服務器出現(xiàn)擁塞甚至無法服務后，使用這些本地域名服務器的其他互聯(lián)網(wǎng)用戶也無法上網(wǎng)，進而導致更大范圍內(nèi)的網(wǎng)絡故障。

域名系統(tǒng)安全“牽一發(fā)而動全身”

域名作為廣大民眾訪問互聯(lián)網(wǎng)的起點和入口，是全球互聯(lián)網(wǎng)通信的基礎。而域名系統(tǒng)作為承載全球億萬域名正常使用的系統(tǒng)，是互聯(lián)網(wǎng)的基礎設施，其作用相當于互聯(lián)網(wǎng)的中樞神經(jīng)系統(tǒng)，域名系統(tǒng)的故障會導致互聯(lián)網(wǎng)陷入癱瘓。

完整的域名系統(tǒng)由遞歸域名服務系統(tǒng)（即本地域名服務器）、根域名服務系統(tǒng)、頂級域名服務系統(tǒng)以及各級域名服務系統(tǒng)等四個層級構成。簡單的說，廣大民眾訪問一個網(wǎng)站或其他互聯(lián)網(wǎng)服務時，需要在全球網(wǎng)絡中完成對應四個層次的查詢。因此，任何一層出現(xiàn)故障，都會導致相應范圍的網(wǎng)絡應用癱瘓，大到一個國家和地區(qū)的網(wǎng)將絡全面癱瘓，小到某個網(wǎng)站將無法訪問。

李曉東表示，域名系統(tǒng)是一種公開服務，歷來是被攻擊的對象，從本次網(wǎng)絡故障發(fā)生的過程來看，相關機構對域名系統(tǒng)的重要性認識不足，重視程度顯然不夠，安全保障能力比較低。

李曉東建議，一方面，提供公共域名服務的機構應提高自身安全防御和抗攻擊能力；另一方面，擁有大量用戶的互聯(lián)網(wǎng)軟件也應審慎考慮，優(yōu)化軟件安全性，避免一不小心成了分布式拒絕服務攻擊（DDOS）的幫兇。

此次網(wǎng)絡故障所涉的三張骨牌都是攻擊受害者，估計黑客攻擊DNSPOD時也沒預料到攻擊會產(chǎn)生如此惡劣的后果，最終釀成大范圍的網(wǎng)絡癱瘓。域名系統(tǒng)就像是“空氣”，平時我們感覺不到它的存在，但是一旦出現(xiàn)問題，其影響可能是“致命”的。

因此，李曉東呼吁：希望大家攜手共同努力，重視并加大各個層級域名系統(tǒng)保護力度，為億萬網(wǎng)民營造一個“安全、可靠”的互聯(lián)網(wǎng)環(huán)境。

附：BAOFENG.COM域名解析過程

在有本地緩存的情況下，本地域名服務器直接指向BAOFENG.COM域名服務器，無需再往上一級查詢了。

說明：本次網(wǎng)絡癱瘓的重要原因是，DNSPOD遭遇網(wǎng)絡攻擊，遭到電信運營商斷網(wǎng)處理，致使其托管數(shù)十萬域名無法正常解析。通常情況下，如果是網(wǎng)民在地址欄輸入“BAOFENG.COM”等托管域名，因為無法訪問，網(wǎng)民就不會再次輸入相關域名請求解析。

但是，本次網(wǎng)絡癱瘓中，發(fā)起請求的不僅是網(wǎng)民，更多的是安裝網(wǎng)民電腦中的暴風影音軟件，它不像人是有智慧的，在訪問不成功后會自動放棄，程序的設計導致其無法訪問時會持續(xù)不斷發(fā)起訪問請求，而且這些請求全部擁塞在本地域名服務器中，無法轉(zhuǎn)送到DNSPOD完成BAOFENG.COM解析，大量擁塞的請求占用了大量的服務器處理性能，進而導致本地域名服務器無法對其他的正常請求進行解析，并最終釀成大規(guī)模的網(wǎng)絡故障。

【編輯推薦】

1. DNS故障追蹤：兩隊私服黑客互掐引發(fā)蝴蝶效應？
2. 對于六省最近的網(wǎng)絡故障暴風影音發(fā)表官方聲明