2014年1月21日中國出現(xiàn)重大網(wǎng)絡(luò)事故，大量域名被解析到一個65.49.2.178 這個IP了。

中國的一家DNS服務(wù)商DNSPOD于 2014 年 1 月 21 日 16:18 說：

正常的域名解析應(yīng)該是這樣的：

域名解析四步:

第一步先是找到最近的根域名，返回 f.root-servers.net. 這樣的結(jié)果
第二步根域名返回gTLD地址，返回 a.gtld-servers.net. 這樣的結(jié)果
第三步gTLD返回name server地址和IP，返回 ns1.dreamhost.com. 這樣的結(jié)果
第四步name server返回域名的真實IP，返回 69.163.141.215 這樣的結(jié)果

而事故發(fā)生時dig +trace 卻不是上面四個步驟,如下圖

上圖來自知乎

上圖中g(shù)TLD地址和name server地址都沒有返回，看上去是通用頂級域的根出現(xiàn)問題了，所用延時極短就直接返回65.49.2.178這個假IP，這張圖顯示只用了27毫秒。

本來有四步才能得到答案，結(jié)果有人插嘴就得到答案了，省掉了兩步，這就是DNS劫持造成的。就好比你在廣州放只鴿子去北京，本來要路過長沙和鄭州，來回要4天，結(jié)果鴿子只用了一天就回來了，它沒有鄭州和北京，只去了長沙。

結(jié)論是，機房有設(shè)備干擾了DNS查詢過程，是一個DNS污染事故，是嘗試在機房的GFW審查設(shè)備做網(wǎng)絡(luò)封鎖時無意中犯下的過錯，可能是封鎖IP時操作成封鎖所有域名了。

附： 65.49.2.178 這個IP所在的IP段是 Dynamic Internet Technology公司的Anonymous Proxy的IP : http://bgp.he.net/net/65.49.2.0/24#_dns

如果你對任播這種一個IP對應(yīng)多個服務(wù)器的技術(shù)細(xì)節(jié)不會頭大，歡迎翻墻去http://www.zhoushuguang.com/2014/01/nslookup.html 查看詳細(xì)分析。

PS：

國內(nèi)的科技媒體上說“根服務(wù)器只有13臺，亞洲唯一的一臺在日本”，這樣的說法過時了，亞洲有26臺根服務(wù)器啦,F-Root有14臺，I-Root有9臺，K-Root有3臺 http://www.apnic.net/community/support/root-servers/root-server-ma

全球有386臺根服務(wù)器,被編號為A到M共13個標(biāo)號。中國北京有兩臺編號為F的根服務(wù)器鏡像，編號為I、J、L的各一，共5臺鏡像，在香港有A、F、I、J、L五臺根服務(wù)器鏡像，全部借由任播(Anycast)技術(shù)，所有編號相同的根服務(wù)器都是同一個IP，386臺根服務(wù)器總共只使用了13個IP. 詳情見 http://www.root-servers.org

[原文發(fā)表在 http://www.zhoushuguang.com/2014/01/nslookup.html

原創(chuàng)作者：佐拉 http://weibo.com/zuol]