由互聯(lián)網(wǎng)DNS故障想開去

牛奶咖啡 · 發(fā)表于 2014-1-31 15:06

“不識(shí)廬山真面目，只緣身在此山中”
----蘇軾《題西林壁》

有過出國經(jīng)歷的人，除了游覽不一樣的風(fēng)景之外，一項(xiàng)重要的任務(wù)，就是要大大采購一番。香港、法國、美國、世界各地的名品店，無不時(shí)時(shí)充斥著國人的身影，越是高檔的奢侈品，越是排隊(duì)的人多。為何？只因價(jià)格差異太大。就拿我經(jīng)常送親戚的Columbia運(yùn)動(dòng)服裝來說，美國買也就是100美金左右的，在中國的價(jià)格隨隨便便就2000多人民幣，不由得大家都買性大發(fā)。其實(shí)我們也清楚，這些名牌甚至大多數(shù)奢侈品，大多是Madein China。

中國方向的互聯(lián)網(wǎng)也是一樣。

也許你要問，互聯(lián)網(wǎng)就互聯(lián)網(wǎng)，還有什么中國方向嗎？是啊，作為中國人，你上網(wǎng)用的語言是中文，你要看的信息是中文，你要看的視頻是中文，你的網(wǎng)絡(luò)社交圈都在中國。在中國你也許感覺不到，當(dāng)你踏出國門，你可能體會(huì)就明顯了。原本在國內(nèi)很順的網(wǎng)站，出來后發(fā)覺速度慢了很多。作為個(gè)人這樣，作為企業(yè)就更明顯了。

現(xiàn)在中國人已經(jīng)遍布全球，在世界的各個(gè)角落，中國的企業(yè)也是落地生根，于是各國的運(yùn)營商也要考慮中國方向互聯(lián)網(wǎng)質(zhì)量。要想解決這個(gè)問題，就必須要和中國的互聯(lián)網(wǎng)進(jìn)行連接?；ヂ?lián)網(wǎng)的世界是憑實(shí)力說話的，誰強(qiáng)誰就有發(fā)言權(quán)。隨著中國實(shí)力的強(qiáng)大，越來越多的人對(duì)中國互聯(lián)網(wǎng)的依賴性就大，中國互聯(lián)網(wǎng)企業(yè)的話語權(quán)就強(qiáng)。于是在世界很多地方，比如在亞太區(qū)，中國方向的互聯(lián)網(wǎng)價(jià)格是很高的。當(dāng)?shù)氐倪\(yùn)營商為了自己的客戶，也就不得不忍受高的價(jià)格，有的為了平衡總體互聯(lián)網(wǎng)的價(jià)格，還必須對(duì)中國的互聯(lián)網(wǎng)，進(jìn)行流量的限制。

不過有個(gè)地方不一樣，那就是美國。雖然美國和中國遠(yuǎn)隔萬里，這里的中國互聯(lián)網(wǎng)的價(jià)格卻是全球最低的，低到價(jià)格可能是亞太的百分之一。這是怎么形成的呢？這還得從互聯(lián)網(wǎng)最先發(fā)展說起。大家都知道，互聯(lián)網(wǎng)發(fā)源于美國的90年代，在互聯(lián)網(wǎng)發(fā)展初期，絕大部分內(nèi)容都在美國，那時(shí)美國的運(yùn)營商是最牛的。各國的運(yùn)營商要發(fā)展自己的互聯(lián)網(wǎng)，都必須和美國互聯(lián)，否則真就是國內(nèi)的局域網(wǎng)了。那時(shí)人家可牛啦，想要和他連，他會(huì)提各種條件，還要付費(fèi)才行。那時(shí)的中國互聯(lián)網(wǎng)先行者們，歷經(jīng)千辛萬苦，和美國運(yùn)營商們進(jìn)行艱苦的談判，各個(gè)擊破，終于實(shí)現(xiàn)了絕大部分的免費(fèi)對(duì)等互聯(lián)，使我們的互聯(lián)網(wǎng)也最早地融入了全球的陣營。這樣帶來的后果就是中國人享受了美國大部分互聯(lián)網(wǎng)的資源，同時(shí)美國也輕易地連接到了中國的網(wǎng)絡(luò)。現(xiàn)在，中美之間跨太平洋海纜的互聯(lián)網(wǎng)連接，僅中國電信一家就超過1000G的帶寬。美國的用戶也就享受了極為便宜的中國互聯(lián)網(wǎng)的高質(zhì)量連接。

大家知道互聯(lián)網(wǎng)是一個(gè)虛擬的世界，你訪問的內(nèi)容可能在世界的任何一個(gè)角落，另一方面，你的內(nèi)容也可能被世界任何一個(gè)角落的人訪問。信息存放的地點(diǎn)從某種意義上說是不重要的。有這樣一些互聯(lián)網(wǎng)服務(wù)提供商，他們?yōu)槟切┬枰茉O(shè)網(wǎng)站的客戶服務(wù)，這些客戶可能是門戶網(wǎng)站、游戲商、視頻提供商、購物網(wǎng)站，甚至是一些非法內(nèi)容的提供商，他們?cè)贋樗麄兊目蛻?，也就是最終網(wǎng)民服務(wù)。毫無疑問，中國的網(wǎng)民數(shù)量是全球之最，中國互聯(lián)網(wǎng)的發(fā)展速度也是全球之最，這些互聯(lián)網(wǎng)服務(wù)提供商現(xiàn)階段最重要的最終客戶群無疑在中國。由于中國客戶數(shù)量眾多，市場(chǎng)潛力非常大，吸引了大量的投資投入其中，但另一方面，市場(chǎng)競(jìng)爭(zhēng)也異常激烈。為了追求最高的性價(jià)比，他們會(huì)在全球?qū)ふ业蛢r(jià)高質(zhì)的互聯(lián)網(wǎng)運(yùn)營商進(jìn)行合作。找來找去，美國成了他們的首選。

剛剛說過，在美國的中國方向互聯(lián)網(wǎng)價(jià)格最低，帶寬也足夠，可能你要問，畢竟橫跨太平洋，時(shí)延一定會(huì)增加啊。是的，就如同我們會(huì)不遠(yuǎn)萬里坐飛機(jī)來到美國買名牌奢侈品一樣，那些互聯(lián)網(wǎng)服務(wù)提供商，寧愿忍受跨太平洋的時(shí)延，也要把他們的服務(wù)器設(shè)置在美國。還有一個(gè)你可能想不到，美國的機(jī)房和電價(jià)也是非常便宜的。這樣他們可以提供極為便宜的建站服務(wù)器價(jià)格。你只要在網(wǎng)上隨便搜一下VPS（VirtualPrivateSever虛擬主機(jī)）價(jià)格，可以發(fā)現(xiàn)你可以以極便宜的價(jià)格，租用到架設(shè)在美國的服務(wù)器。記得前兩年看到一個(gè)報(bào)道，一個(gè)大字不識(shí)幾個(gè)的老漢，英文根本就不懂，竟然設(shè)立了一個(gè)黃色網(wǎng)站，在被取締前竟然還賺了幾千塊錢，想必就是用了這樣的遠(yuǎn)程虛擬主機(jī)的服務(wù)。這樣的互聯(lián)網(wǎng)服務(wù)提供商在美國有很多，租用整層IDC機(jī)房，擁有數(shù)千臺(tái)物理服務(wù)器和數(shù)十G的互聯(lián)網(wǎng)帶寬，都是平常的事。

扯了這么遠(yuǎn)，跟DNS故障有什么關(guān)系嘛。別急！

這些互聯(lián)網(wǎng)服務(wù)提供商多了，互相挖客戶的事就難免了。他們的那些客戶，最沒有什么忠誠度可言，誰家的便宜或者提的條件好，分分鐘就轉(zhuǎn)走了。這些客戶可都是帶來高額利潤的主兒?。∷麄円蛔?，那些供應(yīng)商就得白付機(jī)房租金，白付帶寬租金，雖說相對(duì)便宜，也是巨大的成本啊。于是在他們這個(gè)圈子里，利用網(wǎng)絡(luò)來攻擊也是常有的事兒。攻擊的目的，就是讓挖走客戶的供應(yīng)商網(wǎng)絡(luò)劣化，甚至中斷。我這二年管IDC的銷售和服務(wù)，對(duì)互聯(lián)網(wǎng)攻擊也略有了解。

在這個(gè)圈子里，攻擊是一個(gè)常規(guī)的競(jìng)爭(zhēng)工具，有一幫高手，他們受雇于這些供應(yīng)商，按照他們的要求進(jìn)行攻擊。如何除了常規(guī)的DDoS攻擊方法以外，手里還準(zhǔn)備了一批厲害的攻擊手段，必要時(shí)要達(dá)到一擊就讓對(duì)手癱瘓的能力。平時(shí)他們利用國內(nèi)國外的資源，進(jìn)行大流量的DDoS攻擊，讓對(duì)手的帶寬流量達(dá)到一定的量。要知道這些服務(wù)提供商，為了達(dá)到服務(wù)質(zhì)量，都會(huì)申請(qǐng)巨大的帶寬，而美國的低價(jià)也讓這種大帶寬成為可能。但即使這樣，持續(xù)攻擊時(shí)的大流量也讓他們的突發(fā)流量劇增，加大他們的成本。他們會(huì)利用時(shí)差，時(shí)而攻一下你的美國機(jī)房，時(shí)而攻擊一下你的國內(nèi)的機(jī)房。這些互聯(lián)網(wǎng)服務(wù)提供商，可能是攻擊者，也可能是攻擊受害者。

如何在短時(shí)間內(nèi)讓你的巨大帶寬塞滿是重點(diǎn)攻擊的目的。2012年年中某個(gè)時(shí)候，我們的客戶突然申告，他們平時(shí)占用率很低的數(shù)十G帶寬，突然被大量的DNS申請(qǐng)全部塞滿，正常業(yè)務(wù)完全無法運(yùn)行。后來經(jīng)過集團(tuán)的專家分析，原來國內(nèi)的百萬級(jí)的家用路由器遭到攻擊，DNS設(shè)置被改成了這個(gè)用戶下的某個(gè)IP地址，一方面，國內(nèi)百萬用戶無法正常上網(wǎng)，另一方面這個(gè)客戶的業(yè)務(wù)因此而癱瘓。當(dāng)看到這個(gè)結(jié)果時(shí)，我驚呆了。這幫人太聰明了，他們利用家用路由器大家一般不去修改初始密碼的漏洞，僅僅是簡(jiǎn)單的命令對(duì)讓百萬臺(tái)路由器的DNS設(shè)置進(jìn)行了修改，這些無效DNS查詢都從國內(nèi)發(fā)起，經(jīng)過連接中美的海纜進(jìn)入我們客戶的網(wǎng)絡(luò)，瞬間整癱了他們的網(wǎng)絡(luò)。你說他們的目的僅僅是攻擊DNS嗎？未曾證實(shí)的消息是這些黑客是在泰國發(fā)起的攻擊，而我們客戶在美國最大競(jìng)爭(zhēng)對(duì)手的CEO，就是泰國人。

2014年1月21日，也就是三天前，國內(nèi)互聯(lián)網(wǎng)又發(fā)生了一起DNS被劫持的事故，這次和去年的事件是何等的相似啊。都是只有中國互聯(lián)網(wǎng)受影響，DNS被修改成一個(gè)美國的IP地址。我可以基本判斷，這是和去年那次一脈相承的攻擊，是黑客手中早已掌握的一張王牌，只不過這次換成了另外一家倒霉蛋。我查了一下65.49.2.178這個(gè)地址，屬于美國運(yùn)營商Hurricane下面的的地址，而Hurricane就是一家以極低價(jià)格銷售中國方向互聯(lián)網(wǎng)的公司。攻擊的目的不是中國的網(wǎng)民，也不是65.49.2.178這臺(tái)主機(jī)，而是這臺(tái)主機(jī)所在的機(jī)房，而這個(gè)機(jī)房一定有一家規(guī)模不小的以中國方向?yàn)橹饕蛻舻幕ヂ?lián)網(wǎng)服務(wù)供應(yīng)商。中國數(shù)億的網(wǎng)民，只不過是順帶成了這場(chǎng)攻擊的犧牲品。

有人的地方就有江湖?；ヂ?lián)網(wǎng)也是一個(gè)大大的江湖！

妮妮 · 發(fā)表于 2014-1-31 15:12

雖不明，但覺厲

spia · 發(fā)表于 2014-2-3 03:44

看看看看看看

番茄味香焦 · 發(fā)表于 2014-2-4 04:15

試試看怎么樣

小東邪 · 發(fā)表于 2014-3-14 03:17

支持支持再支持

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)

由互聯(lián)網(wǎng)DNS故障想開去

由互聯(lián)網(wǎng)DNS故障想開去

相關(guān)帖子