手機版 | 簡體版 | 發布廣告 |常用工具 | 網站地圖

登錄註冊找回密碼切換風格

我要發布

倍可親首頁 › 日誌 › kylelong › 日誌

kylelong

https://big5.backchina.com/?250647

中國網際網路根域名伺服器（DNS）故障的現象與推測

作者：kylelong 於 2014-2-4 02:03 發表於最熱鬧的華人社交網路--貝殼村

作者分類:學習探討|通用分類:熱點雜談|已有10評論

關鍵詞：中國網際網路, 域名伺服器

1，網路故障現象：

2014年1月21日，眾多網站同行報告稱國內網際網路根域出現問題，導致大量網站域名解析不正常，分析后發現，所有通用頂級域名的根域解析出現異常。故障具體表現在域名訪問請求被跳轉到幾個沒有響應的美國IP上，不同省份的用戶均出現不同程度的網路故障，但也有訪問完全正常的案例。

2，根域名伺服器（DNS）：

維基解釋：域名系統（Domain Name System，簡稱DNS）是整個網際網路服務的底層基礎之一。這一服務將人們訪問的網際網路域名轉換為IP地址，相當於網路訪問的指路牌。舉例來說，ifeng.com是一個域名地址，方便人們記憶與輸入。但其實每個域名都必須要與一個伺服器的IP地址相對應，才能被網路正確識別和訪問到，如210.51.19.61。域名系統就負責將好記的域名地址轉換為真實的IP地址，這一轉換的過程，有一個術語叫做「域名解析」。域名系統由DNS伺服器來運行，DNS伺服器是一個樹狀的分散式的大型網路。其中最頂級的伺服器叫做根伺服器（Root Server），存儲了全球所有通用域名的信息。在根伺服器之下，有大量的一層一層的次級伺服器，面向用戶提供服務。

一般的用戶安裝好網路之後，會使用寬頻運營商提供的本地DNS伺服器。這是離用戶最近的DNS伺服器，位於整個DNS網路的最末端。DNS伺服器採用緩存機制，當用戶在本地DNS伺服器找到域名解析結果的時候，就直接返回IP地址。如果找不到，則最近的伺服器將依次向上查詢，查詢更上層的伺服器，層層循環，一直查詢到最高等級的根伺服器。同時，查詢到后，本地伺服器就會緩存下來，其它用戶再次訪問該域名時，可以直接在本地伺服器拿到結果，不用再次層層查詢。這一域名網路具有嚴格的等級制度，底層伺服器嚴格遵循上層伺服器的更新結果。這一層層向上查詢並緩存的機制，保證了整個域名系統的高效。但也為安全帶來了隱患：即一旦上層的DNS伺服器受到攻擊時，所有底層的伺服器都將受到牽連，從而導致大規模的網路癱瘓。

網友以1月21日的這次DNS故障為例分析：位於中國的高級別的域名伺服器出現故障，導致中國大部分的域名伺服器解析出現錯誤，從而導致了接近2/3的中國網際網路癱瘓。據金山毒霸網路專家的數據，近年來中國大規模的網路癱瘓事故有五起。包括2006年台灣地震震斷海底光纜事故、2009年暴風DNS受攻擊導致大範圍斷網、2010年百度域名被劫持事件、2011年中國電信寬頻維修導致大規模網路故障、以及昨日2014年DNS域名根伺服器故障。從近年來的五起網路癱瘓大事故看來，除了不可抗力的地震和維修導致物理故障之外，其餘的三起事故都是由DNS系統引起的。事實上，作為網際網路最基礎的服務之一，隨著網際網路應用的不斷發展，網際網路安全鏈條上最薄弱的環節就是DNS域名系統了。也就是說，因為技術的路徑依賴和特殊的社會歷史原因，對DNS系統的重新設計和大修幾乎是不可能的，支撐全球網路的DNS系統不可能完全顛覆重來。

3，出現解析異常的推測

（1）DNS故障原因極有可能為GFW工作人員烏龍操作。

http://www.zhihu.com/question/22572025

http://www.v2ex.com/t/97867

http://ovear.info/post/207

（2）根伺服器故障DNS解析失敗網際網路路癱瘓疑因美翻牆軟體。

專業人士進一步分析指出：訪問任何以 .net，.com，.org結尾的域名的網站，統統被送到65.49.2.178這個IP上，而這是一個翻牆代理伺服器提供商的IP。該IP位於美國北卡羅來納州卡里鎮DynamicInternetTechnology公司，大量中國知名IT公司的域名被解析到該地址。

《環球時報》記者21日晚通過多方調查發現，這家名為DynamicInternetTechnology的公司與研發「自由門」翻牆軟體的是同一家公司。依據名稱和地址，記者在查詢這家公司信息過程中了解到，該公司總裁為比爾·夏，此人正是「自由門」的創始人。DynamicInternetTechnology公司網站介紹稱，其服務對象包括Dajiyuan、美國之音、自由亞洲電台等，為中國的網際網路用戶提供被屏蔽網頁的訪問服務。《環球時報》記者發現該公司並未留下聯繫電話，只有傳真和電子郵件聯繫方式。記者向該公司發出電子郵件詢問，比爾·夏回復稱其與此事無關，事件更像是DNS域名被第三方劫持。

（3）國家網際網路應急中心22日證實，這次故障是由於根伺服器遭受網路攻擊所致。

「遊戲團隊拿了68薪的年終獎，技術團隊憤而格式化」——這條段子是21日網際網路界的熱點。

（4）有人指出：這次網路癱瘓並非駭客所為，最可能的是中國的防火牆跟自己開了個天大的玩笑，因為只有中國的「防火長城」能同時癱瘓不同網站的DNS。

4，根域名伺服器的背後

2014年1月21日，中國境內三分之二網站由於DNS域名根伺服器故障，處於癱瘓狀態，網站的訪問受到嚴重影響。初步判斷此次事件是由於網路攻擊導致中國境內網際網路用戶通過國際頂級域名服務解析時出現異常。目前，全球只有13個頂級根域名伺服器維持著整個網際網路的運行，其中10個在美國，在中國尚未有布置。中國使用這些根伺服器是否需要付費？每年大約多少？

來自網路的消息稱：中國沒有根伺服器。根伺服器主要用來管理網際網路的主目錄，全世界只有13台。1個為主根伺服器，放置在美國。其餘12個均為輔根伺服器，其中9個放置在美國；歐洲2個，位於荷蘭和瑞典；亞洲1個，位於日本。所有根伺服器均由美國政府授權的網際網路域名與號碼分配機構ICANN統一管理，負責全球網際網路域名根伺服器、域名體系和IP地址等的管理。

2010年3月16日前，中國大陸有其中兩個根域DNS鏡像，但因為多次發生DNS污染而影響外國網路，威脅網際網路安全和自由而被撤銷路由通告。據2008年1月《第一財經日報》援引中央黨校的一份報告推算說，中國每年向美國支付的使用現有國際網際網路的費用，包括域名註冊費、解析費和通道資源費及其設備、軟體的費用等，高達5000億元以上，超過了當年中國國防預算的數額。相當於當年雲南全年的GDP（5700億元），佔到廣東當年GDP（35696億元）的七分之一。

但另據《南方都市報》報道，《中國域名經濟》叢書主編瀋陽說，通用頂級域名（gTLD）註冊費，一個是5.5美元，中國大概有300萬個，一年是1650萬美元；中國去美國的單向流量通道費2004年是10億元人民幣。所謂的「解析費」是不存在的，是蒙人的說法。在中國網際網路發展的早期，中文資源少，國內用戶訪問外國網站較多。隨著中文信息的豐富，反而是國外用戶訪問國內網站多於國內用戶訪問國外網站，所以相關的費用還在逐年下降。

5，筆者推測

2014年1月21日，中國網際網路根域名伺服器（DNS）的故障，並非所謂的「故障」，而是中國安全部門（即新成立的國家安全委員會）對中國網路安全進行的一次有效的測試，因為中共中央政治局星期五（1月24日）召開會議，決定了中央國家安全委員會設置，中央國家安全委員會由習近平任主席，李克強、張德江任副主席，下設常務委員和委員若干名。此次網路安全測試被證明是成功的，中國自己設計的網路安全系統是可行的，有望在不遠的將來，完全取代由美國控制和管理的「國際網際網路」，筆者稱之為「中國全球電訊網」。

為什麼這樣推測？

據資深網友分析：21日的DNS攻擊雖然已經平息，但這樣的情況的發生，自然給我們敲響了警鐘，如果下一次這樣的攻擊不再像這次一樣，只是一次「玩笑」，而是真真正正的網路進攻，而且範圍達到整個中國，甚至影響到政府層面的網路安全的話，我們又應該怎麼來面對呢?從戰略角度上講，當國家安全受到威脅的時候，一切都應以大局為重，很可能屆時會啟動應急方案，拉停國內的民用網際網路。所以，提升網路安全，是我們必須認真對待的現實問題。

根據上述幾個方面的分析，筆者由此可以斷定：中國相關部門研製多年的「中國全球電訊網」，在今年得到了一次有效而成功的測試，必將在不遠的一天，全面取代當今的「國際網際網路」。我們拭目以待！

高興

感動

同情

搞笑

難過

拍磚

支持

鮮花

剛表態過的朋友 (2 人)

收藏分享邀請舉報

發表評論評論 (10 個評論)

回復笑臉書生 2014-2-4 02:29: 只要美國願意，就隨時可切斷中國大陸的網際網路與國際聯繫

信息社會世界峰會突尼西亞階段會議已於近日閉幕。會議在改革網際網路國際管理體系方面並沒有取得重大進展，美國仍然保持著對網際網路國際管理的主導權。這意味著美國Government在任何時候都有能力把包括中國在內的其它國家或地區驅逐出國際網際網路主幹網。

　　國際在線消息：目前，全球網際網路是由美國商務部下屬的一家非營利性私營機構管理的，這個機構稱為"網際網路名稱與數字地址分配機構(ICANN)"，自1998年成立以來，一直負責網際網路IP地址的分配、頂級域名系統的管理等網際網路國際管理事務。

　　美國是如何掌控全球網際網路的

　　作為網際網路管理主體的ICANN僅對美國Government負責。換句話說，美國在任何時候都可以通過ICANN使某國或某地區的網際網路從國際主幹網上斷開，這給多數國家帶來了政治上的不安全感和不信任感。

　　在技術方面，由於網際網路發源自美國，很多大容量的地址段都被美國的機構或公司佔用，能分配給其他國家的大容量地址段就很少，尤其對那些經濟尚不發達、信息產業處於起步階段的國家來說，更是往往只能分到資源很有限的地址段。而且目前世界所有的IP地址資源中，2/3的地址已經分配完畢，僅美國一國就佔了1/4強。

　　此外，美國Government還經常要求ICANN為其服務。比如開放以".xxx"為後綴的域名給色情網站統一使用，雖然最後一刻，***團體及個人給美國商務部寫了成千上萬封抗議信阻止了該域名開放，但這恰好說明了ICANN不過是商務部的傀儡組織，在重大事項上根本沒有發言權。

　　各國要參與網際網路管理

　　網際網路日益成為大多數國家Government處理國家事務的一個重要工具，因此各國很自然地發出了參與網際網路管理的呼聲。

   包括歐盟國家在內的許多國家普遍認為，各國也有權在網際網路管理上表達自己的觀點，保護自己的權利。這並非是要取代美國作為網際網路管理者的角色，而是要求網際網路以一種更專業、符合更多人利益的方式來得到管理和擴大。

　　從2003年信息社會世界峰會第一階段日內瓦會議召開以來，這些國家一直呼籲保留ICANN的核心技術職能，在聯合國範圍內建立一個可以代表所有國家的國際組織，代替美國行使對網際網路的監管。

　　美國拒絕與別國分享網際網路管理權

　　美國一直掌握并行使著網際網路的管理權。一方面，美國為網際網路在全世界的迅速和穩定發展做出了貢獻；另一方面，美國也通過網際網路在政治、經濟、文化等各領域獲得了巨大的利益。對於與別國共享網際網路管理權，美國持堅決反對的態度。

　　在突尼西亞峰會上，美國代表馬伯格重申，現存網路的有效運行保證了網際網路成為當今最具活力和分佈最廣泛的媒介，"任何人都不應對運行良好的現存網路造成傷害"。

　　網際網路管理論壇無實權

　　網際網路國際管理作為本次峰會的焦點問題，在峰會前的3次預備會議和峰會上進行了激烈爭論。在經歷了艱苦的談判后，峰會與會各方達成了妥協。

　　一方面，各方同意不把網際網路管理權移交給聯合國機構，而是維持美國獨享網際網路管理權的現狀；

   另一方面，峰會承認各國在域名和國家代碼上享有主權，同意網際網路管理應當從一個國家管理的單邊模式向多邊模式發展，所有國家在網際網路管理和確保網際網路穩定安全方面應發揮平等的作用並承擔共同的責任。

　　此外，峰會還決定成立一個網際網路管理論壇，這個論壇不具有監督功能，僅為各方提供一個平台，就網際網路管理以及**郵件、網路安全、降低網路成本等問題繼續展開磋商。

　　當前的管理模式還將繼續

突尼西亞峰會這一個重要的決定表明，目前的網際網路管理模式還將延續，新的管理組織並未建立起來。

      網際網路管理論壇的作用僅是"討論網際網路重要事務"，沒有管理權，作出的決定也不具有強制力。美國在這場爭論中獲取了最大的利益。

　　與網際網路管理問題的結果一樣，突尼西亞峰會也沒有在幫助發展中國家發展信息技術、消除數字鴻溝方面取得變革性的進展。

      兩年前在日內瓦召開的信息社會世界峰會第一階段會議就曾承諾，要在2015年讓世界上的每個人都能有上網的機會，但是現在全世界只有14%的人口上網。目前，世界許多地區經濟發展停滯、政治局勢動蕩，人民生活連基本的物質條件都不具備，此時空談發展信息社會無異於空中樓閣。

　　鏈接：ICANN來頭不小

　　網際網路起源於美國。20世紀90年代初，美國國家科學基金會為網際網路提供資金並代表美國Government與NSI公司簽訂了協議，將網際網路頂級域名系統的註冊、協調與維護的職責都交給了NSI。

   而網際網路的地址資源分配則交由IANA，IANA將地址分配到ARIN(北美地區)、RIPE(歐洲地區)和APNIC(亞太地區)，然後再由這些地區性組織將地址分配給各國。

　　1998年6月5日,美國Government解除了同IANA的協議。當年10月，一個民間性的非贏利公司ICANN，開始負責管理Internet域名及地址資源。

      新公司的最高管理機構--理事會由來自世界各國的18名代表組成。它同時還集合了全球網際網路商業、非商業、技術及學術領域的專家，主要負責全球網際網路的根域名伺服器和域名體系、IP地址及網際網路其它碼號資源的分配管理和政策制訂。

   只要美國願意，就隨時可切斷任何國家，包括中國大陸的網際網路與國際聯繫!!!!!!!!!!!!!!

回復小雨點0514 2014-2-4 03:10: 樓上說的對極了！美國已經用網路統治了世界。所以各個國家一定要小心使用網路，千萬不要過度依賴網路，除非技術過關，不然會後悔莫及！

回復 arznith 2014-2-4 13:50: 這個問題上樓主沒看明白:中國目前是用虛擬的鏡像來替換國外網站的,這甚至包括了微軟的升級FWQ鏡像,如果不信,你可以牆內牆外看看www.zaobao.com,還可以換不同的破網軟體再看看，這問題嚴重啊，3個www.zaobao.com吶！·推導下---自由門破網軟體也就是中國製造，明白問題基礎性和嚴重度了么？

很簡單的舉個例子：如果同一個網站，2個鏡像和真實的根FWQ的數據同步，會發生什麼事？

這就是上次斷網的原因了。調整時間和鏡像基礎代碼讓其同步，並且物理斷網也能強行同步，這技術估計中國科院真的會發憷。

估計這和敝人的計算機被攻擊，有些「好客」看不慣有關。嘿嘿，估計而已，敝人的硬碟，，，555，，，

回復 kylelong 2014-2-5 00:13: arznith: 這個問題上樓主沒看明白:中國目前是用虛擬的鏡像來替換國外網站的,這甚至包括了微軟的升級FWQ鏡像,如果不信,你可以牆內牆外看看www.zaobao.com,還可以換不同的破 ...
你說的也許有道理。但你只是從現在的國際網際網路的鏡像角度來分析問題，沒有考慮更多的安全因素。

為什麼中國的安全部門一直說是「黑客攻擊」？我覺得就是此地無銀三百兩。

正因為網路的安全性有很大問題，中國才開始研發新一代的國際網際網路。這次的事件，可能性是多方面的，我的推測只是一種可能。不是被人攻擊，而是自己在測試某種尚未公開的技術手段。

http://big5.backchina.com/blog/250647/article-195250.html#.UvERjRzP-sg

回復 snortbsd 2014-2-5 11:24: well, the three servers in beijing are a part of 13 dns root clusters, but china doesn't really have control of them. all of those 13 root clusters are copies. well there are so-called "hidden root servers", but those are highly secured and managed by ...

中國開始研發新一代的國際網際網路 is more talking than reality. without the ruling of american government, china has to rely on paid peerings for its traffic flowing in and out of china.

dns security is much lesser concern that the routing in some perspectives...

回復 kylelong 2014-2-5 11:36: snortbsd: well, the three servers in beijing are a part of 13 dns root clusters, but china doesn't really have control of them. all of those 13 root clusters ar ...
科技進步從來都不是一帆風順的，一定是一步一步的，要有一個過程。

回復 snortbsd 2014-2-5 11:41: kylelong: 科技進步從來都不是一帆風順的，一定是一步一步的，要有一個過程。
well, it is not about 科技進步, it is about politics...

the ONLY country on this planet that qualifies to engage a cyber war is the united states of america. the rest are nothing but propaganda....

回復 kylelong 2014-2-5 12:07: snortbsd: well, it is not about 科技進步, it is about politics...

the ONLY country on this planet that qualifies to engage a cyber war is the united states of ...
肯定是暫時的。

很多軍事裝備，中國也很落後。遼寧艦研發早期，很多人就說中國沒有阻攔索，飛機無法起飛降落，而實際上，中國早就研製成功。

網路根本不是問題，中國也有。看看這個報道（可以google搜索一下）：

網友辯論：中國人是否可以領先信息時代？

http://big5.backchina.com/blog/250647/article-188557.html#.UvEVTxzP-sg
http://big5.backchina.com/blog/250647/article-188557.html#.UvEUthzP-sg

回復 snortbsd 2014-2-5 12:29: kylelong: 肯定是暫時的。

很多軍事裝備，中國也很落後。遼寧艦研發早期，很多人就說中國沒有阻攔索，飛機無法起飛降落，而實際上，中國早就研製成功。

網路根本不是問題 ...
i can see your point, i hear you....

kylelong最受歡迎的博文

熱點新聞>> 更多

>> 更多

其它[熱點雜談]博文更多

本站時間採用京港台時間 GMT+8, 2024-4-27 05:59

返回頂部

kylelong

中國網際網路根域名伺服器（DNS）故障的現象與推測

剛表態過的朋友 (2 人)

發表評論 評論 (10 個評論)

發表評論評論 (10 個評論)