新浪科技 張楠

　　1月21日下午3點(diǎn)，十幾封報警郵件，讓寇博驚出一身冷汗。

　　寇博是一家國內流量排名前十的網(wǎng)站運維負責人，他和他的團24小時(shí)隊維護著(zhù)這家日瀏覽量過(guò)億的網(wǎng)站。十幾封報警郵件，意味著(zhù)全國十幾省的用戶(hù)都出現無(wú)法訪(fǎng)問(wèn)該網(wǎng)站的狀況。

　　“核心機房又出問(wèn)題了？”寇博小聲默念著(zhù)，趕忙從一個(gè)會(huì )議中退席，小跑著(zhù)上樓，回到運維部的工作大廳。他桌面上的座機正刺耳地響著(zhù)。“我是客服部的XX，有浙江的用戶(hù)反映咱們首頁(yè)上不去了……”“知道了。”

　　寇博立即掛斷了電話(huà)，朝著(zhù)正在值班的同事大喊“怎么回事了？”“北京上海機房和CDN(網(wǎng)絡(luò )加速)反饋都正常，PING了下域名，IP地址的指向不對，可能是DNS的問(wèn)題。”值班同事回答他。

　　“別查了，不是咱們的事，國內所有.com域名的DNS都有問(wèn)題。”正在刷微博的另一個(gè)同事告訴寇博，“你看DNSPod發(fā)微博了，說(shuō)國內所有通用頂級域的根出現異常，正聯(lián)系相關(guān)機構協(xié)調處理。”

　　DNSPod是國內第一大DNS解析服務(wù)提供商和域名托管商，管理著(zhù)超過(guò)270萬(wàn)域名?？懿┩屏送蒲坨R，湊過(guò)去仔細盯著(zhù)微博，一邊說(shuō)“別大意，再給機房打電話(huà)查一下。”

　　幾乎與此同時(shí)，國內最大的數據中心之一的北京機房負責人劉碩也正高度緊張。當他接通新浪科技的電話(huà)時(shí)，他背后的座機鈴聲響成一片。“是的，我們已經(jīng)監測到問(wèn)題了，很多網(wǎng)站也向我們反饋了，我們馬上開(kāi)會(huì )研究應對。”他匆匆的掛斷了電話(huà)。

　　“用戶(hù)在微博上把我們罵死了。”寇博的同事告訴他。他笑著(zhù)對新浪科技說(shuō)，“我們無(wú)能為力，是全網(wǎng)出現的系統性問(wèn)題，只能告訴用戶(hù)直接用IP地址訪(fǎng)問(wèn)我們。”

　　這次故障是怎么回事？

　　“所有連接在互聯(lián)網(wǎng)上的設備都必須有一個(gè)IP地址，就像每個(gè)房子都有地址一樣，這樣才能讓別人找到。”寇博開(kāi)始向新浪科技解釋起來(lái)。“這個(gè)IP地址是一段數字，例如120.84.21.23，但是用戶(hù)上網(wǎng)要記這段數字，太麻煩了，所以有了域名。”

　　域名就是IP地址的另一種體現方法，而DNS就是將域名翻譯成IP地址的翻譯器。比如，用戶(hù)在瀏覽器中輸入facebook.com，瀏覽器就會(huì )向用戶(hù)最近的DNS服務(wù)器詢(xún)問(wèn)，“facebook.com對應的IP地址是什么？”

　　這個(gè)最近的DNS服務(wù)器一般是當地電信運營(yíng)商的服務(wù)器。如果這個(gè)服務(wù)器不知道，他就會(huì )向上一級請求，一般是運營(yíng)商的全國性DNS服務(wù)器。如果這個(gè)全國性DNS還不知道會(huì )向全球DNS服務(wù)器查詢(xún)。

　　這一級一級的層級中，最高一級是全球的13臺根服務(wù)器，名字分別為“A”至“M”，其中10臺設置在美國，另外各有一臺設置于英國、瑞典和日本。

　　為了防止上述服務(wù)器出現故障造成全球性訪(fǎng)問(wèn)異常，目前世界上很多國家都設有鏡像。我們國家在全網(wǎng)的出口也設有頂級的域名服務(wù)器。“這次網(wǎng)絡(luò )出現異常是這個(gè)服務(wù)器出現了解析錯誤。”寇博解釋說(shuō)。

　　為什么有的人正常，有的人異常？

　　這是因為為了加快用戶(hù)訪(fǎng)問(wèn)速度，整個(gè)系統設有多級緩存，包括瀏覽器緩存、系統緩存、路由器緩存、DNS服務(wù)器緩存等等。

　　當用戶(hù)訪(fǎng)問(wèn)一個(gè)網(wǎng)站時(shí)，其瀏覽器會(huì )自動(dòng)記錄域名對應的IP一段時(shí)間，這樣用戶(hù)在第二次進(jìn)入該網(wǎng)站時(shí)，瀏覽器就不必向上一層級反復查詢(xún)，直接就可以告知用戶(hù)結果。同樣的，用戶(hù)的電腦、路由器和DNS服務(wù)器都會(huì )設置一定的緩存，當然緩存是有時(shí)間限制的，到期就要向上級服務(wù)器查詢(xún)最新的記錄。

　　當頂級根域名服務(wù)器出現故障時(shí)，用戶(hù)的訪(fǎng)問(wèn)不會(huì )馬上中斷，因為各級緩存還在。當緩存時(shí)間到后，他們會(huì )向上一級重新查詢(xún)，這時(shí)根服務(wù)器的錯誤反饋才會(huì )生效，導致用戶(hù)訪(fǎng)問(wèn)異常。然而這個(gè)緩存時(shí)間，因設置不同，差異很大。有的緩存時(shí)間只有30秒，有的緩存時(shí)間長(cháng)達12小時(shí)。

　　截至當日下午4點(diǎn)，全國根服務(wù)器的解析陸續恢復正常。同樣的道理，出現異常的用戶(hù)也不會(huì )馬上恢復正常，因為錯誤的記錄仍然在緩存中，最長(cháng)可能需要等待24個(gè)小時(shí)，緩存到期后，正確的記錄才會(huì )生效。

　　而對于一個(gè)大型網(wǎng)站來(lái)說(shuō)，其內容一般不是全都放置在同一域名下。比如圖片、數據庫一般都采取不同的域名，當有的域名緩存正確，有的域名緩存錯誤時(shí)，就會(huì )出現頁(yè)面加載出來(lái)，而圖片出不來(lái)，或者圖片出來(lái)，文字數據錯亂的情況。

　　神秘IP地址引發(fā)黑客疑云

　　隨著(zhù)故障陸續恢復，數據中心的劉碩也松了一口氣。他向新浪科技介紹說(shuō)，這次事故的原因是根域名服務(wù)器被污染，域名解析請求都被指向“65.49.2.178”這個(gè)IP地址。

　　不過(guò)，據劉碩對多個(gè)域名的測試發(fā)現，Facebook、Twitter等國外域名解析正常，只是國內域名遭到污染。即便如此，受到影響的范圍也是空前的，包括百度、新浪、騰訊在內的國內絕大多數網(wǎng)站出現訪(fǎng)問(wèn)異常，根域名服務(wù)器故障持續將近1小時(shí)。

　　據粗略估算，受到影響的國內用戶(hù)超過(guò)2億，平均受影響的時(shí)間約在3小時(shí)左右。截至21日晚間1點(diǎn)，全國仍有十余個(gè)地區受DNS估值影響，包括貴州電信、河南電信、香港新世界、江蘇電信、北京電信通等。

　　國內漏洞報告平臺“烏云”稱(chēng)，65.49.2.178這個(gè)IP位于國外，有證據表明該IP所處于的網(wǎng)絡(luò )有過(guò)發(fā)送垃圾郵件及其他有政治目的的黑客活動(dòng)，不排除此次攻擊為黑客所為。

　　金山的一位安全專(zhuān)家稱(chēng)，經(jīng)查詢(xún)65.49.2.178的信息，發(fā)現該IP位于美國北卡羅萊納州卡里鎮Dynamic Internet Technology公司。“大量中國知名IT公司的域名被解析到美國某公司，從目前看該事件極可能是黑客攻擊行為。”該專(zhuān)家說(shuō)。

　　去年8月25日凌晨，中國.cn域名解析出現大規模解析故障。中國互聯(lián)網(wǎng)絡(luò )信息中心后來(lái)透露，當日零時(shí)許，國家域名解析節點(diǎn)受到拒絕服務(wù)攻擊，經(jīng)處置，至2時(shí)許服務(wù)器恢復正常，這是有史以來(lái).cn域名遭受的最大規模拒絕服務(wù)攻擊。

　　不過(guò)，劉碩和另一位網(wǎng)絡(luò )安全專(zhuān)家都認為，這次DNS污染事件影響之廣、范圍之大在國內尚屬首例，遠遠超出一般黑客的能力范圍。“很可能與主干網(wǎng)絡(luò )的設置調整有關(guān)。”上述網(wǎng)絡(luò )安全專(zhuān)家說(shuō)。