大陸 DNS 暴風門事件

上個月，在中國地區有個驚人的網路消息爆發，在 5/19 日時，大陸的 DNS 發生大規模的故障: 後來稱作 「暴風門」事件。

「5月19日晚間訊息，來自廣州、杭州等地中國電信客服人員向新浪科技證實，這些地區的網路出現故障，致使用戶無法上網。從晚間九點開始，陸續有多位網友反映稱，包括廣州、山西網通、上海、浙江等地均出現了不同程度的DNS癱瘓故障。」--- 節錄自: http://4i4u.com/blog/dns-baofeng-dnspod/

當時事件發生時，有網友猜測是 DNS 伺服器被黑客大規模 DDoS 攻擊，但這影響層面廣大是前所未聞。後來經過這陣子的調查，大家才了解事情的始末。

在 5/18 日時，著名 DNS 服務廠商 DNSPod 的 6 台伺服器受到 DDoS 的攻擊，直到 5/19 日，DNSPod 承受不了如此大流量攻擊下，被迫停止 DNS 服務。但為何這樣幾台 DNS 伺服器下線，就會造成大規模的網路異常呢?

這是因為，大陸地區最盛名的影音播放軟體 - 暴風影音，該公司的 DNS 服務就是由 DNS Pod 所提供的。因此，暴風影音播放器的用戶端無法解析出伺服器的 IP，開始不斷向網路供應商的 DNS 伺服器發送解析請求，造成 DNS 伺服器堵塞。據說，暴風影音的 1.5 億的客户端，其中約一半的客户端解析不到域名，令人詬病的是，暴風影音軟體會啟動自動連線程式，約每 15 秒連線暴風影音，若 DNS 查詢失敗則會不斷重試，因此，各地的客户端不停地發送 DNS Query (UDP 封包)，各地 ISP 的 DNS 伺服器也就連帶著被暴風影音的用戶 DDoS 了。

相關消息及資料整理如下:

1. 5月19日大陸DNS發生大規模故障
2. 暴风影音DNS故障追踪：由24岁站长引发的蝴蝶效应
3.暴风长老, 请收了神通吧!
4.大陸出現罕見網絡大癱瘓 網民不滿
5.大陸DNS大規模故障始末：網域服務商遭DDOS攻擊
6.“5·19网络大瘫痪案”告破
7.暴风召回1.2亿播放软件 称损失应由黑客赔偿

當中也可以發現由於黑客地下經濟的興盛，從木馬程式開發、販售、「肉雞」養成，到提供各項網路攻擊，只要有錢，就可以胡作非為。

這些文章中也提到了 2006 年 12 月時，台灣發生地震，波及海底光纜，造成台灣對外如大陸地區、東南亞和澳洲等無法正常連線。事實上，當時台灣網路對外連線困難的影響，還意外地讓大家注意到了中華電信(hinet)偉大的 DNS 伺服器: 168.95.1.1。

我們可以在網路上找到許多網路教學或設定的文件，幾乎都是教人設定 DNS 伺服設定為: 168.95.1.1。還不止這樣，google://168.95.1.1 把範圍縮小到網路設備手冊，不論中文還是各國語言，也可以看到熟悉的 IP: 168.95.1.1！當然，台灣這幾年來在網通設備上的開發，出廠預設值的 DNS 伺服器，自然也是 168.95.1.1！

這也就是台灣 2006 年 12 月的地震，衝擊了世界上其它地區數以萬計的網友無法正常上網。真好奇 168.95.1.1 這台的 DNS Query 流量如何，而有多少 DNS Query 來自非台灣地區? :-)

DNS 的重要性看來很明顯，直到去年，都還有 DNS 伺服器的問題被爆出來 (Multiple Vendors DNS Spoofing Vulnerability) ，或許還有些我們不知道的問題在未來會發生，像這次「暴風門」事件，除了期望 ISP 固好 DNS 外，我們能試著改變一些習慣?
例如，DNS 的設定上除了 168.95.1.1 我們還可以設定其它 ISP 提供的 DNS 作為 Secondary。

不久前，有位友人和我打趣地說，若是 168.95.1.1 不回應 ICMP 的話會如何? 我說，大概很多人都以為網路對外不通吧！