全國互聯(lián)網(wǎng)爆發(fā)大規(guī)模DNS服務器污染，疑遭國外黑客劫持

據(jù)多加DNS服務商和大量用戶反饋，從昨天(21日)下午15點20分左右，全國出現(xiàn)了大范圍的DNS故障，全國所有通用頂級域的根出現(xiàn)異常，眾多知名網(wǎng)站的域名均被劫持到65.49.2.178這個錯誤的IP地址上，導致部分國內(nèi)用戶無法訪問.com或.cn等域名網(wǎng)站，至少有2/3的國內(nèi)網(wǎng)站受到影響。

根據(jù)360安全中心發(fā)布的緊急通報，此次DNS故障可能是國外節(jié)點遭受大規(guī)模攻擊或者技術故障導致的。

什么是DNS根服務器？

域名解析服務器（DNS）是互聯(lián)網(wǎng)的核心基礎設施，是Domain Name System的縮寫。根服務器主要用來管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺。其中有10個在美國，另外3個分別在瑞典、荷蘭和日本。如果DNS根服務器的訪問被切斷，那么互聯(lián)網(wǎng)可能徹底癱瘓。

這13臺DNS根服務器負責所有的解析工作，例如用戶要訪問微博.com的時候，本地的DNS需要向13臺DNS發(fā)一個請求，來告訴我微博.com的IP地址是多少，才能夠返回。但是我們發(fā)現(xiàn)13臺根服務器當中有1、2臺返回的IP地址是錯的，這就導致很多網(wǎng)民在上網(wǎng)的時候，想去看微博，但是返回的IP地址不是微博的IP地址，所以就導致網(wǎng)站根本打不開。
神秘IP地址引發(fā)黑客疑云

這次事故的原因是根域名服務器被污染，域名解析請求都被指“65.49.2.178”這個IP地址。

測試發(fā)現(xiàn)，F(xiàn)acebook、Twitter等國外域名解析正常，只是國內(nèi)域名遭到污染。即便如此，受到影響的范圍也是空前的，包括百度、新浪、騰訊在內(nèi)的國內(nèi)絕大多數(shù)網(wǎng)站出現(xiàn)訪問異常，根域名服務器故障持續(xù)將近1小時。

據(jù)粗略估算，受到影響的國內(nèi)用戶超過2億，平均受影響的時間約在3小時左右。截至21日晚間1點，全國仍有十余個地區(qū)受DNS估值影響，包括貴州電信、河南電信、香港新世界、江蘇電信、北京電信通等。

國內(nèi)漏洞報告平臺“烏云”稱，65.49.2.178這個IP位于國外，有證據(jù)表明該IP所處于的網(wǎng)絡有過發(fā)送垃圾郵件及其他有政治目的的黑客活動，不排除此次攻擊為黑客所為。

金山的一位安全專家稱，經(jīng)查詢65.49.2.178的信息，發(fā)現(xiàn)該IP位于美國北卡羅萊納州卡里鎮(zhèn)Dynamic Internet Technology公司?！按罅恐袊鸌T公司的域名被解析到美國某公司，從目前看該事件極可能是黑客攻擊行為。”該專家說。

去年8月25日凌晨，中國.cn域名解析出現(xiàn)大規(guī)模解析故障。中國互聯(lián)網(wǎng)絡信息中心后來透露，當日零時許，國家域名解析節(jié)點受到拒絕服務攻擊，經(jīng)處置，至2時許服務器恢復正常，這是有史以來.cn域名遭受的最大規(guī)模拒絕服務攻擊。

不過，不少網(wǎng)絡安全專家都認為，這次DNS污染事件影響之廣、范圍之大在國內(nèi)尚屬首例，遠遠超出一般黑客的能力范圍。“很可能與主干網(wǎng)絡的設置調整有關。”上述網(wǎng)絡安全專家說。

驚魂一小時實況記錄
16：00 全國大量網(wǎng)站無法正常訪問。有站長發(fā)現(xiàn)其域名被劫持到一個美國IP 65.49.2.178。
16：41 網(wǎng)友發(fā)現(xiàn)百度是此次攻擊的對象之一，在百度的子域名n.baidu.com頁面下，黑客留下了一句話：Catch me if you can，充滿了濃重的挑釁意味。
16：55 目前網(wǎng)站的訪問正在逐步恢復，Windows用戶可以嘗試 ipconfig /flushdns 刷新DNS緩存。解決方法：用戶可以打開控制面板“網(wǎng)絡連接-屬性-Internet協(xié)議版本4”的DNS服務器地址修改為：（電 信）101.226.4.6 ，（聯(lián)通）123.125.81.6，（ 移動）101.226.4.6，（ 鐵通）101.226.4.6?；蛘咴O置為：“8.8.8.8”?？蓵簳r緩解該問題。
17：00 經(jīng)查詢65.49.2.178的信息，發(fā)現(xiàn)該IP位于美國北卡羅萊納州卡里鎮(zhèn)Dynamic Internet Technology公司。大量中國知名IT公司的域名被解析到美國某公司。金山毒霸安全專家認為，從目前看該事件極可能是黑客攻擊行為。

為什么有的人正常，有的人異常？

這是因為為了加快用戶訪問速度，整個系統(tǒng)設有多級緩存，包括瀏覽器緩存、系統(tǒng)緩存、路由器緩存、DNS服務器緩存等等。

當用戶訪問一個網(wǎng)站時，其瀏覽器會自動記錄域名對應的IP一段時間，這樣用戶在第二次進入該網(wǎng)站時，瀏覽器就不必向上一層級反復查詢，直接就可以告知用戶結果。同樣的，用戶的電腦、路由器和DNS服務器都會設置一定的緩存，當然緩存是有時間限制的，到期就要向上級服務器查詢最新的記錄。

當頂級根域名服務器出現(xiàn)故障時，用戶的訪問不會馬上中斷，因為各級緩存還在。當緩存時間到后，他們會向上一級重新查詢，這時根服務器的錯誤反饋才會生效，導致用戶訪問異常。然而這個緩存時間，因設置不同，差異很大。有的緩存時間只有30秒，有的緩存時間長達12小時。

截至當日下午4點，全國根服務器的解析陸續(xù)恢復正常。同樣的道理，出現(xiàn)異常的用戶也不會馬上恢復正常，因為錯誤的記錄仍然在緩存中，最長可能需要等待24個小時，緩存到期后，正確的記錄才會生效。

而對于一個大型網(wǎng)站來說，其內(nèi)容一般不是全都放置在同一域名下。比如圖片、數(shù)據(jù)庫一般都采取不同的域名，當有的域名緩存正確，有的域名緩存錯誤時，就會出現(xiàn)頁面加載出來，而圖片出不來，或者圖片出來，文字數(shù)據(jù)錯亂的情況。