一个影音播放软件的设计缺陷,就会导致一个我国多个省份互联网访问受限的窘境。
从5月19日21:06开始,6个省份的中国电信网络用户发现无法登录网络,与此同时,电信的客服部门源源不断地开始接到客户的投诉。一时间,我们仿佛又回到了2006年底,当时台湾地震造成海底通信光缆发生中断,中国大陆的国际互联网访问质量受到严重影响。
5月20日下午,根据工业和信息化部通信保障局发布的公告,确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障,导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。
而对于一贯宣称互联网即将崩溃的专家们来说,这似乎只是又一个例证。在他们看来,互联网的先天缺陷导致其极易受到攻击,在面对人类恶行的时候,几乎没有还手之力。因此,此次多省大规模网络故障,再次向世人敲响了互联网的安全警钟。
域名解析服务器被攻击
“虽然出问题的是电信宽带,但我们也是受害者。”5月22日下午,中国电信浙江分公司相关技术人员在接受本报采访时表示,两天前的一家网站被攻击而导致网络瘫痪,这是比较少见的事故。
这名技术人员所说的网络瘫痪事故,发生在5月19日晚上9时多,当时中国电信浙江省分公司下属的10000号服务台突然变得忙碌起来,用户纷纷打进电话询问:中国电信的网络接入速度变慢,是否出现了网络故障?
是的,电信公司的工程师知道,在前一天,国内其他省份的电信宽带网络已经出现了问题,初步推断罪魁祸首为“暴风影音”与其对手之间的恶性冲突导致对方攻击网络。
中国电信浙江省分公司网络运行维护部经办人员立即启动紧急预案,根据其他省份的经验,将暴风影音网站“隔离”出电信网络。这样,暴风影音网站虽无法登录,但其他用户和其他网站不受影响。
据经办人员介绍,浙江客户反映的主要问题是网页比较慢,但QQ等即时通讯软件还可以正常用,影响不算很严重。而且,由于提前采取了应对措施,反应迅速。温州地区几乎没有什么影响,宁波地区影响也比较小,杭州作为省会城市与其他省份相比,影响也算很小。
到当晚11时20分,10000号客服热线的话务量已经下降到正常水平,说明网络已经基本恢复正常。
电信浙江公司表示,不好置评此次事故,因为虽然出问题的是宽带,但引发问题的是“暴风影音”,这是以往比较少见的情形。而且,即使是“暴风影音”,最终导致大面积网络瘫痪的是暴风影音不知情的用户。是这些用户反复登录造成电信宽带上的流量异常放大,最终影响到所有用户的使用。
事实上,在浙江电信宽带受到攻击之前,国内其他省份已经出现了大面积的网络瘫痪。事发的5月18日22时左右,域名解析服务器DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击,导致DNSPod的6台解析服务器开始失效,大量网站开始间歇性无法访问。
有知情人士透露,18日当晚DNSPod耗尽了整个机房约三分之一的带宽资源,为了不影响机房其他用户,DNSPod电信主力DNS服务器被迫离线,DNSPod暂时停止为电信用户提供域名解析服务。
此时,江苏、安徽、广西、海南、甘肃、浙江六省陆续出现大规模网络故障,很多互联网用户出现访问互联网速度变慢或者无法访问网站等情况。
此后,另一轮高强度恶意攻击向DNSPod涌来,DNSPod服务完全中断,服务完全瘫痪,其下所有域名均无法访问,包括暴风影音网站。
一时间,人们的即时通讯系统掉线,网站无法访问……由于人们已经高度依赖互联网用于商业交易,现在还不清楚是否有人因此次事故而造成经济损失。
出问题的网络“扳道工”
事实上,此次出事的域名解析存在的漏洞并非新问题,它是互联网与生俱来的一个弱点,而且目前还没有人能够有效解决。
那么,何为域名解析呢?
我们平常所用的网址,在后台服务器上都有一个对应的IP地址。也就是说,在互联网上,真正的网站地址是IP地址,而我们平常所用的网址其实只是IP地址的一个影子。人们习惯记忆域名,但机器间互相只认IP地址,域名与IP地址之间是一一对应的,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来自动完成。
当普通用户要正常访问网站,必须在后台服务器上转换为一套IP地址,这套地址转换系统就是域名解析。因此,一些专业技术人员平时根本不记普通域名,而是直接输入网站的IP地址,同样可以访问网站。
但是如果有人把与这个网站对应的IP地址改掉,就会出现域名被劫持到其他网站上的情况。
所以,在这次大规模的域名解析失败事件中,如果用户直接输入网站的IP地址,还是可以正常使用。而一旦使用域名的话,就会出现无法导向IP地址的情况。
这次受到攻击的DNSPod,就是一款用于域名解析的服务产品。作为国内最大的免费DNS解析产品提供商,它为同时有电信、网通、教育网服务器的网站提供智能解析,让电信用户访问电信的服务器,网通的用户访问网通的服务器,达到互联互通的效果。
因此,域名解析系统又被比喻为“高速铁路的时控及道岔控制系统”,一旦域名解析服务器这个“扳道工”没有正常工作,高速列车就会跑错道,甚至会有出轨倾覆的危险。
而在此次事件中,罪魁祸首是同样使用DNSPod服务的某私服(一些未得到游戏制造商的许可而私自存在并运营的服务器)网站。该网站动用大量“肉鸡”(即中了木马程序被黑客利用攻击网络的远程电脑)对DNSPod进行疯狂攻击。
一位业内人士描述了整个攻击经过:一个游戏“私服”的网站打算对它的竞争对手暴风影音发动攻击,但它的黑客无法黑掉暴风影音的网站,于是它们干脆从域名下手,对为暴风影音提供域名解析的DNSpod服务器进行了狂轰滥炸,DNSpod的服务器中的一台就瘫痪了。
这样,暴风影音网站就无法登录,而这个软件却会在用户不知情的情况下自动要求访问暴风影音的网站,于是全国的“暴风”用户集体转向电信的DNS解析服务器发起请求。
而当时,全国有一半的联网电脑都在使用暴风影音,短时间内这个请求量大的惊人。据广西电信统计,5月19日晚,中国电信DNS请求数据中,用户请求暴风影音网站域名解析占了整个DNS解析请求的40%。
于是,电信服务器很快就瘫痪了。
先天漏洞会导致互联网崩溃吗
面对罕见的互联网网络大瘫痪,有网民称,仿佛又回到了2006年底,当时台湾地震造成海底通信光缆发生中断,造成了中国大陆的国际互联网访问质量受到严重影响。
如果说那次事件是由于自然灾害,无法回避的话,此次事故则纯粹因人的劣性而起。
“暴风影音”当然也是此次事故的受害者,但它的“流氓”特征,也使其成了被用于攻击的工具。因为这个软件在设计时就进行了默认,只要电脑登录互联网,“暴风影音”就自动登录上线。因此,一旦“暴风影音”的用户同时提供域名解析请求,就会给域名解析服务器带来巨大压力。
更不幸的是,广大的网络用户竟然也在无意间成了加害者。
事实上,欺骗网络域名系统这个伎俩早已不是什么秘密,它可能带来的危害更是众多计算机巨头的一块心病。2008年7月8日,以微软、思科、苹果为首的各大计算机巨头发布了系统补丁,对全世界大部分网络用户的系统进行了紧急更新。如此规模的紧急动员,源于上年度一位年轻研究员的偶然发现。
美国网络安全公司IO Active的安全研究员Dan Kaminsky,在不经意间发现了能够欺骗网络域名系统(DNS)的方法。域名系统由于应答验证功能的缺失而存在缺陷虽然早已不再是什么秘密,但是这位研究员所发现的欺骗方法,只需短短10分钟就可以完成,不仅使得利用DNS漏洞发动攻击的难度大大降低,也使得破坏力大大增强。
有专家曾表示,15年前互联网面临最大的问题是地址短缺,15年后我们面临最大的问题是安全和可信的问题,甚至有美国调研公司Nemertes在2007年11月的一份研究报告中给出结论,预言互联网会在2010年发生崩溃,这让那些已经习惯了生活在互联网世界里的人们相当崩溃。
互联网普及的十几年,彻底改变了我们的生活、工作、学习和娱乐方式。很多人告别了纸邮,改用电邮;很多人告别了印刷品和一切印在纸上的文档,改在网上阅读学习和工作。现在我们在网上听音乐、下大片、看视频,这是多么美好的生活体验!如果没有了互联网,这将是一件多么悲惨、多么令人伤感的事情。
君子协议不能解决的人性之恶
据统计,信息网络62%的中断时间不是设备故障,而是出自于人为错误,这样的例子屡见不鲜。
在国产牛奶的负面新闻迭出的月份,国内一家著名的门户网站的相关新闻用百度和谷歌都无法搜索到,网友后来发现,原来这家网站为了减少新闻的负面效应,在后台处理过程中,在一些关键词中间加入了空格,导致搜索引擎无法搜到,但在显示的页面上则没有任何异常。
今年1月31日,Google公司的工程师不小心在网址中错误的位置使用“/”,导致一个恶意网站的列表被扩展为所有的网站地址。这个小小失误的后果是,全球用户,包括我们这些依赖于搜索引擎的人,一下子失去了手头最称心的工具。因为被搜索到的网站被全部标示为有恶意软件而不能正常打开。
而在5月12日,Google乌干达的主页被劫持了域名,域名解析后指向了一个黑客指定的页面。这已经是过去的一个月中,继阿尔及利亚、波多黎各和摩洛哥后Google的域名第四次被域名劫持者攻击。
设计者这才发现,互联网为恶人留下了巨大的作恶空间。
在互联网初建时,它是一个内部网络,因此所有的基础协议都是基于“人性善”的、用户都是遵纪守法的良民这个基础的。设计者们也许当初并未料到它会成为一个如此开放的平台。而随着互联网向全球所有人的扩展,人人并非都是君子,而不设防的互联网自然成为备受攻击的对象。
为了防备攻击,人们不得不为互联网添加各种补丁。作为预防性措施,这种办法是不得已而为之。但这无法从根本上解决问题,因为漏洞太多了。
对此,互联网先驱人物之一约翰·戴表示,自上世纪70年代以来,互联网这一未完成的雏形唯有依靠补丁和计算机日益强大的性能才得以苟延残喘。“如今计算机性能发展对于互联网的帮助已是强弩之末,而补丁的不断增加只会让我们走进死胡同。”
对于解决这一问题的方法,越来越多的专家只能回答:“从零开始。”
我们不知道,由于人性之恶的攻击,人类基于善性之花的互联网,是否真的将有一天会被重建?
