也谈 5月19 DNS大规模故障始末

五月 22nd, 2009

    

5.19日晚8点到9点的样子。QQ上的朋友都在问我断网没?

描述故障现象:能上QQ,网站打不开。

远程》》 cmd 》》  ping www.g.cn   解析不了。

nslookup  输入 www.g.cn 解析不了。

很明显dns问题!

换成opendns地址问题解决。很明显了dns出问题了。

我的建议: 首选dns还是当地的,毕竟响应速度快点。

但是有一点,就是让人讨厌的dns劫持。现在网通给联通了。联通天天放广告!

我现在的做法是 首选还是当地的。备用是 208.67.222.222  208.67.220.220也就是opendns的

这样绝对不怕dns问题!

事件始末我也懒的打字。网上直接copy过来。

——————————————–我是分啊分—————————————

5月19 DNS大规模故障始末

   5月20日下午工信部发布公告,确认“5月19 DNS大规模故障”是暴风网站域名解析系统受到网络攻击出现故障,导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。

根据网上收集的信息,我们可以推测这次故障的演变过程。可以分为3个阶段。

1、 2家私服火拼

      神秘的2家私服火拼,相互用DDOS攻击对方,据说一方动用了超过10G的攻击流量也没有把对方搞倒。DDOS失败后,非常生气。他们调整攻击目标,丧心病狂地攻击对方的玉米服务商dnspod。搞定了dnspod,也就搞定了对方,当然也影响了众多的使用dnspod的用户

这一次dnspod没有那么幸运,被打倒了。> server 208.67.222.222

Default Server: [208.67.222.222]

Address: 208.67.222.222

> set q=ns

> baofeng.com.

Server: [208.67.222.222]

Address: 208.67.222.222故事到此,该baofeng.com出场了。黑社会火拼的原因似乎和电影里的情节差不多。对于事情的结果可能是攻击者没有想到的,现在应该想怎么逃避责任。这两家sf以后在IDC不会过的很舒服。

3、baofeng等用户“攻击”攻击电信的网络

       暴风影音的装机数量应该是千万级别。当千万级别的暴风影音不停地尝试访问baofeng.com下的主机时,这千万级别的用户也就不停的向当地电信DNS服务器查询baofeng.com的域名,电信dns服务器也就不停的递归解析baofeng.com,但是没有结果返回,结果电信网络的DNS服务器解析量激增,响应速度下降。到此时事件演变成了暴风影音用户“攻击”电信DNS服务器。当然还有其他是DNSpod作为域名解析的网站的访问者也在干着同样的事情。但是暴风影音是主要的,据说baofeng.com的解析量占到了DNS解析流量的40%。

    

     电信DNS服务器出现问题,更多的网站服务器无法解析域名,普通用户无法访问,不停的刷新页面,电信DNS服务器访问量进一步增加,更多的DNS服务器无法提供正常的服务,故障扩大。

Comment: 2个黑社会在自己的地盘群殴,IDC没有发现? 你给了钱,我给你接入,做什么生意我不管。

2、DNSpod早攻击

      攻击者

Non-authoritative answer:

baofeng.com     nameserver = ns2.mydnspod.com

baofeng.com     nameserver = ns1.mydnspod.com

>

Comment:

DNSpod 除了为一家私服提供服务,还为超过10万个其他网站提供服务,当然为了争夺游戏玩家什么都可以干。

Comment:

暴风影音为什么要不停地,不厌其烦地访问自家的网站?不停地,不厌其烦地访问自家的网站,不停把东西推给用户,这是主要的盈利模式?

电信的DNS服务器也太脆弱了。当然现存的DNS(BIND)已经不适合现在的网络了,解析速度慢,不安全等。中国到现在也没有root服务器,费了好大的劲才把cn搬回了中国。在这次事故中电信启动应急预案虽然迟了点,但是比以前好了很多。

2个流氓打架

DNSpod受伤

baofeng火上浇油

结果火烧一大片

电信很生气。

—————————————————–继续分————————————————————

18日开始,著名免费dns服务提供商的6台服务器开始受到攻击.dnspod为诸多网站提供域名解析服务,其中包含暴风影音.

  18日晚上20点33分59秒.在史无前例的大流量攻击下dnspod的6台解析服务器开始失效,大量网站开始间歇性无法访问,其中包括国内诸多知名网站,当然,其中也包含我的不知名网站.第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps,如下图 ,要知道,一个电信核心机房的带宽也仅仅最多只有几十G

dnsgz

18日当晚,由于dnspod耗尽了整个机房近乎3分之1的带宽资源,为了不影响机房其他用户,dnspod的电信主力dns服务器被迫离线

  19日晚上,在另一轮高强度攻击下,dnspod服务完全中断,由于暴风影音播放器客户端无法解析出服务器的IP,开始不断向网络供应商的dns服务器发送解析请求,造成当地运营商的dns服务器堵塞.

  19日晚上21点左右,浙江电信dns开始瘫痪 , 之后的两个小时内北京、天津、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、

2 评论

发表回复