大断网后的发现：中国防火墙真够流氓的！

大断网后的发现：中国防火墙真够流氓的！

解滨

现代德国为后人留下的最珍贵的历史遗迹，不是布兰登堡门，也不是犹太人被害纪念碑，而是柏林墙。 今天的中国将给几十年、几百年后留下些什么历史遗迹呢？ 您可以例举的东西很多，但有一样东西是一定要为后人所记住的，这就是今天中国的防火墙。 它虽然看上去没有柏林墙那么直观、冰冷和坚硬，但两者具有类似的功能。 一个是拿来不让人民投奔自由的，另一个是拿来不让人民思想自由的。

中国的防火墙跟柏林墙有一点不同之处，这就是它既不是围的那么严丝合缝也不是那么坚不可摧。 而且这堵墙有时会做出些令人啼笑皆非的事情来。

越来越多的证据显示，上个星期二，也就是2014年1月21日，中国的防火墙跟自己开了个天大的玩笑，采取了一个大无畏的革命行动 ——挥刀自宫，把中国互联网给一刀“咔嚓”了，开了一个国际大玩笑！

从北京时间1月21日下午3点20分开始，国内的网民们突然无法访问所有的以 .net, .com, .org结尾的域名的网站上了。 这下子麻烦大了，因为这三个域名囊括了世界上大多数的网站。 中国差不多三分之二的国内网站也是使用这几个顶级域名的，例如百度、腾讯、天猫、新浪微博、CNTV、乐视等大型门户、视频网站。  当网民们无法访问这几个域名的网站时，全国的网上交易和电子商务几乎都停顿了，电脑的杀毒数据更新停止了，商务电子邮件停送了……，全国亿万网民傻眼了：这TMD出了啥事啊？  

这个状况一直持续了2-11个小时，各地有所不同。   

一不小心，这成了互联网有史以来最大规模的一次断网。

当时的情况是这样的：下午3：20起，中国所有的顶级域名解析都突然发起傻来，谁要是访问任何以 .net, .com, .org结尾的域名的网站，人们统统被送到65.49.2.178这个IP上，而这是一个翻墙代理服务器提供商的IP。

事发以后，政府的解释是：这是黑客所为。 这玩笑开的有点大了，骗傻瓜不是？ 现在我来试用最简单的语言告诉你为什么那是放屁。

互联网上每一台设备都是靠一个数字表明自己的位置的，不然无法和别的设备通讯。 这个数字就叫IP address，简称IP。 互联网上有成亿台设备，人类的脑瓜子十分愚钝，谁都没法记住这么多的数字。 于是域名服务器（DNS）这种东东应运而生，来替我们记住那些数字。 人们只需要记住域名，例如baidu.com、qq.com等就可以了，让域名服务器来解析成IP，这样您就可以轻松愉快地上网销魂而不必死记硬背那些数字了。

有一天，有个流氓设法在您的电脑和域名服务器之间做了点手脚，当您要去访问一个网站时，那坏蛋看到您请求解析，就拿一个错误的IP给你，让您跑到另外一个网站上去。 例如您要去淘宝，您的电脑却鬼使神差地把您带到了中国红客网站。 这种诡计，就叫做域名服务器劫持（DNS Hijacking），这是黑客的怪招之一。

1月21日的那个情况，确实很像域名服务器劫持。 但诡秘的是，全中国所有的计算机都被“劫持”了。 这TMD邪门了，谁有这么大的本事，居然劫持了全国每一台电脑，不管谁要访问任何一个以 .com，.net 或 .org结尾的域名的网站时，就把你带到65.49.2.178那里去玩玩。 这哥们需要在全国各大主干网络的节点上都设立一道关卡，不然根本没法进行这种规模的劫持。 这是哪个黑客干的呢？ 我可以告诉您：这样的黑客还在他娘的肚子里，他能不能生出来还是个大问题。 那么，谁才有如此强大的权力和资源呢？

还有一个办法，有的黑客不用劫持就可以忽悠你，这就是干脆入侵域名服务器，弄砸解析规则。 这个伎俩叫做“DNS poisoning”，中文翻译成DNS污染。 这个可能性是有的。 可是已经过去好几天了，官方也应该可以拿出一点黑客入侵的forensic evidence了吧？ 拿不出来！ “我轻轻地走，正如我轻轻地来，挥一挥衣袖，不带走一片云彩”—— 这样的黑客还没有诞生。 如果找不到任何黑客的蛛丝马迹，那就是下面一种情况了。

这样一来，就只剩下最后一种可能性了：假如中国的顶级域名服务器（由DNSPod管理），给某个流氓开了一个大大的后门，这流氓随时可以改写任何解析规则，让任何一个网站在中国人间蒸发，或者干脆被“流放”到另外一处。 那么，1月21日那天发生的事情就可以理解了。

现在我们可以想象出来，有一个神通广大的家伙，头天晚上泡妞时叫人给宰惨了，那天又喝高了，本来那天他是应该写一条规则，让全中国的DNS服务器都拒绝对IP 65.49.2.178的域名作任何解析，因为那是某个反动组织的IP。 为了确保万无一失，万一有人（多半是翻墙者）提出这种解析需求时，就对其进行拦截或者劫持。 但这家伙酒还没有醒，还对昨晚泡妞时的晦气耿耿于怀，于是他乱写一通，居然阴错阳差地把所有的以.com，.net和.org域名结尾的网站一律掳到65.49.2.178那里，这就造成了全国大断网。 等到人家发现问题时，大家都吓得尿裤子了：一定要等到缓存TTL（time to live）规定的时限到期后才可以把这个问题纠正过来。 这时候某部门的同志们个个急得想撞墙或跳楼，眼看大断网在全中国发生了，却束手无策，最后只好打电话通知各大通讯商，让人家手工刷新DNS服务器的缓存，这才把问题修好。 这时候全国范围已经断网好几个小时，世界纪录已经产生啦！

那么，这个醉鬼是谁呢？ 他就职于中国某个秘密部门。 这个部门，就是中国防火墙管理机构。  

一不小心，这醉鬼造成了互联网有史以来最大面积的断网。

问题出在哪呢？ 问题并不在那个家伙头天晚上不该去泡妞，他喝酒也不是什么大问题，反正人人都喝。 问题就出在中国防火墙本身。 互联网当初设计出来就是为了“通”，而中国有这么一个神通广大的互联网管理机构，他们唯一的任务就是“堵”。 经过这些同志们多年的努力，整个中国的互联网就是一道立体全方位超级防火墙，从每台服务器就开始堵，每个节点都设防，一直到和国际网络的交接点，层层设防。

这样以“堵”为目的的网络，不出问题才怪！

专家们设计互联网的初衷，就是要建立一个无论发生了什么事情都断不了的网。 但是在特色中国，互联网的设计却是以断网为目的的。如果政治上需要断网，随时随刻必须断。 如果有人说1月21日那件事不过是中国防火墙换上华为的设备后进行的一次断网测验，我也会接受的。  

说透了，中国防火墙本来就没有必要存在！那玩意儿是互联网上最大的流氓！

他们处心积虑地要堵什么呢？ 谁都知道，无非是要堵住境内外一切不河蟹的声音。 可是堵得住吗？ 

流氓有术，也有效，然而有限。 所以以此成大事者，古来无有！

这是我五年来第三次郑重呼吁：尼玛，拆掉那座防火墙吧！

参考文献：2014 年 1 月 21 日中国互联网根域名服务器 (DNS) 故障是什么原因？

http://www.zhihu.com/question/22572025/answer/21822396