2009年6月3日 星期三

大陸 DNS 暴風門事件

上個月,在中國地區有個驚人的網路消息爆發,在 5/19 日時,大陸的 DNS 發生大規模的故障: 後來稱作 「暴風門」事件。

「5月19日晚間訊息,來自廣州、杭州等地中國電信客服人員向新浪科技證實,這些地區的網路出現故障,致使用戶無法上網。從晚間九點開始,陸續有多位網友反映稱,包括廣州、山西網通、上海、浙江等地均出現了不同程度的DNS癱瘓故障。」--- 節錄自: http://4i4u.com/blog/dns-baofeng-dnspod/

當時事件發生時,有網友猜測是 DNS 伺服器被黑客大規模 DDoS 攻擊,但這影響層面廣大是前所未聞。後來經過這陣子的調查,大家才了解事情的始末。

在 5/18 日時,著名 DNS 服務廠商 DNSPod 的 6 台伺服器受到 DDoS 的攻擊,直到 5/19 日,DNSPod 承受不了如此大流量攻擊下,被迫停止 DNS 服務。但為何這樣幾台 DNS 伺服器下線,就會造成大規模的網路異常呢?

這是因為,大陸地區最盛名的影音播放軟體 - 暴風影音,該公司的 DNS 服務就是由 DNS Pod 所提供的。因此,暴風影音播放器的用戶端無法解析出伺服器的 IP,開始不斷向網路供應商的 DNS 伺服器發送解析請求,造成 DNS 伺服器堵塞。據說,暴風影音的 1.5 億的客户端,其中約一半的客户端解析不到域名,令人詬病的是,暴風影音軟體會啟動自動連線程式,約每 15 秒連線暴風影音,若 DNS 查詢失敗則會不斷重試,因此,各地的客户端不停地發送 DNS Query (UDP 封包),各地 ISP 的 DNS 伺服器也就連帶著被暴風影音的用戶 DDoS 了。

相關消息及資料整理如下:

1. 5月19日大陸DNS發生大規模故障
2. 暴风影音DNS故障追踪:由24岁站长引发的蝴蝶效应
3.暴风长老, 请收了神通吧!
4.大陸出現罕見網絡大癱瘓 網民不滿
5.大陸DNS大規模故障始末:網域服務商遭DDOS攻擊
6.“5·19网络大瘫痪案”告破
7.暴风召回1.2亿播放软件 称损失应由黑客赔偿

當中也可以發現由於黑客地下經濟的興盛,從木馬程式開發、販售、「肉雞」養成,到提供各項網路攻擊,只要有錢,就可以胡作非為。

這些文章中也提到了 2006 年 12 月時,台灣發生地震,波及海底光纜,造成台灣對外如大陸地區、東南亞和澳洲等無法正常連線。事實上,當時台灣網路對外連線困難的影響,還意外地讓大家注意到了中華電信(hinet)偉大的 DNS 伺服器: 168.95.1.1。

我們可以在網路上找到許多網路教學或設定的文件,幾乎都是教人設定 DNS 伺服設定為: 168.95.1.1。還不止這樣,google://168.95.1.1 把範圍縮小到網路設備手冊,不論中文還是各國語言,也可以看到熟悉的 IP: 168.95.1.1!當然,台灣這幾年來在網通設備上的開發,出廠預設值的 DNS 伺服器,自然也是 168.95.1.1!

這也就是台灣 2006 年 12 月的地震,衝擊了世界上其它地區數以萬計的網友無法正常上網。真好奇 168.95.1.1 這台的 DNS Query 流量如何,而有多少 DNS Query 來自非台灣地區? :-)

DNS 的重要性看來很明顯,直到去年,都還有 DNS 伺服器的問題被爆出來 (Multiple Vendors DNS Spoofing Vulnerability) ,或許還有些我們不知道的問題在未來會發生,像這次「暴風門」事件,除了期望 ISP 固好 DNS 外,我們能試著改變一些習慣?
例如,DNS 的設定上除了 168.95.1.1 我們還可以設定其它 ISP 提供的 DNS 作為 Secondary。

不久前,有位友人和我打趣地說,若是 168.95.1.1 不回應 ICMP 的話會如何? 我說,大概很多人都以為網路對外不通吧!

1 則留言:

孟德 提到...

的確 168.95.1.1 這神奇的IP 沒有回應,真的會影響很多程式和判斷 :p