CNNIC解密网络故障：黑客未曾意识到后果恶劣

[[3081]]

域名系统技术专家、中国互联网络信息中心副主任兼总工程师李晓东

5月27日，中国互联网络信息中心（CNNIC）副主任兼总工程师李晓东博士在接受腾讯科技专访时解密中国网络故障“第一张骨牌”。

5月19日21时起，中国互联网遭遇了 “多米诺骨牌”连锁反应，出现了大范围的网络故障。关于网络故障的原因及技术原理，众说纷纭，莫衷一是。对此，中国互联网络信息中心（CNNIC）副主任兼总工程师李晓东博士对腾讯科技表示，引发本次网络故障的第一张骨牌是DNSPOD遭遇网络攻击，而安装有暴风影音的千万台电脑则成为引发整个网络故障连锁反应的重要推力。

据悉，BAOFENG.COM是北京暴风科技公司拥有的域名，用于其公司的各项互联网业务，该域名由北京暴风科技委托另外一家公司（DNSPOD.COM）代为运维管理，日常查询量比较大。

李晓东博士表示，此次故障的起源点在于DNSPOD.COM被人恶意大流量攻击，承担DNSPOD.COM网络接入的电信运营商断掉了其网络服务。这是导致本次网络瘫痪的第一个骨牌。

李晓东表示，事实上，第一轮的网络故障早在当晚21时前就已开始。当时，由于DNSPOD网络服务被中断，致使其无法为包括BAOFENG.COM在内的域名提供域名解析服务，诸多采用DNSPOD服务的网站无法访问。这些采用DNSPOD服务的网站或者网络服务（包括暴风影音在内）同时成为此次网络故障的第二张骨牌。

本来DNSPOD的故障不一定会对互联网造成大面积的扩散影响，但是由于暴风影音的安装量巨大和网络服务的特性，使得暴风影音成为此次网络故障的焦点，被推向舆论的风头浪尖。

据了解，暴风影音软件的部分在线服务功能必须基于BAOFENG.COM域名的正常解析，DNSPOD网络服务被中断后，暴风影音的网络服务因此受到影响，第二张骨牌被推倒。

李晓东表示，第三张骨牌就是电信运营商的本地域名服务器。因软件网络服务的需要，使得安装有暴风影音的电脑不断发起域名解析请求，成为推倒第三张骨牌的重要推力。

根据域名系统的解析原理，由于本地域名服务器（专业上称为“递归服务器”）有地址缓存，超千万的暴风影音安装用户，仅需在本地网络接入服务商处就可查找到BAOFENG.COM的解析地址，找到暴风影音的网站。

安装了暴风影音软件的用户电脑产生的巨量域名请求拥塞了为这些用户提供服务的各地电信运营商的本地域名服务器，导致多个省份的本地域名服务器出现故障甚至无法提供正常服务，第三个骨牌就此岌岌可危乃至最终倒掉。

李晓东告诉记者，第三张骨牌是互联网服务的关键环节。电信运营商的本地域名服务器出现拥塞甚至无法服务后，使用这些本地域名服务器的其他互联网用户也无法上网，进而导致更大范围内的网络故障。

域名系统安全“牵一发而动全身”

域名作为广大民众访问互联网的起点和入口，是全球互联网通信的基础。而域名系统作为承载全球亿万域名正常使用的系统，是互联网的基础设施，其作用相当于互联网的中枢神经系统，域名系统的故障会导致互联网陷入瘫痪。

完整的域名系统由递归域名服务系统（即本地域名服务器）、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。简单的说，广大民众访问一个网站或其他互联网服务时，需要在全球网络中完成对应四个层次的查询。因此，任何一层出现故障，都会导致相应范围的网络应用瘫痪，大到一个国家和地区的网将络全面瘫痪，小到某个网站将无法访问。

李晓东表示，域名系统是一种公开服务，历来是被攻击的对象，从本次网络故障发生的过程来看，相关机构对域名系统的重要性认识不足，重视程度显然不够，安全保障能力比较低。

李晓东建议，一方面，提供公共域名服务的机构应提高自身安全防御和抗攻击能力；另一方面，拥有大量用户的互联网软件也应审慎考虑，优化软件安全性，避免一不小心成了分布式拒绝服务攻击（DDOS）的帮凶。

此次网络故障所涉的三张骨牌都是攻击受害者，估计黑客攻击DNSPOD时也没预料到攻击会产生如此恶劣的后果，最终酿成大范围的网络瘫痪。域名系统就像是“空气”，平时我们感觉不到它的存在，但是一旦出现问题，其影响可能是“致命”的。

因此，李晓东呼吁：希望大家携手共同努力，重视并加大各个层级域名系统保护力度，为亿万网民营造一个“安全、可靠”的互联网环境。

附：BAOFENG.COM域名解析过程

在有本地缓存的情况下，本地域名服务器直接指向BAOFENG.COM域名服务器，无需再往上一级查询了。

说明：本次网络瘫痪的重要原因是，DNSPOD遭遇网络攻击，遭到电信运营商断网处理，致使其托管数十万域名无法正常解析。通常情况下，如果是网民在地址栏输入“BAOFENG.COM”等托管域名，因为无法访问，网民就不会再次输入相关域名请求解析。

但是，本次网络瘫痪中，发起请求的不仅是网民，更多的是安装网民电脑中的暴风影音软件，它不像人是有智慧的，在访问不成功后会自动放弃，程序的设计导致其无法访问时会持续不断发起访问请求，而且这些请求全部拥塞在本地域名服务器中，无法转送到DNSPOD完成BAOFENG.COM解析，大量拥塞的请求占用了大量的服务器处理性能，进而导致本地域名服务器无法对其他的正常请求进行解析，并最终酿成大规模的网络故障。

【编辑推荐】