陆网络大瘫痪 周曙光新发现 跟DNS无关 详细图解分析

2017-06-01 01:56:21

关于中国境内用户访问.com和.net域名被解析到65.49.2.178一事我又有新发现,我发现了为什么.cn和.org的域名没有受到影响指向65.49.2.178的原因,证明此事事故与根域名伺服器无关 在上一篇文章中,我查到了65.49.2.178这个IP的背景,验证了根域名伺服器在中国有镜像,驳斥了各大媒体和维基百科上说〝根域名伺服器只有13台,亚洲唯一的一台在日本〞的说法,猜测这事件是一次来自国内机房的DNS污染事故 我注意到国家互联网应急中心的通告提到仅有〝.com〞、〝.net〞等结尾的网站受到影响,而.cn结尾的网站没有受到影响,.org结尾的网站没有被提到,也应该是没有受到影响: 关于1月21日我国境内互联网访问异常情况的通报 来源:CNCERT 时间:2014-01-22 2014年1月21日15:20,中国境内大量互联网用户无法正常访问域名以〝.com〞、〝.net〞等结尾的网站事件发生后,国家互联网应急中心第一时间启动应急响应机制,协调组织部分技术支撑单位进行调查和应急处置,16:50左右,用户访问基本恢复正常 经对已掌握的数据进行分析,初步判断此次事件是由于网路攻击导致我国境内互联网用户通过国际顶级域名服务解析时出现异常,攻击来源正在进一步调查中 为什么.cn和.org结尾的网站没有受到影响? 我们先来看正常的域名解析过程: 1.第一步,DNS会返回〝根域名伺服器〞地址和IP,上图中是root-servers.net结尾的地址; 2.第二步,根域名伺服器192.33.4.12返回通用顶级域名(gTLD)的伺服器地址和IP; 3.第三步,gTLD伺服器返回NS(name server)地址和IP,上图中是ns1.dreamhost.com; 4.第四步,NS返回域名对应的真正的IP地址,上图中是69.163.141.215 下面是dig+trace zuola.com和 dig+trace dbanotes.net的结果,显示以〝.com〞、〝.net〞等结尾的域名在第二步返回的都是 gtld-server.net结尾的伺服器地址;而以〝.org〞的域名用的是另一种域名的服务器 下面是dig+trace1kg.org这个域名的结果,同样需要向DNS发起第一步查询,返回的结果是相同的根域名伺服器地址,第二步返回的却不是以 gtld-server.net结尾的伺服器地址,是org.afilias-nst.org和 org.afilias-nst.info结尾的地址 下面是dig+trace hightechlowlife.cn这个域名的结果,.cn和.org的域名同样需要向DNS发起第一步查询,得到了正确的根域名伺服器地址;第二步返回的却不是以gtld-server.net结尾的伺服器地址,也不是以org.afilias-nst.org和 org.afilias-nst.info结尾的地址,是以dns.cn结尾的地址: 好了,.cn和.org的域名同样需要向DNS发起第一步查询,也都得到与.com跟.net域名相同的〝根域名伺服器〞查询结果了,仅有第二步返回的结果不同这证明此次事件与〝根域名伺服器〞完全没有关系这样一区分,也许能解释为什么.cn和.org的域名没有受到影响了 下图来自DNSPod的BLOG,证实2014年1月21日访问.com域名会得到65.49.2.178这个IP: 没有返回返回通用顶级域名(gTLD)的伺服器地址和IP,也没有返回name server地址 没有返回返回通用顶级域名(gTLD)的伺服器地址和IP,也没有返回name server地址 我再贴一张2014年1月22日在中国境内用dig追踪twitter.com域名解析过程的图片: Twitter.com的域名被劫持到203.98.7.65这个IP了,从 http://whois.webhosting.info/203.98.7.65来看,这个IP不是twitter的IP,表现和2014年1月21日的劫持域名到65.49.2.178完全一样:没有返回返回通用顶级域名(gTLD)的伺服器地址和IP,也没有返回name server地址 完整无误的解析应该是如下图一样分四次返回数据: 结论: 我国境内互联网用户通过国际顶级域名服务解析时出现异常,〝.com〞、〝.net〞域名被解析到65.49.2.178是一次DNS污染行为,和GFW污染Twitter.com、Facebook.com Youtube.com、 Zuola.com等域名的表现是一致的,与根域名伺服器完全无关.cn和.org结尾的网站没有受到影响则证明,可能是此次GFW不小心把gtld-servers.net加入污染域名的列表了,下次遇到同样的部分域名受影响的话用用dig+trace gtld-servers.net来排查吧 以上观点不一定绝对正确,欢迎补充可能性和证据 文章来源: