全国互联网爆发大规模DNS服务器污染 疑国外黑客劫持
据多家DNS服务商和大量用户反馈,从昨天(21日)下午15点20分左右,全国出现了大范围的DNS故障,全国所有通用顶级域的根出现异常,众多知名网站的域名均被劫持到65.49.2.178这个错误的IP地址上,导致部分国内用户无法访问.com或.cn等域名网站,至少有2/3的国内网站受到影响。
根据360安全中心发布的紧急通报,此次DNS故障可能是国外节点遭受大规模攻击或者技术故障导致的。
什么是DNS根服务器?
域名解析服务器(DNS)是互联网的核心基础设施,是Domain Name System的缩写。根服务器主要用来管理互联网的主目录,全世界只有13台。其中有10个在美国,另外3个分别在瑞典、荷兰和日本。如果DNS根服务器的访问被切断,那么互联网可能彻底瘫痪。
这13台DNS根服务器负责所有的解析工作,例如用户要访问微博.com的时候,本地的DNS需要向13台DNS发一个请求,来告诉我微博.com的IP地址是多少,才能够返回。但是我们发现13台根服务器当中有1、2台返回的IP地址是错的,这就导致很多网民在上网的时候,想去看微博,但是返回的IP地址不是微博的IP地址,所以就导致网站根本打不开。
神秘IP地址引发黑客疑云
这次事故的原因是根域名服务器被污染,域名解析请求都被指"65.49.2.178"这个IP地址。
测试发现,Facebook、Twitter等国外域名解析正常,只是国内域名遭到污染。即便如此,受到影响的范围也是空前的,包括百度、新浪、腾讯在内的国内绝大多数网站出现访问异常,根域名服务器故障持续将近1小时。
据粗略估算,受到影响的国内用户超过2亿,平均受影响的时间约在3小时左右。截至21日晚间1点,全国仍有十余个地区受DNS估值影响,包括贵州电信、河南电信、香港新世界、江苏电信、北京电信通等。
国内漏洞报告平台"乌云"称,65.49.2.178这个IP位于国外,有证据表明该IP所处于的网络有过发送垃圾邮件及其他有政治目的的黑客活动,不排除此次攻击为黑客所为。
金山的一位安全专家称,经查询65.49.2.178的信息,发现该IP位于美国北卡罗莱纳州卡里镇Dynamic Internet Technology公司。"大量中国知名IT公司的域名被解析到美国某公司,从目前看该事件极可能是黑客攻击行为。"该专家说。
去年8月25日凌晨,中国.cn域名解析出现大规模解析故障。中国互联网络信息中心后来透露,当日零时许,国家域名解析节点受到拒绝服务攻击,经处置,至2时许服务器恢复正常,这是有史以来.cn域名遭受的最大规模拒绝服务攻击。
不过,不少网络安全专家都认为,这次DNS污染事件影响之广、范围之大在国内尚属首例,远远超出一般黑客的能力范围。"很可能与主干网络的设置调整有关。"上述网络安全专家说。
惊魂一小时实况记录
16:00 全国大量网站无法正常访问。有站长发现其域名被劫持到一个美国IP 65.49.2.178。
16:41 网友发现百度是此次攻击的对象之一,在百度的子域名n.baidu.com页面下,黑客留下了一句话:Catch me if you can,充满了浓重的挑衅意味。
16:55 目前网站的访问正在逐步恢复,Windows用户可以尝试 ipconfig /flushdns 刷新DNS缓存。解决方法:用户可以打开控制面板"网络连接-属性-Internet协议版本4"的DNS服务器地址修改为:(电 信)101.226.4.6 ,(联通)123.125.81.6,( 移动)101.226.4.6,( 铁通)101.226.4.6。或者设置为:"8.8.8.8"。可暂时缓解该问题。
17:00 经查询65.49.2.178的信息,发现该IP位于美国北卡罗莱纳州卡里镇Dynamic Internet Technology公司。大量中国知名IT公司的域名被解析到美国某公司。金山毒霸安全专家认为,从目前看该事件极可能是黑客攻击行为。
为什么有的人正常,有的人异常?
这是因为为了加快用户访问速度,整个系统设有多级缓存,包括浏览器缓存、系统缓存、路由器缓存、DNS服务器缓存等等。
当用户访问一个网站时,其浏览器会自动记录域名对应的IP一段时间,这样用户在第二次进入该网站时,浏览器就不必向上一层级反复查询,直接就可以告知用户结果。同样的,用户的电脑、路由器和DNS服务器都会设置一定的缓存,当然缓存是有时间限制的,到期就要向上级服务器查询最新的记录。
当顶级根域名服务器出现故障时,用户的访问不会马上中断,因为各级缓存还在。当缓存时间到后,他们会向上一级重新查询,这时根服务器的错误反馈才会生效,导致用户访问异常。然而这个缓存时间,因设置不同,差异很大。有的缓存时间只有30秒,有的缓存时间长达12小时。
截至当日下午4点,全国根服务器的解析陆续恢复正常。同样的道理,出现异常的用户也不会马上恢复正常,因为错误的记录仍然在缓存中,最长可能需要等待24个小时,缓存到期后,正确的记录才会生效。
而对于一个大型网站来说,其内容一般不是全都放置在同一域名下。比如图片、数据库一般都采取不同的域名,当有的域名缓存正确,有的域名缓存错误时,就会出现页面加载出来,而图片出不来,或者图片出来,文字数据错乱的情况。
- “变色龙”变种改DNS 降低系统安全性(06-04)
- 三种系统漏洞至今无法解决(07-08)
- 内外兼修 解析如何阻止域名劫持攻击(09-08)
- 新一代网络钓鱼攻击的新标志:DNS攻击(11-21)
- DNS攻击代码编写者被自己代码攻击(07-01)
- 2009年不容忽视的安全隐患:DNS漏洞(01-01)