標籤:

為什麼 .cn 和 .org 域名沒有受到 DNS 攻擊影響指向 65.49.2.178?

12-28

本文為原創,發表在我的BLOG上: 周曙光網路日誌: 關於中國境內用戶訪問.com 和.net 域名被解析到 65.49.2.178 一事我又有新發現


關於中國境內用戶訪問.com 和.net 域名被解析到65.49.2.178 一事我又有新發現,我發現了為什麼.cn 和.org 的域名沒有受到影響指向65.49.2.178的原因,證明此事事故與根域名伺服器無關。

在上一篇文章中,我查到了65.49.2.178這個IP的背景,驗證了根域名伺服器在中國有鏡像,駁斥了各大媒體和維基百科上說「根域名伺服器只有13台,亞洲唯一的一台在日本」的說法,猜測這事件是一次來自國內機房的DNS污染事故。

我注意到 國家互聯網應急中心的通告提到僅有「.com」、「.net」等結尾的網站受到影響,而.cn結尾的網站沒有受到影響,.org 結尾的網站沒有被提到,也應該是沒有受到影響:

關於1月21日我國境內互聯網訪問異常情況的通報

來源:CNCERT 時間:2014-01-22

2014年1月21日15:20,中國境內大量互聯網用戶無法正常訪問域名以「.com」、「.net」等結尾的網站。事件發生後,國家互聯網應急中心第一時間啟動應急響應機制,協調組織部分技術支撐單位進行調查和應急處置,16:50左右,用戶訪問基本恢復正常。

經對已掌握的數據進行分析,初步判斷此次事件是由於網路攻擊導致我國境內互聯網用戶通過國際頂級域名服務解析時出現異常,攻擊來源正在進一步調查中。

為什麼.cn 和 .org 結尾的網站沒有受到影響?

我們先來看正常的域名解析過程:

  1. 第一步,DNS會返回「根域名伺服器」地址和IP, 上圖中是http://root-servers.net結尾的地址;

  2. 第二步,根域名伺服器192.33.4.12返回通用頂級域名(gTLD)的伺服器地址和IP;

  3. 第三步,gTLD伺服器返回NS(name server)地址和IP,上圖中是ns1.dreamhost.com;

  4. 第四步,NS返回域名對應的真正的IP地址, 上圖中是69.163.141.215。

下面是dig +trace http://zuola.com 和 dig +trace http://dbanotes.net 的結果,顯示以「.com」、「.net」等結尾的域名在第二步返回的都是 http://gtld-server.net結尾的伺服器地址; 而以「.org」的域名用的是另一種域名的伺服器。

下面是dig +trace http://1kg.org 這個域名的結果,同樣需要向DNS發起第一步查詢,返回的結果是相同的根域名伺服器地址,第二步返回的卻不是以 http://gtld-server.net結尾的伺服器地址,是http://org.afilias-nst.org 和 http://org.afilias-nst.info 結尾的地址

下面是dig +trace http://hightechlowlife.cn 這個域名的結果,.cn 和 .org 的域名同樣需要向DNS發起第一步查詢,得到了正確的根域名伺服器地址; 第二步返回的卻不是 以http://gtld-server.net結尾的伺服器地址,也不是以http://org.afilias-nst.org 和 http://org.afilias-nst.info 結尾的地址,是以http://dns.cn結尾的地址:

好了,.cn 和 .org 的域名同樣需要向DNS發起第一步查詢,也都得到與.com 跟.net 域名相同的「根域名伺服器」查詢結果了,僅有第二步返回的結果不同。這證明此次事件與「根域名伺服器」完全沒有關係。這樣一區分,也許能解釋為什麼.cn 和.org 的域名沒有受到影響了。


下圖來自DNSPod的BLOG,證實2014年1月21日訪問.com 域名會得到65.49.2.178這個IP:

沒有返回返回通用頂級域名(gTLD)的伺服器地址和IP,也沒有返回name server 地址。

沒有返回返回通用頂級域名(gTLD)的伺服器地址和IP,也沒有返回name server 地址。


我再貼一張2014年1月22日在中國境內用dig追蹤http://twitter.com 域名解析過程的圖片:

圖片由陳少舉提供

http://Twitter.com的域名被劫持到203.98.7.65這個IP了,從 WHOIS and Reverse IP Service 來看,這個IP不是twitter的IP,表現和2014年1月21日的劫持域名到65.49.2.178完全一樣:沒有返回返回通用頂級域名(gTLD)的伺服器地址和IP,也沒有返回name server 地址。

完整無誤的解析應該是如下圖一樣分四次返回數據:

圖片由陳少舉提供


結論:

我國境內互聯網用戶通過國際頂級域名服務解析時出現異常,「.com」、「.net」域名被解析到 65.49.2.178是一次DNS污染行為,和GFW污染http://Twitter.com 、http://Facebook.com http://Youtube.com 、 http://Zuola.com 等域名的表現是一致的,與根域名伺服器完全無關。.cn 和 .org 結尾的網站沒有受到影響則證明,可能是此次GFW不小心把http://gtld-servers.net 加入污染域名的列表了,下次遇到同樣的部分域名受影響的話用用dig +trace http://gtld-servers.net來排查吧。


以上觀點不一定絕對正確,歡迎補充可能性和證據。


原創文章: 周曙光網路日誌: 關於中國境內用戶訪問.com 和.net 域名被解析到 65.49.2.178 一事我又有新發現

作者: 佐拉 佐拉的微博|新浪微博

分屬不同的頂級域名

好古老的問題,問題提出於我進入互聯網行業一年多以前。
目前最高票的回答,簡言之就是,正常域名解析分為好幾個步驟,根域名伺服器會告訴你到某個頂級域名伺服器去解析,然後頂級域名伺服器再告訴你到某個下一級域名伺服器去解析,最終將域名解析成網頁伺服器地址,給用戶的瀏覽器訪問。
如果輸入域名卻解析出了錯誤的網頁伺服器地址,那麼顯然是某一級的域名伺服器出了問題。
至於根域名伺服器,全球一共有13組而不是13個,中國有多少我沒統計。
利益相關,國內某IP庫專職維護人員。

推薦閱讀:

如何看待 ofo 押金由 99 元上漲至 199 元為「建設信用體系」?
網速快的國家/地區,能達到多快的網速?
中國只有校園網CERNET才有網站支持IPv6嗎?
是什麼原因造成沒有心思看知乎上的長篇答案的?

TAG:互聯網 | DNS |