大斷網后的發現：中國防火牆真夠流氓的！

大斷網后的發現：中國防火牆真夠流氓的！

解濱

現代德國為後人留下的最珍貴的歷史遺跡，不是布蘭登堡門，也不是猶太人被害紀念碑，而是柏林牆。 今天的中國將給幾十年、幾百年後留下些什麼歷史遺跡呢？ 您可以例舉的東西很多，但有一樣東西是一定要為後人所記住的，這就是今天中國的防火牆。 它雖然看上去沒有柏林牆那麼直觀、冰冷和堅硬，但兩者具有類似的功能。 一個是拿來不讓人民投奔自由的，另一個是拿來不讓人民思想自由的。

中國的防火牆跟柏林牆有一點不同之處，這就是它既不是圍的那麼嚴絲合縫也不是那麼堅不可摧。 而且這堵牆有時會做出些令人啼笑皆非的事情來。

越來越多的證據顯示，上個星期二，也就是2014年1月21日，中國的防火牆跟自己開了個天大的玩笑，採取了一個大無畏的革命行動 ——揮刀自宮，把中國網際網路給一刀「咔嚓」了，開了一個國際大玩笑！

從北京時間1月21日下午3點20分開始，國內的網民們突然無法訪問所有的以 .net, .com, .org結尾的域名的網站上了。 這下子麻煩大了，因為這三個域名囊括了世界上大多數的網站。 中國差不多三分之二的國內網站也是使用這幾個頂級域名的，例如百度、騰訊、天貓、新浪微博、CNTV、樂視等大型門戶、視頻網站。  當網民們無法訪問這幾個域名的網站時，全國的網上交易和電子商務幾乎都停頓了，電腦的殺毒數據更新停止了，商務電子郵件停送了……，全國億萬網民傻眼了：這TMD出了啥事啊？  

這個狀況一直持續了2-11個小時，各地有所不同。   

一不小心，這成了網際網路有史以來最大規模的一次斷網。

當時的情況是這樣的：下午3：20起，中國所有的頂級域名解析都突然發起傻來，誰要是訪問任何以 .net, .com, .org結尾的域名的網站，人們統統被送到65.49.2.178這個IP上，而這是一個翻牆代理伺服器提供商的IP。

事發以後，政府的解釋是：這是黑客所為。 這玩笑開的有點大了，騙傻瓜不是？ 現在我來試用最簡單的語言告訴你為什麼那是放屁。

網際網路上每一台設備都是靠一個數字錶明自己的位置的，不然無法和別的設備通訊。 這個數字就叫IP address，簡稱IP。 網際網路上有成億台設備，人類的腦瓜子十分愚鈍，誰都沒法記住這麼多的數字。 於是域名伺服器（DNS）這種東東應運而生，來替我們記住那些數字。 人們只需要記住域名，例如baidu.com、qq.com等就可以了，讓域名伺服器來解析成IP，這樣您就可以輕鬆愉快地上網銷魂而不必死記硬背那些數字了。

有一天，有個流氓設法在您的電腦和域名伺服器之間做了點手腳，當您要去訪問一個網站時，那壞蛋看到您請求解析，就拿一個錯誤的IP給你，讓您跑到另外一個網站上去。 例如您要去淘寶，您的電腦卻鬼使神差地把您帶到了中國紅客網站。 這種詭計，就叫做域名伺服器劫持（DNS Hijacking），這是黑客的怪招之一。

1月21日的那個情況，確實很像域名伺服器劫持。 但詭秘的是，全中國所有的計算機都被「劫持」了。 這TMD邪門了，誰有這麼大的本事，居然劫持了全國每一台電腦，不管誰要訪問任何一個以 .com，.net 或 .org結尾的域名的網站時，就把你帶到65.49.2.178那裡去玩玩。 這哥們需要在全國各大主幹網路的節點上都設立一道關卡，不然根本沒法進行這種規模的劫持。 這是哪個黑客乾的呢？ 我可以告訴您：這樣的黑客還在他娘的肚子里，他能不能生出來還是個大問題。 那麼，誰才有如此強大的權力和資源呢？

還有一個辦法，有的黑客不用劫持就可以忽悠你，這就是乾脆入侵域名伺服器，弄砸解析規則。 這個伎倆叫做「DNS poisoning」，中文翻譯成DNS污染。 這個可能性是有的。 可是已經過去好幾天了，官方也應該可以拿出一點黑客入侵的forensic evidence了吧？ 拿不出來！ 「我輕輕地走，正如我輕輕地來，揮一揮衣袖，不帶走一片雲彩」—— 這樣的黑客還沒有誕生。 如果找不到任何黑客的蛛絲馬跡，那就是下面一種情況了。

這樣一來，就只剩下最後一種可能性了：假如中國的頂級域名伺服器（由DNSPod管理），給某個流氓開了一個大大的後門，這流氓隨時可以改寫任何解析規則，讓任何一個網站在中國人間蒸發，或者乾脆被「流放」到另外一處。 那麼，1月21日那天發生的事情就可以理解了。

現在我們可以想象出來，有一個神通廣大的傢伙，頭天晚上泡妞時叫人給宰慘了，那天又喝高了，本來那天他是應該寫一條規則，讓全中國的DNS伺服器都拒絕對IP 65.49.2.178的域名作任何解析，因為那是某個反動組織的IP。 為了確保萬無一失，萬一有人（多半是翻牆者）提出這種解析需求時，就對其進行攔截或者劫持。 但這傢伙酒還沒有醒，還對昨晚泡妞時的晦氣耿耿於懷，於是他亂寫一通，居然陰錯陽差地把所有的以.com，.net和.org域名結尾的網站一律擄到65.49.2.178那裡，這就造成了全國大斷網。 等到人家發現問題時，大家都嚇得尿褲子了：一定要等到緩存TTL（time to live）規定的時限到期后才可以把這個問題糾正過來。 這時候某部門的同志們個個急得想撞牆或跳樓，眼看大斷網在全中國發生了，卻束手無策，最後只好打電話通知各大通訊商，讓人家手工刷新DNS伺服器的緩存，這才把問題修好。 這時候全國範圍已經斷網好幾個小時，世界紀錄已經產生啦！

那麼，這個醉鬼是誰呢？ 他就職於中國某個秘密部門。 這個部門，就是中國防火牆管理機構。  

一不小心，這醉鬼造成了網際網路有史以來最大面積的斷網。

問題出在哪呢？ 問題並不在那個傢伙頭天晚上不該去泡妞，他喝酒也不是什麼大問題，反正人人都喝。 問題就出在中國防火牆本身。 網際網路當初設計出來就是為了「通」，而中國有這麼一個神通廣大的網際網路管理機構，他們唯一的任務就是「堵」。 經過這些同志們多年的努力，整個中國的網際網路就是一道立體全方位超級防火牆，從每台伺服器就開始堵，每個節點都設防，一直到和國際網路的交接點，層層設防。

這樣以「堵」為目的的網路，不出問題才怪！

專家們設計網際網路的初衷，就是要建立一個無論發生了什麼事情都斷不了的網。 但是在特色中國，網際網路的設計卻是以斷網為目的的。如果政治上需要斷網，隨時隨刻必須斷。 如果有人說1月21日那件事不過是中國防火牆換上華為的設備後進行的一次斷網測驗，我也會接受的。  

說透了，中國防火牆本來就沒有必要存在！那玩意兒是網際網路上最大的流氓！

他們處心積慮地要堵什麼呢？ 誰都知道，無非是要堵住境內外一切不河蟹的聲音。 可是堵得住嗎？ 

流氓有術，也有效，然而有限。 所以以此成大事者，古來無有！

這是我五年來第三次鄭重呼籲：尼瑪，拆掉那座防火牆吧！

參考文獻：2014 年 1 月 21 日中國網際網路根域名伺服器 (DNS) 故障是什麼原因？

http://www.zhihu.com/question/22572025/answer/21822396

• [12/06]曼德拉的旗幟永遠不倒！
• [12/22]2013年中國社會最可惡的五類人
• [12/27]沒有毛澤東，中國肯定會更好！
• [01/14]陳小魯、宋彬彬道歉了，下面該誰了？
• [01/22]文革血淚 —— 破鞋巧風傳
• [01/27] 大斷網后的發現：中國防火牆真夠流氓的！
• [02/07]西施回訪人間記
• [02/11]「今晚，我們都是賣淫女！」
• [02/15]永遠的聖瓦倫丁
• [02/22]SCA-5不死，我們華裔死！
• [03/01]SCA-5還沒死，抗爭要繼續！
• [03/03]打擊恐怖主義，中國該當男兒了！

• 查看：[解濱的.最新博文]
• 查看：[大家的.最新博文]
• 查看：[大家的.熱點雜談]