1,網路故障現象:
2014年1月21日,眾多網站同行報告稱國內網際網路根域出現問題,導致大量網站域名解析不正常,分析后發現,所有通用頂級域名的根域解析出現異常。故障具體表現在域名訪問請求被跳轉到幾個沒有響應的美國IP上,不同省份的用戶均出現不同程度的網路故障,但也有訪問完全正常的案例。
2,根域名伺服器(DNS):
維基解釋:域名系統(Domain Name System,簡稱DNS)是整個網際網路服務的底層基礎之一。這一服務將人們訪問的網際網路域名轉換為IP地址,相當於網路訪問的指路牌。舉例來說,ifeng.com是一個域名地址,方便人們記憶與輸入。但其實每個域名都必須要與一個伺服器的IP地址相對應,才能被網路正確識別和訪問到,如210.51.19.61。域名系統就負責將好記的域名地址轉換為真實的IP地址,這一轉換的過程,有一個術語叫做「域名解析」。域名系統由DNS伺服器來運行,DNS伺服器是一個樹狀的分散式的大型網路。其中最頂級的伺服器叫做根伺服器(Root Server),存儲了全球所有通用域名的信息。在根伺服器之下,有大量的一層一層的次級伺服器,面向用戶提供服務。
一般的用戶安裝好網路之後,會使用寬頻運營商提供的本地DNS伺服器。這是離用戶最近的DNS伺服器,位於整個DNS網路的最末端。DNS伺服器採用緩存機制,當用戶在本地DNS伺服器找到域名解析結果的時候,就直接返回IP地址。如果找不到,則最近的伺服器將依次向上查詢,查詢更上層的伺服器,層層循環,一直查詢到最高等級的根伺服器。同時,查詢到后,本地伺服器就會緩存下來,其它用戶再次訪問該域名時,可以直接在本地伺服器拿到結果,不用再次層層查詢。這一域名網路具有嚴格的等級制度,底層伺服器嚴格遵循上層伺服器的更新結果。這一層層向上查詢並緩存的機制,保證了整個域名系統的高效。但也為安全帶來了隱患:即一旦上層的DNS伺服器受到攻擊時,所有底層的伺服器都將受到牽連,從而導致大規模的網路癱瘓。
網友以1月21日的這次DNS故障為例分析:位於中國的高級別的域名伺服器出現故障,導致中國大部分的域名伺服器解析出現錯誤,從而導致了接近2/3的中國網際網路癱瘓。據金山毒霸網路專家的數據,近年來中國大規模的網路癱瘓事故有五起。包括2006年台灣地震震斷海底光纜事故、2009年暴風DNS受攻擊導致大範圍斷網、2010年百度域名被劫持事件、2011年中國電信寬頻維修導致大規模網路故障、以及昨日2014年DNS域名根伺服器故障。從近年來的五起網路癱瘓大事故看來,除了不可抗力的地震和維修導致物理故障之外,其餘的三起事故都是由DNS系統引起的。事實上,作為網際網路最基礎的服務之一,隨著網際網路應用的不斷發展,網際網路安全鏈條上最薄弱的環節就是DNS域名系統了。也就是說,因為技術的路徑依賴和特殊的社會歷史原因,對DNS系統的重新設計和大修幾乎是不可能的,支撐全球網路的DNS系統不可能完全顛覆重來。
3,出現解析異常的推測
(1)DNS故障原因極有可能為GFW工作人員烏龍操作。
http://www.zhihu.com/question/22572025
http://www.v2ex.com/t/97867
http://ovear.info/post/207
(2)根伺服器故障DNS解析失敗網際網路路癱瘓疑因美翻牆軟體。
專業人士進一步分析指出:訪問任何以 .net,.com,.org結尾的域名的網站,統統被送到65.49.2.178這個IP上,而這是一個翻牆代理伺服器提供商的IP。該IP位於美國北卡羅來納州卡里鎮DynamicInternetTechnology公司,大量中國知名IT公司的域名被解析到該地址。
《環球時報》記者21日晚通過多方調查發現,這家名為DynamicInternetTechnology的公司與研發「自由門」翻牆軟體的是同一家公司。依據名稱和地址,記者在查詢這家公司信息過程中了解到,該公司總裁為比爾·夏,此人正是「自由門」的創始人。DynamicInternetTechnology公司網站介紹稱,其服務對象包括Dajiyuan、美國之音、自由亞洲電台等,為中國的網際網路用戶提供被屏蔽網頁的訪問服務。《環球時報》記者發現該公司並未留下聯繫電話,只有傳真和電子郵件聯繫方式。記者向該公司發出電子郵件詢問,比爾·夏回復稱其與此事無關,事件更像是DNS域名被第三方劫持。
(3)國家網際網路應急中心22日證實,這次故障是由於根伺服器遭受網路攻擊所致。
「遊戲團隊拿了68薪的年終獎,技術團隊憤而格式化」——這條段子是21日網際網路界的熱點。
(4)有人指出:這次網路癱瘓並非駭客所為,最可能的是中國的防火牆跟自己開了個天大的玩笑,因為只有中國的「防火長城」能同時癱瘓不同網站的DNS。
4,根域名伺服器的背後
2014年1月21日,中國境內三分之二網站由於DNS域名根伺服器故障,處於癱瘓狀態,網站的訪問受到嚴重影響。初步判斷此次事件是由於網路攻擊導致中國境內網際網路用戶通過國際頂級域名服務解析時出現異常。目前,全球只有13個頂級根域名伺服器維持著整個網際網路的運行,其中10個在美國,在中國尚未有布置。中國使用這些根伺服器是否需要付費?每年大約多少?
來自網路的消息稱:中國沒有根伺服器。根伺服器主要用來管理網際網路的主目錄,全世界只有13台。1個為主根伺服器,放置在美國。其餘12個均為輔根伺服器,其中9個放置在美國;歐洲2個,位於荷蘭和瑞典;亞洲1個,位於日本。所有根伺服器均由美國政府授權的網際網路域名與號碼分配機構ICANN統一管理,負責全球網際網路域名根伺服器、域名體系和IP地址等的管理。
2010年3月16日前,中國大陸有其中兩個根域DNS鏡像,但因為多次發生DNS污染而影響外國網路,威脅網際網路安全和自由而被撤銷路由通告。據2008年1月《第一財經日報》援引中央黨校的一份報告推算說,中國每年向美國支付的使用現有國際網際網路的費用,包括域名註冊費、解析費和通道資源費及其設備、軟體的費用等,高達5000億元以上,超過了當年中國國防預算的數額。相當於當年雲南全年的GDP(5700億元),佔到廣東當年GDP(35696億元)的七分之一。
但另據《南方都市報》報道,《中國域名經濟》叢書主編瀋陽說,通用頂級域名(gTLD)註冊費,一個是5.5美元,中國大概有300萬個,一年是1650萬美元;中國去美國的單向流量通道費2004年是10億元人民幣。所謂的「解析費」是不存在的,是蒙人的說法。在中國網際網路發展的早期,中文資源少,國內用戶訪問外國網站較多。隨著中文信息的豐富,反而是國外用戶訪問國內網站多於國內用戶訪問國外網站,所以相關的費用還在逐年下降。
5,筆者推測
2014年1月21日,中國網際網路根域名伺服器(DNS)的故障,並非所謂的「故障」,而是中國安全部門(即新成立的國家安全委員會)對中國網路安全進行的一次有效的測試,因為中共中央政治局星期五(1月24日)召開會議,決定了中央國家安全委員會設置,中央國家安全委員會由習近平任主席,李克強、張德江任副主席,下設常務委員和委員若干名。此次網路安全測試被證明是成功的,中國自己設計的網路安全系統是可行的,有望在不遠的將來,完全取代由美國控制和管理的「國際網際網路」,筆者稱之為「中國全球電訊網」。
為什麼這樣推測?
據資深網友分析:21日的DNS攻擊雖然已經平息,但這樣的情況的發生,自然給我們敲響了警鐘,如果下一次這樣的攻擊不再像這次一樣,只是一次「玩笑」,而是真真正正的網路進攻,而且範圍達到整個中國,甚至影響到政府層面的網路安全的話,我們又應該怎麼來面對呢?從戰略角度上講,當國家安全受到威脅的時候,一切都應以大局為重,很可能屆時會啟動應急方案,拉停國內的民用網際網路。所以,提升網路安全,是我們必須認真對待的現實問題。
根據上述幾個方面的分析,筆者由此可以斷定:中國相關部門研製多年的「中國全球電訊網」,在今年得到了一次有效而成功的測試,必將在不遠的一天,全面取代當今的「國際網際網路」。我們拭目以待!