事件簡介
BAOFENG.COM是北京暴風科技公司擁有的域名,用於其公司的各項網際網路業務,該域名由北京暴風科技委託另外一家公司(DNSPOD.COM)代為運維管理,日常查詢量比較大。
李曉東博士表示,此次故障的起源點在於DNSPOD.COM被人惡意大流量攻擊,承擔DNSPOD.COM網路接入的電信運營商斷掉了其網路服務。這是導致本次網路癱瘓的第一個骨牌。
李曉東表示,事實上,第一輪的網路故障早在當晚21時前就已開始。當時,由於DNSPOD網路服務被中斷,致使其無法為包括BAOFENG.COM在內的域名提供域名解析服務,諸多採用DNSPOD服務的網站無法訪問。這些採用DNSPOD服務的網站或者網路服務(包括暴風影音在內)同時成為此次網路故障的第二張骨牌。
本來DNSPOD的故障不一定會對網際網路造成大面積的擴散影響,但是由於暴風影音的安裝量巨大和網路服務的特性,使得暴風影音成為此次網路故障的焦點,被推向輿論的風頭浪尖。
暴風影音軟體的部分線上服務功能必須基於BAOFENG.COM域名的正常解析,DNSPOD網路服務被中斷後,暴風影音的網路服務因此受到影響,第二張骨牌被推倒。
李曉東表示,第三張骨牌就是電信運營商的本地域名伺服器。因軟體網路服務的需要,使得安裝有暴風影音的電腦不斷發起域名解析請求,成為推倒第三張骨牌的重要推力。
根據域名系統的解析原理,由於本地域名伺服器(專業上稱為“遞歸伺服器”)有地址快取,超千萬的暴風影音安裝用戶,僅需在本地網路接入服務商處就可查找到BAOFENG.COM的解析地址,找到暴風影音的網站。
安裝了暴風影音軟體的用戶電腦產生的巨量域名請求擁塞了為這些用戶提供服務的各地電信運營商的本地域名伺服器,導致多個省份的本地域名伺服器出現故障甚至無法提供正常服務,第三個骨牌就此岌岌可危乃至最終倒掉。
第三張骨牌是網際網路服務的關鍵環節。電信運營商的本地域名伺服器出現擁塞甚至無法服務後,使用這些本地域名伺服器的其他網際網路用戶也無法上網,進而導致更大範圍內的用戶聲報網路故障。
安全反思
域名系統安全“牽一髮而動全身”
域名作為廣大民眾訪問網際網路的起點和入口,是全球網際網路通信的基礎。而域名系統作為承載全球億萬域名正常使用的系統,是網際網路的基礎設施,其作用相當於網際網路的中樞神經系統,域名系統的故障會導致網際網路陷入癱瘓。
完整的域名系統由遞歸域名服務系統(即本地域名伺服器)、根域名服務系統、頂級域名服務系統以及各級域名服務系統等四個層級構成。簡單的說,廣大民眾訪問一個網站或其他網際網路服務時,需要在全球網路中完成對應四個層次的查詢。因此,任何一層出現故障,都會導致相應範圍的網路套用癱瘓,大到一個國家和地區的網將絡全面癱瘓,小到某個網站將無法訪問。
李曉東表示,域名系統是一種公開服務,歷來是被攻擊的對象,從本次網路故障發生的過程來看,相關機構對域名系統的重要性認識不足,重視程度顯然不夠,安全保障能力比較低。
李曉東建議,一方面,提供公共域名服務的機構應提高自身安全防禦和抗攻擊能力;另一方面,擁有大量用戶的網際網路軟體也應審慎考慮,最佳化軟體安全性,避免一不小心成了分散式拒絕服務攻擊(DDOS)的幫凶。
此次網路故障所涉的三張骨牌都是攻擊受害者,估計黑客攻擊DNSPOD時也沒預料到攻擊會產生如此惡劣的後果,最終釀成大範圍的網路癱瘓。域名系統就像是“空氣”,平時我們感覺不到它的存在,但是一旦出現問題,其影響可能是“致命”的。因此,李曉東呼籲:希望大家攜手共同努力,重視並加大各個層級域名系統保護力度,為億萬網民營造一個“安全、可靠”的網際網路環境。
事件分析
BAOFENG.COM域名解析過程
在有本地快取的情況下,本地域名伺服器直接指向BAOFENG.COM域名伺服器,無需再往上一級查詢了。
說明:本次網路癱瘓的重要原因是,DNSPOD遭遇網路攻擊,遭到電信運營商斷網處理,致使其託管數十萬域名無法正常解析。通常情況下,如果是網民在地址欄輸入“BAOFENG.COM”等託管域名,因為無法訪問,網民就不會再次輸入相關域名請求解析。
但是,本次網路癱瘓中,發起請求的不僅是網民,更多的是安裝網民電腦中的暴風影音軟體,它不像人是有智慧的,在訪問不成功後會自動放棄,程式的設計導致其無法訪問時會持續不斷發起訪問請求,而且這些請求全部擁塞在本地域名伺服器中,無法轉送到DNSPOD完成BAOFENG.COM解析,大量擁塞的請求占用了大量的伺服器處理性能,進而導致本地域名伺服器無法對其他的正常請求進行解析,並最終釀成大規模的網路故障。
公司回應
2009年6月2日下午,暴風影音於北京暴風網際科技有限公司召開了小型媒體發布會。會上暴風公司市場部總監夏濟、研發部副總經理胡志農解釋了暴風影音是如何獲得1.2億用戶量的,並回答了媒體關於“暴風門”事件的相關問題。
自5月19日晚“暴風門”事件發生以來,暴風公司幾乎傾注全面精力,進行了以下工作:
1)5月19日晚開始,就在工信部領導下,配合電信、網通等基礎電信運營單位,以及dnspod,積極應對處理網路中斷問題。協助恢復網路正常服務。工信部已於5月20日晚發布正式通告,表示“截至20日凌晨1時20分,受影響地區的網際網路服務基本恢復正常”。
2)積極收集證據,與dnspod聯合報案,配合工信部網路安全保障局和公安局網監處調查案情,爭取早日捉拿對dnspod發起攻擊的事件元兇。5月23日晚,暴風公司和DNSpod已經將整理好的相關材料和伺服器數據上交公安局網監處,正式完成報案材料遞交。
3)在5月19日晚暴風域名解析伺服器發生中斷時,迅速協調替代方案,轉移DNS域名解析地址。同時,開始緊急部署備份域名解析伺服器,並於5月22日完成部署上線,由此杜絕此類問題的再次發生。
4)產品服務的方面,為了承擔暴風公司應該擔負的社會責任,暴風公司決定主動召回1.2億播放軟體。
暴風門特別版將在網路特性方面作出重大改進,主要包括以下三項:
1)去除升級連網程式的開機啟動,並隨暴風前台程式的關閉而關閉,請求數量降至原有的60%
2)將升級連網程式可視化前台運行,用戶可選擇關閉,請求數量降至原有的40%-50%
3)大幅度最佳化在網路異常情況下的連網請求數量(合併域名、降低頻次、利用DNS快取),請求數量降至原有的20%
基於以上三點,在網路正常情況下暴風影音軟體的聯網請求數將降低至原有10%-15%;網路異常情況下將降低至6%。
教育部公布年度新詞
根據25日發布的2009年中國語言生活狀況報告,“蟻族、裸婚、孩奴、經適男”等詞語被收入年度新詞語。 |