中国互联网根域名服务器(DNS)故障的现象与推测

作者:kylelong  于 2014-2-4 02:03 发表于 最热闹的华人社交网络--贝壳村

作者分类:学习探讨|通用分类:热点杂谈|已有10评论

关键词:中国互联网, 域名服务器




1,网络故障现象:
     
2014年1月21日,众多网站同行报告称国内互联网根域出现问题,导致大量网站域名解析不正常,分析后发现,所有通用顶级域名的根域解析出现异常。故障具体表现在域名访问请求被跳转到几个没有响应的美国IP上,不同省份的用户均出现不同程度的网络故障,但也有访问完全正常的案例。

2,根域名服务器(DNS):

维基解释:域名系统(Domain Name System,简称DNS)是整个互联网服务的底层基础之一。这一服务将人们访问的互联网域名转换为IP地址,相当于网络访问的指路牌。举例来说,ifeng.com是一个域名地址,方便人们记忆与输入。但其实每个域名都必须要与一个服务器的IP地址相对应,才能被网络正确识别和访问到,如210.51.19.61。域名系统就负责将好记的域名地址转换为真实的IP地址,这一转换的过程,有一个术语叫做“域名解析”。域名系统由DNS服务器来运行,DNS服务器是一个树状的分布式的大型网络。其中最顶级的服务器叫做根服务器(Root Server),存储了全球所有通用域名的信息。在根服务器之下,有大量的一层一层的次级服务器,面向用户提供服务。

一般的用户安装好网络之后,会使用宽带运营商提供的本地DNS服务器。这是离用户最近的DNS服务器,位于整个DNS网络的最末端。DNS服务器采用缓存机制,当用户在本地DNS服务器找到域名解析结果的时候,就直接返回IP地址。如果找不到,则最近的服务器将依次向上查询,查询更上层的服务器,层层循环,一直查询到最高等级的根服务器。同时,查询到后,本地服务器就会缓存下来,其它用户再次访问该域名时,可以直接在本地服务器拿到结果,不用再次层层查询。这一域名网络具有严格的等级制度,底层服务器严格遵循上层服务器的更新结果。这一层层向上查询并缓存的机制,保证了整个域名系统的高效。但也为安全带来了隐患:即一旦上层的DNS服务器受到攻击时,所有底层的服务器都将受到牵连,从而导致大规模的网络瘫痪。

网友以1月21日的这次DNS故障为例分析:位于中国的高级别的域名服务器出现故障,导致中国大部分的域名服务器解析出现错误,从而导致了接近2/3的中国互联网瘫痪。据金山毒霸网络专家的数据,近年来中国大规模的网络瘫痪事故有五起。包括2006年台湾地震震断海底光缆事故、2009年暴风DNS受攻击导致大范围断网、2010年百度域名被劫持事件、2011年中国电信宽带维修导致大规模网络故障、以及昨日2014年DNS域名根服务器故障。从近年来的五起网络瘫痪大事故看来,除了不可抗力的地震和维修导致物理故障之外,其余的三起事故都是由DNS系统引起的。事实上,作为互联网最基础的服务之一,随着互联网应用的不断发展,互联网安全链条上最薄弱的环节就是DNS域名系统了。也就是说,因为技术的路径依赖和特殊的社会历史原因,对DNS系统的重新设计和大修几乎是不可能的,支撑全球网络的DNS系统不可能完全颠覆重来。


3,出现解析异常的推测

(1)DNS故障原因极有可能为GFW工作人员乌龙操作。

http://www.zhihu.com/question/22572025

http://www.v2ex.com/t/97867

http://ovear.info/post/207

(2)根服务器故障DNS解析失败互联网络瘫痪疑因美翻墙软件。

专业人士进一步分析指出:访问任何以 .net,.com,.org结尾的域名的网站,统统被送到65.49.2.178这个IP上,而这是一个翻墙代理服务器提供商的IP。该IP位于美国北卡罗来纳州卡里镇DynamicInternetTechnology公司,大量中国知名IT公司的域名被解析到该地址。

《环球时报》记者21日晚通过多方调查发现,这家名为DynamicInternetTechnology的公司与研发“自由门”翻墙软件的是同一家公司。依据名称和地址,记者在查询这家公司信息过程中了解到,该公司总裁为比尔·夏,此人正是“自由门”的创始人。DynamicInternetTechnology公司网站介绍称,其服务对象包括Dajiyuan、美国之音、自由亚洲电台等,为中国的互联网用户提供被屏蔽网页的访问服务。《环球时报》记者发现该公司并未留下联系电话,只有传真和电子邮件联系方式。记者向该公司发出电子邮件询问,比尔·夏回复称其与此事无关,事件更像是DNS域名被第三方劫持。

(3)国家互联网应急中心22日证实,这次故障是由于根服务器遭受网络攻击所致。

“游戏团队拿了68薪的年终奖,技术团队愤而格式化”——这条段子是21日互联网界的热点。

(4)有人指出:这次网路瘫痪并非骇客所为,最可能的是中国的防火墙跟自己开了个天大的玩笑,因为只有中国的“防火长城”能同时瘫痪不同网站的DNS。

4,根域名服务器的背后

2014年1月21日,中国境内三分之二网站由于DNS域名根服务器故障,处于瘫痪状态,网站的访问受到严重影响。初步判断此次事件是由于网络攻击导致中国境内互联网用户通过国际顶级域名服务解析时出现异常。目前,全球只有13个顶级根域名服务器维持着整个互联网的运行,其中10个在美国,在中国尚未有布置。中国使用这些根服务器是否需要付费?每年大约多少?

来自网络的消息称:中国没有根服务器。根服务器主要用来管理互联网的主目录,全世界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国;欧洲2个,位于荷兰和瑞典;亚洲1个,位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。

2010年3月16日前,中国大陆有其中两个根域DNS镜像,但因为多次发生DNS污染而影响外国网络,威胁互联网安全和自由而被撤销路由通告。据2008年1月《第一财经日报》援引中央党校的一份报告推算说,中国每年向美国支付的使用现有国际互联网的费用,包括域名注册费、解析费和信道资源费及其设备、软件的费用等,高达5000亿元以上,超过了当年中国国防预算的数额。相当于当年云南全年的GDP(5700亿元),占到广东当年GDP(35696亿元)的七分之一。

但另据《南方都市报》报道,《中国域名经济》丛书主编沈阳说,通用顶级域名(gTLD)注册费,一个是5.5美元,中国大概有300万个,一年是1650万美元;中国去美国的单向流量信道费2004年是10亿元人民币。所谓的“解析费”是不存在的,是蒙人的说法。在中国互联网发展的早期,中文资源少,国内用户访问外国网站较多。随着中文信息的丰富,反而是国外用户访问国内网站多于国内用户访问国外网站,所以相关的费用还在逐年下降。

5,笔者推测


2014年1月21日,中国互联网根域名服务器(DNS)的故障,并非所谓的“故障”,而是中国安全部门(即新成立的国家安全委员会)对中国网络安全进行的一次有效的测试,因为中共中央政治局星期五(1月24日)召开会议,决定了中央国家安全委员会设置,中央国家安全委员会由习近平任主席,李克强、张德江任副主席,下设常务委员和委员若干名。此次网络安全测试被证明是成功的,中国自己设计的网络安全系统是可行的,有望在不远的将来,完全取代由美国控制和管理的“国际互联网”,笔者称之为“中国全球电讯网”。

为什么这样推测?

据资深网友分析:21日的DNS攻击虽然已经平息,但这样的情况的发生,自然给我们敲响了警钟,如果下一次这样的攻击不再像这次一样,只是一次“玩笑”,而是真真正正的网络进攻,而且范围达到整个中国,甚至影响到政府层面的网络安全的话,我们又应该怎么来面对呢?从战略角度上讲,当国家安全受到威胁的时候,一切都应以大局为重,很可能届时会启动应急方案,拉停国内的民用互联网。所以,提升网络安全,是我们必须认真对待的现实问题。

根据上述几个方面的分析,笔者由此可以断定:中国相关部门研制多年的“中国全球电讯网”,在今年得到了一次有效而成功的测试,必将在不远的一天,全面取代当今的“国际互联网”。我们拭目以待!



高兴

感动

同情

搞笑

难过

拍砖
1

支持
1

鲜花

刚表态过的朋友 (2 人)

发表评论 评论 (10 个评论)

2 回复 笑臉書生 2014-2-4 02:29
只要美國愿意,就隨時可切斷中國大陸的互聯網与国际联系

信息社会世界峰会突尼斯阶段会议已于近日闭幕。会议在改革互联网国际管理体系方面并没有取得重大进展,美国仍然保持着对互联网国际管理的主导权。这意味着美国Government在任何时候都有能力把包括中国在内的其它国家或地区驱逐出国际互联网主干网。

  国际在线消息:目前,全球互联网是由美国商务部下属的一家非营利性私营机构管理的,这个机构称为"互联网名称与数字地址分配机构(ICANN)",自1998年成立以来,一直负责互联网IP地址的分配、顶级域名系统的管理等互联网国际管理事务。

  美国是如何掌控全球互联网的

  作为互联网管理主体的ICANN仅对美国Government负责。换句话说,美国在任何时候都可以通过ICANN使某国或某地区的互联网从国际主干网上断开,这给多数国家带来了政治上的不安全感和不信任感。

  在技术方面,由于互联网发源自美国,很多大容量的地址段都被美国的机构或公司占用,能分配给其他国家的大容量地址段就很少,尤其对那些经济尚不发达、信息产业处于起步阶段的国家来说,更是往往只能分到资源很有限的地址段。而且目前世界所有的IP地址资源中,2/3的地址已经分配完毕,仅美国一国就占了1/4强。

  此外,美国Government还经常要求ICANN为其服务。比如开放以".xxx"为后缀的域名给色情网站统一使用,虽然最后一刻,***团体及个人给美国商务部写了成千上万封抗议信阻止了该域名开放,但这恰好说明了ICANN不过是商务部的傀儡组织,在重大事项上根本没有发言权。

  各国要参与互联网管理

  互联网日益成为大多数国家Government处理国家事务的一个重要工具,因此各国很自然地发出了参与互联网管理的呼声。

       包括欧盟国家在内的许多国家普遍认为,各国也有权在互联网管理上表达自己的观点,保护自己的权利。这并非是要取代美国作为互联网管理者的角色,而是要求互联网以一种更专业、符合更多人利益的方式来得到管理和扩大。

  从2003年信息社会世界峰会第一阶段日内瓦会议召开以来,这些国家一直呼吁保留ICANN的核心技术职能,在联合国范围内建立一个可以代表所有国家的国际组织,代替美国行使对互联网的监管。

  美国拒绝与别国分享互联网管理权

  美国一直掌握并行使着互联网的管理权。一方面,美国为互联网在全世界的迅速和稳定发展做出了贡献;另一方面,美国也通过互联网在政治、经济、文化等各领域获得了巨大的利益。对于与别国共享互联网管理权,美国持坚决反对的态度。

  在突尼斯峰会上,美国代表马伯格重申,现存网络的有效运行保证了互联网成为当今最具活力和分布最广泛的媒介,"任何人都不应对运行良好的现存网络造成伤害"。

  互联网管理论坛无实权

  互联网国际管理作为本次峰会的焦点问题,在峰会前的3次预备会议和峰会上进行了激烈争论。在经历了艰苦的谈判后,峰会与会各方达成了妥协。

  一方面,各方同意不把互联网管理权移交给联合国机构,而是维持美国独享互联网管理权的现状;

       另一方面,峰会承认各国在域名和国家代码上享有主权,同意互联网管理应当从一个国家管理的单边模式向多边模式发展,所有国家在互联网管理和确保互联网稳定安全方面应发挥平等的作用并承担共同的责任。

  此外,峰会还决定成立一个互联网管理论坛,这个论坛不具有监督功能,仅为各方提供一个平台,就互联网管理以及**邮件、网络安全、降低网络成本等问题继续展开磋商。

  当前的管理模式还将继续

突尼斯峰会这一个重要的决定表明,目前的互联网管理模式还将延续,新的管理组织并未建立起来。

        互联网管理论坛的作用仅是"讨论互联网重要事务",没有管理权,作出的决定也不具有强制力。美国在这场争论中获取了最大的利益。

  与互联网管理问题的结果一样,突尼斯峰会也没有在帮助发展中国家发展信息技术、消除数字鸿沟方面取得变革性的进展。

        两年前在日内瓦召开的信息社会世界峰会第一阶段会议就曾承诺,要在2015年让世界上的每个人都能有上网的机会,但是现在全世界只有14%的人口上网。目前,世界许多地区经济发展停滞、政治局势动荡,人民生活连基本的物质条件都不具备,此时空谈发展信息社会无异于空中楼阁。

  链接:ICANN来头不小

  互联网起源于美国。20世纪90年代初,美国国家科学基金会为互联网提供资金并代表美国Government与NSI公司签订了协议,将互联网顶级域名系统的注册、协调与维护的职责都交给了NSI。

       而互联网的地址资源分配则交由IANA,IANA将地址分配到ARIN(北美地区)、RIPE(欧洲地区)和APNIC(亚太地区),然后再由这些地区性组织将地址分配给各国。

  1998年6月5日,美国Government解除了同IANA的协议。当年10月,一个民间性的非赢利公司ICANN,开始负责管理Internet域名及地址资源。

        新公司的最高管理机构--理事会由来自世界各国的18名代表组成。它同时还集合了全球互联网商业、非商业、技术及学术领域的专家,主要负责全球互联网的根域名服务器和域名体系、IP地址及互联网其它码号资源的分配管理和政策制订。



      只要美國愿意,就隨時可切斷任何国家,包括中國大陸的互聯網与国际联系!!!!!!!!!!!!!!
1 回复 小雨点0514 2014-2-4 03:10
楼上说的对极了!美国已经用网络统治了世界。所以各个国家一定要小心使用网络,千万不要过度依赖网络,除非技术过关,不然会后悔莫及!
1 回复 arznith 2014-2-4 13:50
这个问题上楼主没看明白:中国目前是用虚拟的镜像来替换国外网站的,这甚至包括了微软的升级FWQ镜像,如果不信,你可以墙内墙外看看www.zaobao.com,还可以换不同的破网软件再看看,这问题严重啊,3个www.zaobao.com呐!·推导下---自由门破网软件也就是中国制造,明白问题基础性和严重度了么?

很简单的举个例子:如果同一个网站,2个镜像和真实的根FWQ的数据同步,会发生什么事?

这就是上次断网的原因了。调整时间和镜像基础代码让其同步,并且物理断网也能强行同步,这技术估计中国科院真的会发憷。

估计这和敝人的计算机被攻击,有些“好客”看不惯有关。嘿嘿,估计而已,敝人的硬盘,,,555,,,
1 回复 kylelong 2014-2-5 00:13
arznith: 这个问题上楼主没看明白:中国目前是用虚拟的镜像来替换国外网站的,这甚至包括了微软的升级FWQ镜像,如果不信,你可以墙内墙外看看www.zaobao.com,还可以换不同的破 ...
你说的也许有道理。但你只是从现在的国际互联网的镜像角度来分析问题,没有考虑更多的安全因素。

为什么中国的安全部门一直说是“黑客攻击”?我觉得就是此地无银三百两。

正因为网络的安全性有很大问题,中国才开始研发新一代的国际互联网。这次的事件,可能性是多方面的,我的推测只是一种可能。不是被人攻击,而是自己在测试某种尚未公开的技术手段。


http://www.backchina.com/blog/250647/article-195250.html#.UvERjRzP-sg
2 回复 snortbsd 2014-2-5 11:24
well, the three servers in beijing are a part of 13 dns root clusters, but china doesn't really have control of them. all of those 13 root clusters are copies. well there are so-called "hidden root servers", but those are highly secured and managed by ...

中国开始研发新一代的国际互联网 is more talking than reality. without the ruling of american government, china has to rely on paid peerings for its traffic flowing in and out of china.

dns security is much lesser concern that the routing in some perspectives...
2 回复 kylelong 2014-2-5 11:36
snortbsd: well, the three servers in beijing are a part of 13 dns root clusters, but china doesn't really have control of them. all of those 13 root clusters ar ...
科技进步从来都不是一帆风顺的,一定是一步一步的,要有一个过程。
2 回复 snortbsd 2014-2-5 11:41
kylelong: 科技进步从来都不是一帆风顺的,一定是一步一步的,要有一个过程。
well, it is not about 科技进步, it is about politics...

the ONLY country on this planet that qualifies to engage a cyber war is the united states of america. the rest are nothing but propaganda....
回复 kylelong 2014-2-5 12:07
snortbsd: well, it is not about 科技进步, it is about politics...

the ONLY country on this planet that qualifies to engage a cyber war is the united states of  ...
肯定是暂时的。

很多军事装备,中国也很落后。辽宁舰研发早期,很多人就说中国没有阻拦索,飞机无法起飞降落,而实际上,中国早就研制成功。

网络根本不是问题,中国也有。看看这个报道(可以google搜索一下):



网友辩论:中国人是否可以领先信息时代?

http://www.backchina.com/blog/250647/article-188557.html#.UvEVTxzP-sg
http://www.backchina.com/blog/250647/article-188557.html#.UvEUthzP-sg
1 回复 snortbsd 2014-2-5 12:29
kylelong: 肯定是暂时的。

很多军事装备,中国也很落后。辽宁舰研发早期,很多人就说中国没有阻拦索,飞机无法起飞降落,而实际上,中国早就研制成功。

网络根本不是问题 ...
i can see your point, i hear you....

facelist doodle 涂鸦板

您需要登录后才可以评论 登录 | 注册

关于本站 | 隐私政策 | 免责条款 | 版权声明 | 联络我们 | 刊登广告 | 转手机版 | APP下载

Copyright © 2001-2013 海外华人中文门户:倍可亲 (http://www.backchina.com) All Rights Reserved.

程序系统基于 Discuz! X3.1 商业版 优化 Discuz! © 2001-2013 Comsenz Inc. 更新:GMT+8, 2020-8-11 13:41

倍可亲服务器位于美国圣何塞、西雅图和达拉斯顶级数据中心,为更好服务全球网友特统一使用京港台时间

返回顶部