事件:全国范围出现大规模DNS域名解析故障!很多网站被解析到65.49.2.178上!
从[紧急通知]国内互联网根域出现重大故障 已持续数十分钟看,出问题是15:10,而16:18发布该通知时就确认问题已解决,解决的方法是“联系相关机构协调处理”。65.49.2.178是DIT的IP,而DIT是寡妇王的重点对抗目标。所以我觉得这事儿就是寡妇王的人手抖了一下,误操作。
@Rudey_Yao:DIT是那个目田门软件的开发公司;寡妇网请用拼音大写字母。
辜新星:DIT的创始人跟媒体否认是他们干的,也怀疑是寡妇王手抖了。
熊迪恩:寡婦王是英文縮寫GFW,DIT是境外反華勢力代表。正義再次從中華局域網輾過,宣告誰才是真正的BIG Bro,「都給我注意點,搞死你分分鐘。」
发在知乎的回答被和谐,只能发在这了,无责任分析一下1月21日网络大规模故障的事故原因
By chuangbo · 14 小时 56 分钟前 · 24117 次点击
结论,可能 GFW 某操作员乌龙指。
1. 我国境内 DNS 根被劫持/污染,被污染网站 IP 地址指向 65.49.2.178,可以使用 dig +trace 看到
2. 有能力污染 DNS root 的几乎只可能是 GFW
3. http://whatismyipaddress.com/ip/65.49.2.178 可以看到 Organization: Sophidea
4. http://www.markosweb.com/hosting/sophidea/ 可以看到这个服务商的最大客户,就是鼎鼎有名的动态网,自由门的出品方。
所以不难猜测出过程可能是这样的,某操作员本来要将该 IP 封禁动态网的 IP,从而阻止大家下载自由门。但是操作失误,错误的使用了劫持功能,并且没有填写要劫持的域名,然后把该 IP 填写到了劫持后的地址上,然后造成了无法挽回的事故。
只是几个简单的分析,非常不严谨,请大家看完笑笑就可以了。
大家也可以看这里 http://www.zhihu.com/question/22572025/answer/21822396
他补充了一张很有说服力的图
----------
chuangbo 14 小时 39 分钟前
世上最强 DDOS 我怕是海底光缆都挡不住吧哈哈哈哈哈
DreaMQ 12 小时 42 分钟前 via Android
@chuangbo 怎么挡不住。全国(大陆)总国际带宽不到3TB,但海缆单TPE一个就超过5T。不过我还是相信没有任何服务器能挡住。
xavierskip 12 小时 24 分钟前
膜拜GFW
的操作员!!!!
chenshaoju 12 小时 23 分钟前
我也进行了一系列测试,因为正在浏览Solidot,突然打不开了,然后就用 solidot.org 这个域名做了测试。
Solidot的域名注册在国内,自己建的NS服务器(用的 cnet.com.cn 的),然后www和@记录的IP也指向国内,一般情况下不会受到干扰,但是也被解析到了65.49.2.178。
https://pic.twitter.com/hefdVXxjO0
因此做出猜测,墙直接污染了境内DNS向境外根域名服务器的查询结果,导致国内的域名直接解析到了错误的IP上。
但是很不幸,污染只持续了十分钟,没来得及深挖。楼主和知乎上提供的截图证实了这个观点,此次事件是由于墙引起的,而非什么DNS失效。
摘自:发在知乎的回答被和谐,只能发在这了,无责任分析一下1月21日网络大规模故障的事故原因
2014 年 1 月 21 日中国互联网根域名服务器 (DNS) 故障是什么原因?
继今日晨间腾讯的一系列故障后,今日下午15:10分许,众多网站同行报告称国内互联网根域出现问题,导致大量网站域名解析不正常,分析后发现,所有通用顶级域名的根域解析出现异常。故障具体表现在域名访问请求被跳转到几个没有响应的美国IP上,不同省份的用户均出现不同程度的网络故障,但也有访问完全正常的案例。以下是故障截图等信息,我们将以时间线的方式持续跟踪。
----------
黄祺,90后混IDC,爱好ACG
网上各种谣言纷飞啊,目睹整个过程必需来说说。
=================================================================
上面补充了一张图给不了解DNS工作原理的读者~~
15:20 接到一个CDN用户询问,只有一句话:节点挂了?我第一反应是curl测一下节点,咦连不上?再进行dig +trace,吓尿了……看图
w(゚Д゚)w这是典型的*啊……我就回了句卧槽你被*照顾了?仔细一想,他就一个动漫论坛,不可能有这照顾啊,顺便下面放一张被*照顾的域名的DNS跟踪图,像这样就肯定是*干的好事了:
于是我联系了运维帮助协查,运维这一查艾玛吓尿了好吗,托管在我们DNS上的域名全部解析出来都是这鸟样……这不科学(╯‵□′)╯︵┻━┻难道我们被*照顾了?小心脏心跳速度骤增,这时候Q群消息变的多起来,咦百度打不开,QQ空间又挂了blablabla...
我再继续跟一下几个域名,我大概这辈子只能见到一次这样的trace图了:
百度和我自己的博客
我居然能和度娘在同机房!爽不爽!【群众:滚(╯—﹏—)╯( ┷━━━┷
ovear君的截图,他使用的是TCP查询,TCP也被污染的话,你猜除了*还有谁能干?然后发现google家dns貌似是正常的~_~
与此同时运维也在各地的服务器上开始了跟踪查询,发现全国各地解析时间均为25ms左右。这时候结论就出来了。但是也许有人会说我的证据不够充分,那么我们再继续查查这个65.49.2.178是什么来头。
于是呢,我们在同C段的65.49.2.0/24查到了下面的网站:
关键词自己图里找
整理一下:
1.低延迟说明全国各地(至少在省内或者附近,不会南方跨到北方)直接返回被劫持的IP;
2.TCP查询同样中枪,排除黑阔采用全国发UDP包方式进行劫持;
3.同网段有那啥网站。
结论不写了。
================================================================
更新一下,有人问啥时候会恢复什么的。
劫持的影响大约只有15分钟。当时我查到的TTL是几万,也就是说,在电信运营商没对递归DNS手工刷新缓存的情况下,可能还需要间断受影响几个小时。不正常的可以试试更换DNS为8.8.8.8,或者等几小时再看看,后继影响略严重的样子=_=
创博,曾在 DNSPod 担任产品负责人一职
更新:至于有人说 DNSPod 源码问题,那是彩蛋好吗。。很多网站都有的。。那图里面你仔细找找有很多 at 都是 Web 团队的同学微博,程序员的恶趣味你是不会懂的。
---
我猜测是境内互联网管理机构员工手误,乌龙指。
1.我国境内 DNS 根被劫持/污染,被污染网站 IP 地址指向 65.49.2.178
2.有能力有胆量污染 DNS root 的几乎只可能是该监管机构
3.IP Address: 65.49.2.178 可以查到 Organization: Sophidea
4.Sophidea Webhosting Statistic @ SmartViper.com 可以看到这个服务商的最大客户,就是鼎鼎有名的。。。。不说了
所以不难猜测出过程可能是这样的,某操作员本来要将该 IP 封禁,从而阻止大家下载那啥。但是操作失误,错误的使用了劫持功能,并且没有填写要劫持的域名,然后把该 IP 填写到了劫持后的地址上,然后造成了无法挽回的事故。
还想出国,不想被跨省,请知乎保护我。
Lemon Tsui,剑灵,我来了!
多个递归服务器(1.2.4.8, 8.8.8.8, 114.114.114.114)同时把某某域名解析到65.49.2.178,可以说明不只是DNSPOD的问题。
蹊跷的是,上午腾讯众多产品服务出现宕机情况,下午就出现全国性DNS解析错误。不知道这两者是否有联系,表示严重关注后续发展。
以下是坊间传说;
1、国内负责DNS污染的设备进行测试的时候出现故障,对所有域名都实施DNS污染,导致大量网站解析错误。
2、65.49.2.178,查了下,是美国HE线路的,用了匿名代理,但组织名是Sophidea,百度上一查,居然是轮子的。。。
最新进展:
基本上恢复正常,但各地有缓存,所以部分地区可能还会持续12小时。
祝凯,吃货/爱旅游/残品/关注射计
补充一点大家没有注意到的
从昨天中午开始,65.49.2.178所在的线路http://he.net开始抽风
抽风影响到了Linode 佛尔蒙特 节点(典型HE线路,Linode稳定服务的象征)以及bandwagonhost等众多vps
刚开始表现为ping值不稳定,忽高忽低,刚好昨天有截图
这是昨天我在hostloc上提的问题:看这ping是什么情况
从今天早上开始表现为国内电信对HE线路所有vps大量丢包,丢包率达到50%左右,ping值400+,如果使用过linode佛尔蒙特的朋友应该知道,该线路正常情况ping值200ms以内
可以参考这是今天早上坛友发的内容
电信访问he是不是又开始抽了?
无责推断:
G*W从昨天开始对该线路进行排查,影响到HE线路稳定性,不幸的是,在此之中发生错误,发生了今天下午的事情。
目前为止,电信访问HE线路依然属于异常状态
注:截图所用的主机为http://bandwagonhost.com亚利桑那州凤凰城机房的,线路为HE线路,IP地址是加拿大IP,广播到机房的。
匿名用户
似乎从原理上来说不是很复杂,根域名服务器沦陷,解析出错误的结果。
由于 DNS 的递归解析和缓存问题,一台服务器的污染导致各大运营商的 DNS 服务器也遭到污染。
根据 dig 命令得到的结果,污染者将 TTL 缓存时间设置成约 4000 秒,也就是大概 12 小时。也就是说即使根域名服务器恢复了正常,下属的其他 DNS 服务器在重启之前也会保留旧的错误记录。
下面来谈一谈为什么攻击者能够如此轻而易举地完成攻击:
目前全世界一共有 13 台 DNS 根域名服务器,有 10 台在美国,1 台在瑞典,1 台在荷兰,1 台在日本,全世界有多个根域名服务器的镜像。也就是说中国整个互联网的生杀大权全部掌握在美国的手里。
曾经有人吐嘈过这个问题,其实是自己作的孽:2010年3月16日之前,中国是有两台根域名服务器镜像的。但是因为某墙的原因导致了全世界人民访问谷歌跳转到了百度等两次事件,威胁国际互联网安全和自由而被断开与国际互联网的连接。
中国对互联网失去了控制归根到底是自己的原因。于是这次根域名服务器沦陷的情况下,中国处于被动的境地。
是谁造成的攻击呢?
现在有多个猜测,一一分析。
由于 65.49.2.178 这个 IP 地址与某组织有联系,有的人认为是某组织干的事情,这就上升到政治高度了。
有的人认为是某防火墙的工作人员试图封锁这个 IP,而误操作导致所有域名都解析到这个 IP 上。但是这种说法缺乏证据:如果只是这样的话,影响范围只应该是防火墙内部。即使是利用 8.8.8.8 8.8.4.4 4.4.2.2 1.2.4.8 等多个国外的公共 DNS 服务器进行域名查询,也会得到错误结果。(补充:有的人测试发现在国外用 8.8.8.8 进行查询不会导致结果被污染,只有在国内查询会污染,这个笔者没有做测试,不清楚。那么这样推测有可能污染源在国内骨干网上。)
当然有的人说是蓝翔在期末考试,这个毫无根据,纯属胡闹,不讨论。
后续:安徽电信 DNS 抢答:
2014年01月21日 17时31分,本以为 DNS 污染就此结束,8.8.8.8 114.114.114.114 等服务器以及笔者所在安徽电信运营商的 DNS 服务器都能够解析到正确的结果。然而在用运营商的 DNS 进行域名解析的时候,dig 命令返回了如下的一行:
;; reply from unexpected source: 61.132.161.8#53, expected 202.102.192.68#53
这个抢答的 IP 地址貌似是 APNIC 的 IP 地址。
笔者猜测可能有两个情况。一是运营商的 DNS 服务器还没有完全恢复的那几秒钟由另一个 DNS 服务器接替。二是黑客继续采取 DNS 抢答攻击的方法来进一步攻击。个人认为第一种情况更具有可信性,因为解析出来的结果是正确的。
这个情况只持续了几分钟。很可惜笔者忘记了截图,错过了良机。
DNSPod 的彩蛋问题:
有人怀疑 DNSPod 官方网站被黑客攻陷。这个不好说,没有根据。有可能只是 DNSPod 员工在开玩笑。
图:DNSPod 官方网站源代码藏有彩蛋
其实,这种东西很常见,WebQQ 曾经在源代码中隐藏有招聘启事呢。
图:WebQQ 源代码截图
刘俊麟,英日普粤、机电计网、钟表汽车飞机火车
最巧的是我那时快递刚把我买的路由器送过来,然后就搭起WDS。结果一边弄一边都想砸鼠标,“怎么还是上不了!!”折腾了大半个下午才知道原来是这回事。。。
知乎用户,重邮软件工程学生
==本来期待有个像样的回答,看来还是我来吧
--------------------------------------------------------------------------------------------------------------------------------------------
1.DNS是domain name system域名系统的简写,ip是internet protocal 网络协议的简写。
2.ip地址是一个32位的二进制码,为了方便,每八位用个小点点隔开,然后换算成一个十进制数,也就是ip地址的点分十进制表示,就是我们平时有时会看见的像192.168.1.104这样的一坨。
--------------------------------------------------------------------------------------------------------------------------------------------
那究竟DNS和IP地址是干嘛的呢?
下面让我们来举个栗子四郎急着找嬛嬛,但是嬛嬛闹情绪回娘家了,撂下一句狠话:你特么不是很屌么?有本事你亲自来接我啊?为了美人归,四郎不得不四处打听嬛嬛家在哪住。
皇上:苏培盛,知道嬛嬛家的地址么?
苏培盛:奴才不知道,但是皇后娘娘治理六宫,应该知道
皇上:皇后,你统摄后宫,知不知道嬛嬛娘家在哪啊?
皇后:皇上,臣妾也是人,要臣妾把地址都记住,臣妾做不到啊!这些琐细,你得去问协理后宫的华妃,敬妃,端妃啊。
皇上:华妃,你可知道嬛嬛娘家的地址?
华妃:甄嬛这个贱人就是矫情,成天狐媚惑主,我哪里知道她住哪,皇上你还是去问端妃吧。
端妃:皇上,臣妾虽不知菀嫔家的具体地址,倒是知道安答应他爹是菀嫔家小区的保安。你去问问他吧。
皇上:岳父,敢问嬛嬛住在哪一栋几号啊?
安保安:皇上,菀小主就住在xxx市xxx区xxx小区xxx楼的xxx号。
皇上屁颠屁颠的找到了嬛嬛,把她接回了宫。
--------------------------------------------------------------------------------------------------------------------------------------------
演员表:
皇上------------------------客户端/主机A 一心想找回嬛嬛的痴情汉
甄嬛------------------------服务器端/主机B 一个名字好记,地址不好记得女人
苏培盛---------------------本地域名服务器 知道一些皇上要找人的地址
皇后------------------------根域名服务器 一统后宫,掌握了协理六宫的华妃,端妃和敬妃的地址
华妃------------------------顶级域名服务器 位同端妃,敬妃,辅助皇后协理六宫,掌握了管辖的个小区
安陵容他爹---------------权限域名服务器 掌握了他管辖小区的住户的地址
备注:
嬛嬛的娘家的地址-----这特么就是ip地址啊。
--------------------------------------------------------------------------------------------------------------------------------------------
对应起来就是你打开浏览器,输入http://n.baidu.com,然后本地域名服务器就在他的表里找http://n.baidu.com的ip地址,就是那一坨数字,然后它找不到,就告诉主机要问一问根域名服务器,问题就在本来应该找皇后问的事,居然找到了英国女王。当然接下来就不知道往哪走啦。说的可能有很多纰漏,仅供娱乐。
许哲,建筑工人
白话版:
你想去北邮电(通过http://www.google.com访问谷歌搜索服务器)但不知道在哪个位置(IP地址),然后问路边一小孩(DNS缓存):小盆友,北邮在什么地方(谷歌搜索服务器IP地址是什么),小盆友也没去过(DNS缓存没有记录或记录过期),就问旁边的爸爸(根DNS服务器或骨干网DNS服务器),北邮在哪儿,他爸一脸不高兴(你竟然敢访问谷歌)的指了指去法海的方向(被污染的DNS服务器),说法海会告诉你,法海你还没见到一张写着地址的纸就落到你手上(被污染的DNS返回),No 213,Street Paifang,Beijing(65.49.2.178)。你屁颠屁颠地蹬着三轮朝那个方向去了(用龟速的网络继续找呀找呀找),突然发现前方有不明黑色气团(电脑一下惊呆了此IP是个冒毛线,根本就不是谷歌搜索的服务器),然后你就晕过去了(浏览器提示:oops, chrome can't connect to www.google. com/哥们,暂时无法访问,请稍后再试/360浏览器提示您,请备好360各种杀毒工具待命/猎豹浏览器提示您,我们的刷票工具不能破解验证码,请明日到12306柜台办理登船手续/Internet Explorer,苍天你还在用6,怪不得上不去网,装360补丁吧/QQ弹窗提示您:我们的群共享服务器也挂了,请及时存好种子)。此文摘抄于k.root-server. net服务器,与本人无关。
匿名用户
国内天xx不是有高人已经试过劫持嘛,高人觉得挺简单,这次估计是某团队来真的了,今晚unity61398又要加班了吧。
怪不得之前几天上传文件一直失败,原来山雨欲来风满楼。
yu lee
我试着说个普通话版:
首先DNS是负责把域名解析成IP的一个协议,比如你输入的http://www.baidu.com其实是去访问一个服务器比如123.123.123.123,把http://WWW.BAIDU.COM和123.123.123.123关联在一起就靠DNS协议。你在计算机浏览器上输入http://WWW.BAIDU.COM,你的计算机首先会向DNS服务器请求解析以得到123.123.123.123这个结果,这是正常情况
昨天的异常,按答主的分析,是有人挟持了DNS解析过程,把几乎所有以.COM为结尾的DNS解析请求全部返回为一个米国的IP,这个米国的IP地址其实对应了一个米国的服务器,上面是某些个网站。
这么做的结果,咱们中国所有访问以.COM结尾的网站其实最后都去访问了那个米国的服务器。
那个米国的服务器累死了,访问量太大。
Dante,学生哟~~
這是zealer的解釋我直接搬運了……
2014年1月21日下午15时左右开始,全球大量互联网域名的DNS解析出现问题,国内所有的顶级根域无法解析,全国三分之二的DNS服务器也处于瘫痪状态,直接后果就是大量网站域名解析不正常。一些知名网站及所有不存在的域名,均被错误的解析指向65.49.2.178,导致大量网站无法访问,预计此次事件影响超过几十万个网站。
根服务器主要用来管理互联网的主目录。全世界只有13台,这13台根域名服务器中名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。
简单的说,如果我们要访问http://baidu.com这个网站,先要指向根服务器,根服务再将用户指向.com服务器,.com的解析服务器再把用户指向http://baidu.com。
目前,国内访问根服务器已恢复正常,但是由于各地DNS服务器还有缓存,部分地区可能会持续12小时。
----------
摘自:2014 年 1 月 21 日中国互联网根域名服务器 (DNS) 故障是什么原因?
留言评论(旧系统):