事件介紹
暴風門事件(Storm scandal;Storm gate event )。
暴風門事件,也叫5·19斷網事件、5·19網路阻塞事件或5·19網路故障事故,是指2009年5月19日21時起,中國網際網路遭遇了“”連鎖反應,出現了大範圍的網路故障。
事件經過
18日開始,著名免費dns服務提供商的6台伺服器開始受到攻擊。dnspod為諸多網站提供域名解析服務,其中包含暴風影音。
18日晚上20點33分59秒。在史無前例的大流量攻擊下dnspod的6台解析伺服器開始失效,大量網站開始間歇性無法訪問,其中包括國內諸多知名網站,當然,其中也包含大量不知名網站。第一波攻擊的流量在21點30分左右達到高峰,流量超過了10Gbps/S,要知道,一個電信核心機房的頻寬也僅僅最多只有幾十G。
18日當晚,由於dnspod耗盡了整個機房近乎3分之1的頻寬資源,為了不影響機房其他用戶,dnspod的電信主力dns伺服器被迫離線。
19日晚上,在另一輪高強度攻擊下,dnspod服務完全中斷,由於暴風影音播放器客戶端無法解析出伺服器的IP,開始不斷向網路供應商的dns伺服器傳送解析請求,造成當地運營商的dns伺服器堵塞。
19日晚上21點左右,浙江電信dns開始癱瘓,之後的兩個小時內天津、北京、上海、河北、山西、內蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區的dns陸續癱瘓。
在零點之前,部分地區的運營商進行了處理,將暴風影音的伺服器Ip加入dns快取或者禁止了這個域名的解析,網路開始恢復。
後經了解,此次事故的罪魁禍首竟然僅僅是同樣在使用dnspod服務的一個私服網站,這個網站的“同行”在對其web伺服器攻擊不成的情況下動用大量肉雞對其dns服務商dnspod進行了喪心病狂的攻擊,其規模之大真的讓人膽戰心驚。
解密網路故障
關於網路故障的原因及技術原理,眾說紛紜,莫衷一是。對此,中國網際網路信息中心(CNNIC)副主任兼總工程師李曉東博士認為,引發本次網路故障的第一張骨牌是DNSPOD遭遇網路攻擊,而安裝有暴風影音的千萬台電腦則成為引發整個網路故障連鎖反應的重要推力。
中國網路故障“第一張骨牌”
BAOFENG.COM是北京暴風科技公司擁有的域名,用於其公司的各項網際網路業務,該域名由北京暴風科技委託另外一家公司(DNSPOD.COM)代為運維管理,日常查詢量比較大。
李曉東博士表示,此次故障的起源點在於DNSPOD.COM被人惡意大流量攻擊,承擔DNSPOD.COM網路接入的電信運營商斷掉了其網路服務。這是導致本次網路癱瘓的第一個骨牌。
網路故障的第二張骨牌
事實上,第一輪的網路故障早在當晚21時前就已開始。當時,由於DNSPOD網路服務被中斷,致使其無法為包括BAOFENG.COM在內的域名提供域名解析服務,諸多採用DNSPOD服務的網站無法訪問。這些採用DNSPOD服務的網站或者網路服務(包括暴風影音在內)同時成為此次網路故障的第二張骨牌。
本來DNSPOD的故障不一定會對網際網路造成大面積的擴散影響,但是由於暴風影音的安裝量巨大和網路服務的特性,使得暴風影音成為此次網路故障的焦點,被推向輿論的風頭浪尖。
據了解,暴風影音軟體的部分線上服務功能必須基於BAOFENG.COM域名的正常解析,DNSPOD網路服務被中斷後,暴風影音的網路服務因此受到影響,第二張骨牌被推倒。
網路故障的第三張骨牌
第三張骨牌就是電信運營商的本地域名伺服器。因軟體網路服務的需要,使得安裝有暴風影音的電腦不斷發起域名解析請求,成為推倒第三張骨牌的重要推力。
根據域名系統的解析原理,由於本地域名伺服器(專業上稱為“遞歸伺服器”)有地址快取,超千萬的暴風影音安裝用戶,僅需在本地網路接入服務商處就可查找到BAOFENG.COM的解析地址,找到暴風影音的網站。
安裝了暴風影音軟體的用戶電腦產生的巨量域名請求擁塞了為這些用戶提供服務的各地電信運營商的本地域名伺服器,導致多個省份的本地域名伺服器出現故障甚至無法提供正常服務,第三個骨牌就此岌岌可危乃至最終倒掉。
第三張骨牌是此次故障的關鍵
第三張骨牌是網際網路服務的關鍵環節。電信運營商的本地域名伺服器出現擁塞甚至無法服務後,使用這些本地域名伺服器的其他網際網路用戶也無法上網,進而導致更大範圍內的用戶聲報網路故障。
域名系統安全與網路故障
域名作為廣大民眾訪問網際網路的起點和入口,是全球網際網路通信的基礎。而域名系統作為承載全球億萬域名正常使用的系統,是網際網路的基礎設施,其作用相當於網際網路的中樞神經系統,域名系統的故障會導致網際網路陷入癱瘓。
完整的域名系統由遞歸域名服務系統(即本地域名伺服器)、根域名服務系統、頂級域名服務系統以及各級域名服務系統等四個層級構成。簡單的說,廣大民眾訪問一個網站或其他網際網路服務時,需要在全球網路中完成對應四個層次的查詢。因此,任何一層出現故障,都會導致相應範圍的網路套用癱瘓,大到一個國家和地區的網路全面癱瘓,小到某個網站將無法訪問。
域名系統是一種公開服務,歷來是被攻擊的對象,從本次網路故障發生的過程來看,相關機構對域名系統的重要性認識不足,重視程度顯然不夠,安全保障能力比較低。
關鍵點解析
第一環:DNSPod
接近DNSPod的人士向搜狐IT透露,18日-19日晚間,某個私服網站受到了競爭對手的大規模DDoS攻擊。為了使攻擊更加“有效”,惡意攻擊者同時對該私服網站使用的DNSPod服務也發起了攻擊。
第二環:暴風影音
暴風影音也是DNSPod的用戶之一。在DNSPod服務癱瘓後,暴風影音的用戶在訪問暴風影音旗下域名時無法得到正確回復,因此重複向本地運營商的DNS伺服器傳送請求。大量請求積累導致電信運營商的DNS伺服器也處於癱瘓狀態,並最終影響了所有用戶。
第三環:電信運營商DNS伺服器
據悉,至少有江蘇、安徽、廣西、海南、甘肅、浙江等六省的中國電信用戶受到此次事故影響。
解析過程
在有本地快取的情況下,本地域名伺服器直接指向BAOFENG.COM域名伺服器,無需再往上一級查詢了。
說明:本次網路癱瘓的重要原因是,DNSPOD遭遇網路攻擊,遭到電信運營商斷網處理,致使其託管數十萬域名無法正常解析。通常情況下,如果是網民在地址欄輸入“BAOFENG.COM”等託管域名,因為無法訪問,網民就不會再次輸入相關域名請求解析。但是,本次網路癱瘓中,發起請求的不僅是網民,更多的是安裝網民電腦中的暴風影音軟體,它不像人是有智慧的,在訪問不成功後會自動放棄,程式的設計導致其無法訪問時會持續不斷發起訪問請求,而且這些請求全部擁塞在本地域名伺服器中,無法轉送到DNSPOD完成BAOFENG.COM解析,大量擁塞的請求占用了大量的伺服器處理性能,進而導致本地域名伺服器無法對其他的正常請求進行解析,並最終釀成大規模的網路故障。