內(nèi)地互聯(lián)網(wǎng)根域現(xiàn)重大故障 大量網(wǎng)站無法打開

2014年1月21日，對中國網(wǎng)絡(luò)來說是不平靜的一天。繼上午騰訊16項(xiàng)服務(wù)出現(xiàn)故障后，下午眾多網(wǎng)站也出現(xiàn)無法訪問的現(xiàn)象。多家DNS服務(wù)商透露，全國所有通用頂級域的根出現(xiàn)異常，導(dǎo)致部分國內(nèi)網(wǎng)民無法訪問.com域名網(wǎng)站。

下午15:10左右，部分地區(qū)網(wǎng)友稱百度、虎嗅、易迅、京東、優(yōu)酷等眾多網(wǎng)站無法訪問。遼寧大連網(wǎng)通用戶表示打不開朋友網(wǎng)和部分視頻網(wǎng)站，稍微復(fù)雜網(wǎng)站也不行;廈門電信網(wǎng)友反映，百度，京東，知乎全都打不開。

據(jù)分析，網(wǎng)站無法訪問的原因是網(wǎng)站域名解析錯(cuò)誤。DNSPOD創(chuàng)始人吳洪聲表示，此次情況嚴(yán)重，國內(nèi)三分之二DNS處于癱瘓狀態(tài)，很多網(wǎng)站被解析到65.49.2.178這一IP地址，用戶無法訪問。

安全專家認(rèn)為，大量中國知名IT公司的域名被解析到美國某公司，極可能是人為的黑客攻擊行為。

不過，此次故障未對國家頂級域名.CN造成影響，所有運(yùn)行服務(wù)正常。一位DNS技術(shù)專家表示，這次的問題僅出現(xiàn)在中國，說明全球根服務(wù)器并未出現(xiàn)問題。

截至當(dāng)天18點(diǎn)左右，國內(nèi)訪問根服務(wù)器恢復(fù)正常。但據(jù)@DNSPod介紹，后續(xù)可能還會(huì)存在返回錯(cuò)誤IP地址的問題，因?yàn)楦鞯赜芯彺?，所以部分地區(qū)可能會(huì)持續(xù)12小時(shí)。

[[107989]]

DNS已經(jīng)成為互聯(lián)網(wǎng)安全鏈條上最薄弱的環(huán)節(jié)

域名系統(tǒng)(Domain Name System，簡稱DNS)是整個(gè)互聯(lián)網(wǎng)服務(wù)的底層基礎(chǔ)之一。這一服務(wù)將人們訪問的互聯(lián)網(wǎng)域名轉(zhuǎn)換為IP地址，相當(dāng)于網(wǎng)絡(luò)訪問的指路牌。

舉例來說，ifeng.com是一個(gè)域名地址，方便人們記憶與輸入。但其實(shí)每個(gè)域名都必須要與一個(gè)服務(wù)器的IP地址相對應(yīng)，才能被網(wǎng)絡(luò)正確識(shí)別和訪問到，如210.51.19.61。

域名系統(tǒng)就負(fù)責(zé)將好記的域名地址轉(zhuǎn)換為真實(shí)的IP地址，這一轉(zhuǎn)換的過程，有一個(gè)術(shù)語叫做“域名解析”。

域名系統(tǒng)由DNS服務(wù)器來運(yùn)行，DNS服務(wù)器是一個(gè)樹狀的分布式的大型網(wǎng)絡(luò)。其中最頂級的服務(wù)器叫做根服務(wù)器(Root Server)，存儲(chǔ)了全球所有通用域名的信息。在根服務(wù)器之下，有大量的一層一層的次級服務(wù)器，面向用戶提供服務(wù)。

一般的用戶安裝好網(wǎng)絡(luò)之后，會(huì)使用寬帶運(yùn)營商提供的本地DNS服務(wù)器。這是離用戶最近的DNS服務(wù)器，位于整個(gè)DNS網(wǎng)絡(luò)的最末端。

DNS服務(wù)器采用緩存機(jī)制，當(dāng)用戶在本地DNS服務(wù)器找到域名解析結(jié)果的時(shí)候，就直接返回IP地址。如果找不到，則最近的服務(wù)器將依次向上查詢，查詢更上層的服務(wù)器，層層循環(huán)，一直查詢到最高等級的根服務(wù)器。同時(shí)，查詢到后，本地服務(wù)器就會(huì)緩存下來，其它用戶再次訪問該域名時(shí)，可以直接在本地服務(wù)器拿到結(jié)果，不用再次層層查詢。

這一域名網(wǎng)絡(luò)具有嚴(yán)格的等級制度，底層服務(wù)器嚴(yán)格遵循上層服務(wù)器的更新結(jié)果。這一層層向上查詢并緩存的機(jī)制，保證了整個(gè)域名系統(tǒng)的高效。但也為安全帶來了隱患：即一旦上層的DNS服務(wù)器受到攻擊時(shí)，所有底層的服務(wù)器都將受到牽連，從而導(dǎo)致大規(guī)模的網(wǎng)絡(luò)癱瘓。

以1月21日的這次DNS故障為例，位于中國的高級別的域名服務(wù)器出現(xiàn)故障，導(dǎo)致中國大部分的域名服務(wù)器解析出現(xiàn)錯(cuò)誤，從而導(dǎo)致了接近2/3的中國互聯(lián)網(wǎng)癱瘓。

據(jù)金山毒霸網(wǎng)絡(luò)專家的數(shù)據(jù)，近年來中國大規(guī)模的網(wǎng)絡(luò)癱瘓事故有五起。包括2006年臺(tái)灣地震震斷海底光纜事故、2009年暴風(fēng)DNS受攻擊導(dǎo)致大范圍斷網(wǎng)、2010年百度域名被劫持事件、2011年中國電信寬帶維修導(dǎo)致大規(guī)模網(wǎng)絡(luò)故障、以及昨日2014年DNS域名根服務(wù)器故障。

從近年來的五起網(wǎng)絡(luò)癱瘓大事故看來，除了不可抗力的地震和維修導(dǎo)致物理故障之外，其余的三起事故都是由DNS系統(tǒng)引起的。

事實(shí)上，作為互聯(lián)網(wǎng)最基礎(chǔ)的服務(wù)之一，隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展，互聯(lián)網(wǎng)安全鏈條上最薄弱的環(huán)節(jié)就是DNS域名系統(tǒng)了。

脆弱的DNS不會(huì)大修 將繼續(xù)脆弱

跟互聯(lián)網(wǎng)最底層的通信協(xié)議TCP/IP技術(shù)一樣，DNS系統(tǒng)是互聯(lián)網(wǎng)誕生的基石，歷史悠久。DNS最早于1983年由保羅·莫卡派喬斯(Paul Mockapetris)發(fā)明;原始的技術(shù)規(guī)范在882號因特網(wǎng)標(biāo)準(zhǔn)草案中發(fā)布。1987年發(fā)布的第1034和1035號草案修正了DNS技術(shù)規(guī)范。在此之后對因特網(wǎng)標(biāo)準(zhǔn)草案的修改基本上沒有涉及到DNS技術(shù)規(guī)范部分的改動(dòng)。

也就是說，2014年已經(jīng)突飛猛進(jìn)的互聯(lián)網(wǎng)，跟1987年的互聯(lián)網(wǎng)使用的是一樣的DNS標(biāo)準(zhǔn)!

上述提到的域名系統(tǒng)中最高等級的根服務(wù)器，全世界一共只有13臺(tái)，這13臺(tái)中的10臺(tái)設(shè)置在美國，另外各有一臺(tái)設(shè)置于英國、瑞典和日本。所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)域名與號碼分配機(jī)構(gòu)ICANN統(tǒng)一管理。

毫不夸張的說，只要黑掉這13臺(tái)服務(wù)器，就可以癱瘓整個(gè)地球的民用互聯(lián)網(wǎng)。 著名黑客組織匿名者(Anonymous)在2012年就曾對外宣稱，將攻擊13個(gè)DNS根服務(wù)器，已達(dá)到讓全球互聯(lián)網(wǎng)癱瘓的目的。

當(dāng)然，根服務(wù)器采用了最高級別的安全保護(hù)，不是那么容易攻陷的。同時(shí)，這13臺(tái)服務(wù)器，不是普通意義上的“一臺(tái)”的概念，每臺(tái)服務(wù)器都有多組備份，以隨時(shí)保障運(yùn)行正常。13臺(tái)根服務(wù)器其實(shí)是13組服務(wù)器集群。

這種頂級樹狀的域名架構(gòu)體系，除了要應(yīng)對來自黑客攻擊的影響之外，還會(huì)受到來自政治、戰(zhàn)爭等社會(huì)因素的影響。2004年4月，利比亞國家域名“ly”域名癱瘓，導(dǎo)致利比亞從互聯(lián)網(wǎng)上消失了3天，隨后據(jù)報(bào)道，原因是有兩人對頂級域名管理權(quán)問題發(fā)生分歧而導(dǎo)致。在阿富汗的塔利班政權(quán)統(tǒng)治時(shí)期，ICANN將.af結(jié)尾的域名管理權(quán)授予了前流亡政府，后來又于2003年轉(zhuǎn)交給由美國支持的阿富汗過渡政府。在2003年伊拉克戰(zhàn)爭期間，ICANN以伊拉克局勢動(dòng)蕩為由，凍結(jié)了其國家代碼“.iq”的申請。

域名管理權(quán)分歧、戰(zhàn)爭和政治分歧、黑客攻擊，都會(huì)導(dǎo)致域名系統(tǒng)問題，從而引發(fā)大規(guī)模網(wǎng)絡(luò)故障。DNS系統(tǒng)的脆弱性會(huì)因?yàn)檫@些社會(huì)因素而繼續(xù)脆弱下去。

即使拋卻政治和社會(huì)因素不談，單獨(dú)從技術(shù)角度去考慮。薄弱的DNS環(huán)節(jié)能否在未來有所改觀?恐怕答案也是否定的。從1987年到現(xiàn)在，作為互聯(lián)網(wǎng)基石存在的DNS系統(tǒng)，從未大修過，說明其已經(jīng)成為一個(gè)經(jīng)典的技術(shù)路徑依賴問題：網(wǎng)絡(luò)越發(fā)達(dá)，修改DNS系統(tǒng)的代價(jià)就越大。

這一路徑依賴的另外一個(gè)案例是，美國航天飛機(jī)助推器燃料桶的寬度其實(shí)是由2000多年前的2匹馬的屁股所決定的。航空飛機(jī)想要更大的推力，需要更寬的燃料桶，然后想要改版，幾乎是不可能的。因?yàn)槿剂贤暗倪\(yùn)輸需要借助鐵路，而鐵路的寬度最早是由英國人根據(jù)馬車的寬度決定的，而馬車的寬度最早是由2000多年前的羅馬人當(dāng)時(shí)兩匹馬屁股的寬度決定的。

技術(shù)的路徑依賴就是這么一個(gè)看似可笑，但是真實(shí)存在并且影響著現(xiàn)代社會(huì)的現(xiàn)象，DNS和互聯(lián)網(wǎng)也不例外。

也就是說，因?yàn)榧夹g(shù)的路徑依賴和特殊的社會(huì)歷史原因，對DNS系統(tǒng)的重新設(shè)計(jì)和大修幾乎是不可能的，支撐全球網(wǎng)絡(luò)的DNS系統(tǒng)不可能完全顛覆重來。

那么，在未來，人們不得不接受這么一個(gè)現(xiàn)實(shí)，脆弱的DNS依然脆弱，DNS網(wǎng)絡(luò)大規(guī)模故障依然會(huì)發(fā)生。人們所能做的，就是盡量將發(fā)生的頻率降低到可以接受的范圍;以及建立良好的機(jī)制，以便在故障發(fā)生時(shí)盡快恢復(fù)網(wǎng)絡(luò)，別無他法。

結(jié)語

技術(shù)路徑依賴，無法避免，但人們也不能悲觀。在技術(shù)不斷演進(jìn)的今天，有歷史限制的人們終會(huì)找到聰明的方法，減緩歷史的影響。無論是探索宇宙，還是解決互聯(lián)網(wǎng)的DNS安全問題，帶著枷鎖跳舞，人類依然可以跳的很美。