DNS被污染後續：中國網際網路為何輕易被劫持？

文/顧曉波

1月21日下午全國範圍出現了網際網路通路故障，包括百度、新浪、騰訊在内的多家大型網站域名被劫持，事故時間持續數個小時，成為了一場全國性的網際網路災難。

類似規模的事故并不多見，為何此次影響範圍如此之廣？為何無法在短時間内恢複？為何中國網際網路輕易被劫持？

在多方咨詢後，網易科技試圖用淺顯的語言将事件還原。

DNS為何如此脆弱？

DNS全稱Domain Name System（域名系統），使用者輸入的域名通過DNS解析到對應的IP位址，域名會最先被本地DNS伺服器解析，如果解析不到，就傳回上層伺服器，直到查詢到最進階的根伺服器，查詢到結果後本地伺服器會将這一IP緩存，使用者再次通路該域名就會傳回到這一被緩存的IP。

此次受到影響就是根DNS伺服器，指的是全球一共13台的根DNS伺服器，負責記錄各字尾所對應的頂級域名根伺服器。

在DNS受到污染的情況下，域名可被解析到非網站對應的IP上，如此次被劫持到的65.49.2.178。

據了解，DNS上一次更新技術規範是在1987年，之後幾乎再無改動，也就是說，目前的DNS标準是27年前的，盡管根伺服器受到了最進階别的保護，但是仍然可能因為政治、域名管理權分歧等原因引發大規模故障，這樣的癱瘓不會就此終結。

既然從本地DNS讀取，為何還會被劫持？

如上所述，當使用者通路一個域名時，電信營運商的遞歸DNS會對其進行處理，進而緩解根DNS的壓力。

遞歸DNS會對一個域名指向的IP位址進行緩存，并預設認為這一對應關系在一段時間内不會改變，不過這一緩存會有時限，通常是一個小時，每過一個小時遞歸DNS就會向上級DNS重新請求一次IP，是以最終根DNS被攻擊的影響會波及到遞歸DNS，進而影響到每個使用者。

當使用者在電腦上把網絡連接配接的DNS設定為8.8.8.8（國外DNS）時，通路網站後就不會從遞歸DNS進行解析，是以可以規避污染問題。

誰是罪魁禍首？

一名安全行業人士表示，黑客要黑掉遞歸DNS伺服器幾乎不可能，此次事故肯定是人為造成的，但是元兇很難追溯。

myip.cn的查詢結果顯示65.49.2.178的IP位于美國北卡羅萊納州卡裡鎮，屬于Dynamic Internet Technology公司。

而whatismyipaddress的查詢結果顯示該IP指向一個叫Sophidea的組織。

營運商無能為力？

對普通的域名劫持，電信營運商可以通過重新整理DNS緩存的方式來快速解決，進而将影響控制在較短的時間内，不過此次被劫持的是根伺服器，從上到下污染到本地伺服器，一方面被劫持的域名量非常大，難以逐一回複，另一方面即使清理了本地伺服器緩存，上一級的伺服器如果沒有恢複仍然是徒勞。

各級DNS伺服器緩存的重新整理時間在1小時左右，對電信營運商來說，除了手工恢複部分網站的DNS解析外，隻能被動等待。

故障到底持續了多久？

此次域名劫持影響持續了數個小時，但是真正的故障時間并沒有那麼長。

一名IDC運維人員表示，這次劫持的影響大約隻有15分鐘，但是由于各層伺服器緩存受到根伺服器影響，在電信營運商沒有對遞歸DNS手動重新整理的情況下，影響可持續數個小時。

有沒有隐私風險？

有網友稱此次劫持或造成使用者隐私洩露。

對此360安全專家表示此次被劫持的是域名，存儲網站資料的伺服器并未受到影響，雖然黑客可以将域名劫持至釣魚網站，但是目前看來對方并沒有這麼做，也尚未發現使用者受此影響造成損失。

對于此次故障的罪魁禍首，目前尚不能确認，有業内人士稱，在沒有發生地震等不可抗力的前提下，有能力造成這種事故的組織并不多。

目前事故的影響已經基本消除，域名被劫持的網站已經可以正常通路。

轉自：http://tech.163.com/14/0122/11/9J6J2GEL000915BF.html