断网 – 刘旭的人个博客

2009 年 7 月 16 日

519六省网络瘫痪案告破案件全过程回放

5月19日晚19点左右，江苏、安徽、浙江、广西、海南、甘肃六省区出现严重网络故障，很多网民在登陆互联网时发现，新浪、搜狐、网易等各大门户网站均不能访问。5月20日，广东省也出现类似故障。连续两天，国内出现大面积网络故障，这在近年来十分罕见。直到20日晚，市民们才从有关媒体上获悉，江苏、安徽、浙江等6省份互联网出现严重网络故障，是网络“私服”攻击所引起的。

21日，工信部正式发表通报，初步解释此次事故的原因：由于暴风影音（影音播放软件）网站的域名解析系统受到网络故击，导致电信DNS服务器访问量突增，网络处理性能下降。

公安机关接报后，立即组织江苏、浙江、广东等地公安机关开展调查。一时间，此案受到全国媒体普遍关注。

由于此次“私服”攻击的那台服务器设在常州，公安部将此案交由常州警方办理。

常州市警方通过网络技术监控发现，在广东佛山一台服务器有异常情况，经布控，将这台服务器主人抓获，并一举控制其他3名同伙，目前此案已在审查起诉阶段。

近日，常州市天宁区检察院办案检察官接受本报记者专访，披露了这一场网络瘫痪时间的幕前幕后。

几个少年开办网络公司，经营“私服”

此案的核心人物小兵，年仅23岁，浙江人，其父亲在广东佛山开一件棉花厂。小兵毕业后，就到父亲的企业帮忙。

后来，经小学同学小卿介绍，小兵决定投资私服（私人服务器），专门经营网络游戏和广告。在这个小公司里，小兵是大股东，负责投资。而小卿负责技术。一开始，他们小打小闹，但常常被其他经营私服的对手攻击，很少有盈利。

一次，小卿在网上聊天时，认识网友“小虫”。小卿谈起经营私服的种种困难，“小虫”告诉小卿，攻击人家的网站，需要一定的流量，否则很难奏效。

那要如何才能达到一定的流量呢？“小虫”说，要达到一定流量，就要增加攻击的私服数量。

为此，小兵、小卿又投资了28万，请“小虫”联系，并租用了81台私服。专门用来攻击其他私服。

由于小卿对网络技术不专业，尽管租用了81台服务器，但在直接攻击其他网游私服的过程中，发现对部分私服的攻击效果不是很好。为此，在网上发帖寻求“行内人”帮助。

x 帖子发出后不久，一个网名叫“传奇一侠”的人回帖，并主动和小卿联系，表示愿意提供技术帮助。

这个“传奇一侠”在浙江东阳经营一家网络公司，也以经营私服为主。那“传奇一侠”为何会主动与小卿取得联系，并免费提供技术帮助呢？

后来，“传奇一侠”在被抓后表示，他主动联系是为了显示自己公司的实力，对其他“同行”起到威慑的作用，用这种方法保全自己的公司。

可实际上，“传奇一侠”也不懂网络，他手下员工小刚倒是这方面的专业人才。小刚接到这个任务后，连夜赶制一套网上攻击的方法，并编制成网络程序，通过电子邮件传给小卿。

一台服务器遭攻击，引发6省网络瘫痪

5月18日晚7点左右，小卿用公司的电脑开始发起攻击。他们谁都没料到，这个小刚设计的攻击程序采用的是“擒贼先擒王”的策略，也就是直接攻击私服网站的“头领”——DNSpod服务器。

DNSpod是一个免费域名，它的东家是南通万达网络服务公司，负责人是一个叫吴洪声的年轻人，今年才24岁。

吴洪声的个人网站主要为国内众多网站提供域名解析服务。虽然是非公司运营，但他旗下已经拥有16台服务器，分置在全国各地。他服务的网站包括Verycd、雨林木风、4399、小游戏、暴风影音、 CNZZ等知名网站。

DNSpod服务器下面管理着很多私服，是众多私人服务器的首脑。一旦DNSpod受攻击瘫痪，其他私服都会受损。

吴的这台DNSPod服务器委托常州电信托管，安放在常州电信勤业机房内。

小卿在打开该攻击程序后不久，就昏昏入睡了，他完全没有意识到危险的来临。

18日晚，常州勤业机房管理员发现，DNSPod服务器端口流量异常，立即向上级汇报，常州电信接报后又向江苏电信汇报请示。

为防止意外发生，江苏电信果断决定，立即关闭DNSPod服务器。

不幸的是，这台被电信关闭的DNS服务器当时恰好在为大约10万家网站提供域名解析服务，其中就包括暴风影音。此外还包括大量地方门户网站、个人网站和企业网站。这导致大量用户在随后24小时后无法访问这些网站。

也许有人会问，DNSPod关闭后，为何18日晚那天没有出现网络瘫痪，而一直到19日晚才全面爆发？

原来，万达公司与常州电信签订托管协议时，对DNSPod约定有缓冲时间，请求解析一次失败后，DNSPod有24小时的缓存期。

但也正是由于缓存期的存在，一直正常的表象并没有让管理方找到DNSPod端口流量异常的真实原因，以致没有采取正确的挽救措施，从而引起大面积瘫痪事故。

19日晚事发后，吴一直忙于解决18日晚的攻击问题，直到20日下午有朋友告诉他，19日晚大面积故障可能与DNSPod有关，他才恍然大悟。此时工信部已召开紧急会议，暴风高层也联系到吴，商量后续备份域名服务器问题。

21日，工信部联合暴风及DNSPod准备向公安部门报案。

涉嫌构成破坏计算机信息系统罪

7月6日，小兵等4人因涉嫌破坏计算机信息系统罪被天宁区检察院批准逮捕。目前此案在审查起诉阶段。

据承办检察官介绍，小兵至今都没有意识到自己的行为是在犯罪。他一直认为，自己的网络公司尽管经营私服业务，攻击过其他私服网站。但这种行为目前在“网络江湖中”司空见惯，从来没有人说这是犯罪。

承办检察官告诉记者，小兵等人的“攻击”行为，造成了我国南方六省互联网大瘫痪，20余个省份互联网域名解析服务无法正常工作，导致大量网民无法正常访问网站，严重影响了互联网的使用和网络安全，已经涉嫌构成破坏计算机系信息系统罪。

“尽管在网络上黑客攻击现象非常普遍，但由于法律没有禁止性规定，目前这种攻击行为不构成犯罪。只有当这种攻击行为造成了较大的后果后，才可能构成犯罪。”

网络安全反思

此次网络大瘫痪爆发得如此突然，涉及范围如此之广，影响如此之深，令广大网民和业内专家都始料未及。以致于一开始大家都对此束手无策。

有网民称，此次网络大瘫痪让人想到2006年底，当时台湾地震造成海底通信光缆发生中断，那次事件造成了大陆的国际互联网访问质量受到严重影响。

有业内人士指出，如果说那次事件是自然灾害，无法回避的话，此次事故则纯粹人为因素而起。

此次断网事件缘起网游“私服”之间的恶性竞争。而实际上，在目前的“网络江湖”中，这种恶性竞争很普遍。只不过这次由于一些偶然的因素造成了更加恶劣的后果，才让这几家网游私服之间的事暴露出来。

“这说明我国目前的互联网产业还缺少更加有效的管制，才造成存在这么多没有官方认可的网游私服的存在。”一位业内人士如此评价。

“这些私服由于不受官方管制，他们往往为了自身的经济利益，会使用一些不正当的竞争手段来打击竞争对手。”承办检察官说。

于是，一家私服攻击了另外几个竞争对手，这些竞争对手才尝到后果后，反来聘请更多的黑客向其它竞争对手发动更多的攻击。在这种环境中，网络中就充满着大量的攻击活动，而这些攻击活动，说不定哪一天会使“519”断网事件再来一次。

殷茹郭蓓蕾殷益峰（文中涉及犯罪嫌疑人名都为化名）

文/《常州日报》

2009 年 5 月 21 日2009 年 5 月 21 日

对于这次遇到的大规模域名问题，有一个很简单的办法进行解决，就是使用国外更为安全可靠的DNS服务器进行域名解析，可以避免被本地电信或网通进行域名劫持。
　　我推荐大家使用OpenDNS提供的DNS服务器，OpenDNS是一个提供免费DNS服务的网站，口号是更安全、更快速、更智能。
　　使用方法非常简单，对于宽带拨号用户来说，置为DNS 为208.67.222.222和208.67.220.220，如下图所示，完成后重新连接上网，就可以摆脱服务商对我们的DNS劫持。

局域网和光纤等其它用户，只需要设置DNS选项即可解决。
要检查是否生效可以使用两种方法：
1. 访问http://welcome.opendns.com/ 主页
如果出现下图界面，那么设置就成功了。

Opendns设置成功界面（点击看大图）
如果出现下图界面表示没有设置成功。

没有设置成功界面
2. 使用nslookup命令
配置好DNS服务器，添加了相应的记录之后，只要IP地址保持不变，一般情况下我们就不再需要去维护DNS的数据文件了。不过在确认域名解释正常之前我们最好是测试一下所有的配置是否正常。许多人会简单地使用ping命令检查一下就算了。
不过Ping指令只是一个检查网络联通情况的命令，虽然在输入的参数是域名的情况下会通过DNS进行查询，但是它只能查询A类型和CNAME类型的记录，而且只会告诉你域名是否存在，其他的信息一概欠奉。所以如果你需要对DNS的故障进行排错就必须熟练另一个更强大的工具nslookup。
这个命令可以指定查询的类型，可以查到DNS记录的生存时间还可以指定使用那个DNS服务器进行解释。如使用命令：nslookup it168.com ，如果出现下图界面，表示设置成功。

二、 Windows Vista工作站
如果使用Windows Vista，那么选择“控制面板”→“网络和Internet” →“网络和共享中心”。点击屏幕右边的“查看状态”链接。这时会出现“本地连接状态”屏幕，点击“属性”。在TCP/IP对话框添加如下DNS服务器ip地址，如下图。

vista设置DNS界面
说明：遵照与XP/2000/2003中使用OpenDNS同样的方法设置即可。
重新启动计算机，这样设置就会生效。重复进行上面的测试即可。
三、Mac OS X工作站
打开控制面板的网络选项的TCP/IP菜单，在DNS服务器栏目按照下图添加。

在Mac OS X工作站设置DNS
然后保存设置。重新启动计算机即可。
然后访问http://welcome.opendns.com/ 查看是否成功。
四、Unix、Linux工作站的设置
如果使用的是Linux工作站那么修改方法会不相同，在RHEL 4或者5 中，首先修改网络配置文件：/etc/resolv.conf文件添加两行，如图8 。

修改网络配置文件
该文件是DNS域名解析的配置文件，它的格式很简单，每行以一个关键字开头，后接配置参数。resolv.conf的关键字主要有四个，分别是：
nameserver
domain
search
sortlist
nameserver 表明DNS服务器的IP地址。可以有很多行的nameserver，每一个带一个I P地址。在查询时就按nameserver在本文件中的顺序进行，且只有当第一个nameserver没有反应时才查询下面的nameserver。
domain 声明主机的域名。很多程序用到它，如邮件系统；当为没有域名的主机进行DNS查询时，也要用到。如果没有域名，主机名将被使用，删除所有在第一个点( . )前面的内容。
search 它的多个参数指明域名查询顺序。当要查询没有域名的主机，主机将在由search声明的域中分别查找。domain和search不能共存；如果同时存在，后面出现的将会被使用。
sortlist 允许将得到域名结果进行特定的排序。它的参数为网络/掩码对，允许任意的排列顺序。
Red Hat中没有提供缺省的/ e t c / r e s o l v. c o n f文件，它的内容是根据在安装时给出的选项动态创建的。最主要是nameserver关键字，如果没指定nameserver就找不到DNS服务器，其它关键字是可选的。和windows计算机不同不需要重新计算机，只要重新启动网络服务即可，使用命令：
Service network restart
要检查是否生效可以使用两种方法：
在Linux下访问http://welcome.opendns.com/ 主页，如果出现下图界面，那么在Linux下就设置就成功了。

Opendns设置成功在Linux的界面（点击看大图）
同样用命令：nslookup it168.com ，如果出现图下界面，表示在Linux下设置成功。

使用nslookup命令在Linux下测试
如果是使用DHCP服务器在Linux下分配ip地址，那么在配置文件/etc/dhcp3/dhclient.conf中加入一行：
prepend domain-name-servers 208.67.222.222, 208.67.220.220
五、路由器的设置
如果只对一台计算机进行配置，那么就只有这台计算机才能使用OpenDNS高速服务器。如果希望网络上的所有计算机都可以使用这种服务器，只要告诉路由器使用OpenDNS高速服务器，然后网络上的所有计算机都会照着做。
这样一来，就不必对每台计算机进行配置了。笔者使用的是Linksys WRT54GL，在地址栏输入192.1681.1，使用admin作为密码即可进入登录页面，在Static DNS 1和Static DNS 2中按照图11的设置。

Linksys WRT54GL路由器中的设置
然后按下面的“Save Settings” 按钮保存设置。重新启动路由器和计算机即可。
OpenDNS让你上网冲浪安全快速智能，还能五、路由器的设置
如果只对一台计算机进行配置，那么就只有这台计算机才能使用OpenDNS高速服务器。如果希望网络上的所有计算机都可以使用这种服务器，只要告诉路由器使用OpenDNS高速服务器，然后网络上的所有计算机都会照着做。
这样一来，就不必对每台计算机进行配置了。笔者使用的是Linksys WRT54GL，在地址栏输入192.1681.1，使用admin作为密码即可进入登录页面，在Static DNS 1和Static DNS 2中按照图11的设置。

Linksys WRT54GL路由器中的设置
然后按下面的“Save Settings” 按钮保存设置。重新启动路由器和计算机即可。
OpenDNS让你上网冲浪安全快速智能，还能摆脱电信的 DNS 劫持。另外OPenDNS另外一个优点是无需安装软件第三方软件。
。另外OPenDNS另外一个优点是无需安装软件第三方软件。

2009 年 5 月 21 日2009 年 5 月 21 日

DNS大规模故障始末：六省网断祸起暴风影音

5月21日凌晨消息，据多方消息透露，5月19日导致多省网络故障的原因已查明：域名服务商DNSPod遭遇恶意攻击瘫痪，导致其服务对象暴风影音等网站用户提交访问无法找到正确服务器，大量积累访问申请导致电信网络负担，最终导致网络瘫痪。

DNSPod遭遇10G流量恶意攻击

　　DNSPod是国内一款免费DNS(域名系统)产品，为同时有电信、网通、教育网服务器的网站提供智能的解析，让电信用户访问电信的服务器，网通的用户访问网通的服务器，达到互联互通的效果。暴风影音也是DNSPod服务对象之一。

　　5月18日晚上22点左右，DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击。有知情人士透露，18日当晚DNSPod耗尽了整个机房约三分之一的带宽资源，为了不影响机房其他用户，DNSPod电信主力DNS服务器被迫离线。

　　DNSPod于19日晚间发致歉信，称在遭遇恶意攻击后便被电信骨干网封掉IP，虽然DNSPod及时更换IP，但由于DNS协议限制，DNS更改IP需要最多72才能生效，造成很多用户的域名一直无法解析，记录一直停留在电信骨干封掉的老IP上。

　　就在DNSPod发布致歉信的近似时间里，另一轮高强度恶意攻击向DNSPod涌来，DNSPod服务完全中断，服务完全瘫痪，其下所有域名均无法访问，包括暴风影音网站。
　　由于大量暴风影音用户打开暴风影音网页或者使用其提供的在线视频服务，这些用户提交的访问申请无法找到正确的服务器，大量积累的不断访问申请导致各地电信网络负担成倍增加，网络出现堵塞。

　　5月19日晚21时左右开始，江苏、安徽、广西、海南、甘肃、浙江六省陆续出现大规模网络故障，很多互联网用户出现访问互联网速度变慢或者无法访问网站等情况。在零点以前，部分地区运营商将暴风影音服务器IP加入DNS缓存或者禁止其域名解析，网络情况陆续开始恢复。

　　疑为私服网站利用肉鸡攻击

　　5月20日下午，工业和信息化部通信保障局召集国家计算机应急处理协调中心、电信研究院、中国电信集团、暴风影音公司等就5月19日网络故障一事召开紧急会议。

　　根据工信部发布的公告，确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。

　　有知情人士透露，此次事故罪魁祸首是同样使用DNSPod服务的某私服网站。该网站在对Web服务器攻击不成功的情况下，动用大量“肉鸡”对 DNSPod进行疯狂攻击。DNSPod在其致歉信中称，这是DNSPod建站以来遭受的最大规模攻击，DNSPod计划通过重新部署多台DNS服务器做负载均衡、大规模封杀包括私服发布站、私服等有争议，易引来攻击的域名等方法提高免费DNS用户的稳定性。

　　与此同时，工信部在紧急会议上要求各电信运营企业要做好用户解释工作。举一反三，消除隐患，防止类似情况发生。进一步加强网络安全的监测预警和信息通报工作，完善应急预案，确保网络安全运行。

　　暴风影音CEO冯鑫称将备份域名服务器，避免出现类似问题，在软件的互联网机制上增加安全考虑的调整，暴风技术将加班加点，在三天内完成这个工作。此外他表示，暴风影音将会和中国电信、中国联通等运营服务商，加强技术层面的沟通和合作，共建安全流畅的互联网环境。

　　中国电信则表示，今后将进一步做好网络监控工作，发现异常情况及时处理，尽量减少对用户的影响，保障用户享受到通畅的网络服务。

　　有互联网人士认为，此次攻击表现出互联网、尤其是DNS服务器的脆弱性。未来如果不在此方面进行加强，后果将不堪设想。(韩枝)

暴风回应域名解析故障：我们也是受害者
5月20日下午消息，针对暴风影音自身域名解析故障导致多省网络故障一事，暴风影音今日做出回应，称事故原因是DNS域名解析故障，暴风也是受害者之一，并表示将会备份域名服务器，并在三天内完成此工作。

5月19日21:50开始，有江苏、安徽、广西、海南、甘肃、浙江等六省用户申告访问网站速度变慢或无法访问。随后中国电信发声明进行解释，称由于暴风影音网站自身域名解析故障，导致中国电信DNS服务器访问量突增，网络处理性能下降。

5月20日，工业和信息化部通信保障局召集国家计算机应急处理协调中心、电信研究院、中国电信集团、暴风影音等参加紧急会议。

暴风影音表示，经过调查事故原因是DNS域名解析故障，网络故障造成多家网站受到影响，暴风也是受害者之一。“因为用户量巨大，产生的流量给互联网造成了一定的负担，在此次事件受到较大关注。”

暴风影音CEO冯鑫表示，将会备份域名服务器，避免出现类似问题，在软件的互联网机制上增加安全考虑的调整，“暴风的技术将加班加点，在三天内完成这个工作。”此外他表示，暴风影音将会和中国电信、中国联通等运营服务商，加强技术层面的沟通和合作，共建安全流畅的互联网环境。（新浪科技）对于本次六省DNS故障的解决方案

2007 年 9 月 5 日