服务器 非根用户 reboot

“简单的说，如果我们要访问baidu.com这个网站，先要指向根服务器，根服务再将用户指向.com服务器，.com的解析服务器再把用户指向baidu.com。”一位DNS技术专家解释说，这次的问题仅出现在中国，说明全球根服务器并未出现问题，问题很可能是国内网络运营商。

基本内容

编辑本段

DNS服务器是(Domain Name System或者Domain Name Service)域名系统或者域名服务,域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址，该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。

在服务器家族里还有一种叫做“DNS根服务器”的服务器。根服务器主要用来管理互联网的主目录，全世界只有13台。1个为主根服务器，放置在美国。其余12个均为辅根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。

 

作用与影响

编辑本段

这13台根服务器可以指挥浏览器（比如.internet explorer）和电子邮件程序（比如.Firefox）以控制互联网通信。由于根服务器中有经美国政府批准的260个左右的互联网后缀（如．com、．net等）和一些国家的指定符，美国政府对其管理拥有很大发言权。这使得我们显得相当被动。

中国用户在访问带有.com等后缀的国外网站时，大多仍需要经过国外的域名服务器进行解析，中美海底光缆一旦发生断裂，便会发生解析问题，中国东部、太平洋西海岸地区，属于地震多发地带，再加上台风等环境因素影响，形势显得更加严峻。

一位互联网资深专家解释说，美国控制了域名解析的根服务器，也就控制了相应的所有域名，如果美国不想让人访问某些域名，就可以屏蔽掉这些域名，使它们的IP地址无法解析出来，那么这些域名所指向的网站就相当于从互联网的世界中消失了。比如，2004年4月，由于“.ly”域名瘫痪，导致利比亚从互联网上消失了3天。

注意，13台中除了欧洲两台、日本一台之外，其余全部位于美国。也就是说，只要美国愿意，他就可以切断全世界的网络。虽然网络是无国界的，但服务器是有国界的。 

关于DNS根镜像服务器

编辑本段

1月21日下午全国范围出现了互联网访问故障，包括百度、新浪、腾讯在内的多家大型网站域名被劫持，事故时间持续数个小时，成为了一场全国性的互联网灾难。

类似规模的事故并不多见，为何此次影响范围如此之广？为何无法在短时间内恢复？为何中国互联网轻易被劫持？

在多方咨询后，网易科技试图用浅显的语言将事件还原。

DNS为何如此脆弱？

DNS全称Domain Name System（域名系统），用户输入的域名通过DNS解析到对应的IP地址，域名会最先被本地DNS服务器解析，如果解析不到，就返回上层服务器，直到查询到最高级的根服务器，查询到结果后本地服务器会将这一IP缓存，用户再次访问该域名就会返回到这一被缓存的IP。

此次受到影响就是根DNS服务器，指的是全球一共13台的根DNS服务器，负责记录各后缀所对应的顶级域名根服务器。

在DNS受到污染的情况下，域名可被解析到非网站对应的IP上，如此次被劫持到的65.49.2.178。

据了解，DNS上一次更新技术规范是在1987年，之后几乎再无改动，也就是说，目前的DNS标准是27年前的，尽管根服务器受到了最高级别的保护，但是仍然可能因为政治、域名管理权分歧等原因引发大规模故障，这样的瘫痪不会就此终结。

既然从本地DNS读取，为何还会被劫持？

如上所述，当用户访问一个域名时，电信运营商的递归DNS会对其进行处理，从而缓解根DNS的压力。

递归DNS会对一个域名指向的IP地址进行缓存，并默认认为这一对应关系在一段时间内不会改变，不过这一缓存会有时限，通常是一个小时，每过一个小时递归DNS就会向上级DNS重新请求一次IP，所以最终根DNS被攻击的影响会波及到递归DNS，从而影响到每个用户。

当用户在电脑上把网络连接的DNS设置为8.8.8.8（国外DNS）时，访问网站后就不会从递归DNS进行解析，所以可以规避污染问题。

谁是罪魁祸首？

一名安全行业人士表示，黑客要黑掉递归DNS服务器几乎不可能，此次事故肯定是人为造成的，但是元凶很难追溯。

myip.cn的查询结果显示65.49.2.178的IP位于美国北卡罗莱纳州卡里镇，属于Dynamic Internet Technology公司。

而whatismyipaddress的查询结果显示该IP指向一个叫Sophidea的组织。

运营商无能为力？

对普通的域名劫持，电信运营商可以通过刷新DNS缓存的方式来快速解决，从而将影响控制在较短的时间内，不过此次被劫持的是根服务器，从上到下污染到本地服务器，一方面被劫持的域名量非常大，难以逐一回复，另一方面即使清理了本地服务器缓存，上一级的服务器如果没有恢复仍然是徒劳。

各级DNS服务器缓存的刷新时间在1小时左右，对电信运营商来说，除了手工恢复部分网站的DNS解析外，只能被动等待。

故障到底持续了多久？

此次域名劫持影响持续了数个小时，但是真正的故障时间并没有那么长。

一名IDC运维人员表示，这次劫持的影响大约只有15分钟，但是由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。

有没有隐私风险？

有网友称此次劫持或造成用户隐私泄露。

对此360安全专家表示此次被劫持的是域名，存储网站数据的服务器并未受到影响，虽然黑客可以将域名劫持至钓鱼网站，但是目前看来对方并没有这么做，也尚未发现用户受此影响造成损失。

对于此次故障的罪魁祸首，目前尚不能确认，有业内人士称，在没有发生地震等不可抗力的前提下，有能力造成这种事故的组织并不多。

目前事故的影响已经基本消除，域名被劫持的网站已经可以正常访问。