V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chuangbo
V2EX  ›  DNS

发在知乎的回答被和谐,只能发在这了,无责任分析一下1月21日网络大规模故障的事故原因

  •  
  •   chuangbo · 2014-01-21 17:39:13 +08:00 · 44471 次点击
    这是一个创建于 3960 天前的主题,其中的信息可能已经有所发展或是发生改变。
    结论,可能 GFW 某操作员乌龙指。

    1. 我国境内 DNS 根被劫持/污染,被污染网站 IP 地址指向 65.49.2.178,可以使用 dig +trace 看到


    2. 有能力污染 DNS root 的几乎只可能是 GFW
    3. http://whatismyipaddress.com/ip/65.49.2.178 可以看到 Organization: Sophidea
    4. http://www.markosweb.com/hosting/sophidea/ 可以看到这个服务商的最大客户,就是鼎鼎有名的动态网,自由门的出品方。

    所以不难猜测出过程可能是这样的,某操作员本来要将该 IP 封禁动态网的 IP,从而阻止大家下载自由门。但是操作失误,错误的使用了劫持功能,并且没有填写要劫持的域名,然后把该 IP 填写到了劫持后的地址上,然后造成了无法挽回的事故。

    只是几个简单的分析,非常不严谨,请大家看完笑笑就可以了。
    第 1 条附言  ·  2014-01-21 18:11:43 +08:00

    大家也可以看这里 http://www.zhihu.com/question/22572025/answer/21822396
    他补充了一张很有说服力的图
    74 条回复
    spoony
        1
    spoony  
       2014-01-21 17:43:14 +08:00
    火钳流明
    eary
        2
    eary  
       2014-01-21 17:45:10 +08:00
    GFW升级吧?
    loading
        3
    loading  
       2014-01-21 17:45:30 +08:00 via iPhone
    广告位招租
    Ansonyi
        4
    Ansonyi  
       2014-01-21 17:46:10 +08:00
    好神奇。
    family
        5
    family  
       2014-01-21 17:46:48 +08:00
    广告位招租+1
    ritksm
        6
    ritksm  
       2014-01-21 17:47:41 +08:00
    前排...我觉得有理
    griffinqiu
        7
    griffinqiu  
       2014-01-21 17:48:04 +08:00
    广告位招租+2
    GeBron
        8
    GeBron  
       2014-01-21 17:48:27 +08:00 via Android
    我也觉得应该是寡妇王的乌龙
    griffinqiu
        9
    griffinqiu  
       2014-01-21 17:48:50 +08:00
    愣了一下,看完后错失TOP广告位。。
    rails3
        10
    rails3  
       2014-01-21 17:48:51 +08:00
    广告位招租
    Shieffan
        11
    Shieffan  
       2014-01-21 17:50:14 +08:00
    这个解释有那么一些合理之处。如果能证明之前这个ip 65.49.2.178在国内是可以访问的,那就更解释得通了。

    有没有地方可以查询到某个ip最近的流量,以及流量来源分布?
    jandan
        12
    jandan  
       2014-01-21 17:51:18 +08:00
    dimpurr
        13
    dimpurr  
       2014-01-21 17:52:23 +08:00
    自由门的关系一出就变成钓鱼阴谋论了 叹
    rails3
        14
    rails3  
       2014-01-21 17:54:57 +08:00
    要火
    chuangbo
        15
    chuangbo  
    OP
       2014-01-21 17:55:19 +08:00
    世上最强 DDOS 我怕是海底光缆都挡不住吧哈哈哈哈哈
    liuxurong
        16
    liuxurong  
       2014-01-21 17:57:45 +08:00
    kIcKkILL
        17
    kIcKkILL  
       2014-01-21 17:59:10 +08:00
    也许最简单的解释就是真相哦
    wusuopuBUPT
        18
    wusuopuBUPT  
       2014-01-21 18:07:38 +08:00
    今天网络大规模故障啊!
    tyhunter
        19
    tyhunter  
       2014-01-21 18:16:59 +08:00 via Android
    临时工哈哈
    inroading
        20
    inroading  
       2014-01-21 18:22:27 +08:00
    GFW操作无复审?貌似操作员权力很大啊
    66beta
        21
    66beta  
       2014-01-21 18:24:28 +08:00
    寒假了呀,下朋友来实习了,好家伙,没玩过定制的思科啊
    一点.......
    kqz901002
        22
    kqz901002  
       2014-01-21 18:38:07 +08:00
    还有种可能是某法网站的黑客的攻击。
    sanddudu
        23
    sanddudu  
       2014-01-21 18:40:56 +08:00   ❤️ 1
    楼主有必要通知一下DNSPOD发个澄清
    因为主页的那张彩蛋被某网站编辑当成了被入侵的痕迹了
    图片:
    sanddudu
        24
    sanddudu  
       2014-01-21 18:42:01 +08:00
    @kqz901002 把流量导向给自己,是作大死。
    wavingclear
        25
    wavingclear  
       2014-01-21 18:43:39 +08:00
    流明……只是现在我连知乎都上不去了,跪……
    ovear
        26
    ovear  
       2014-01-21 18:45:11 +08:00   ❤️ 1
    =。=全面分析了下,大家可以看看,顺便帮我挑一下错。
    http://ovear.info/post/207
    collar
        27
    collar  
       2014-01-21 18:49:01 +08:00
    不明觉厉,刘明~
    kaiqiz89
        28
    kaiqiz89  
       2014-01-21 18:49:05 +08:00 via iPhone
    火钳流明
    figo
        29
    figo  
       2014-01-21 18:51:47 +08:00
    做死!!!
    momou
        30
    momou  
       2014-01-21 19:06:42 +08:00   ❤️ 1
    @ovear TYTS,推测太戏剧化。。。
    vob636
        31
    vob636  
       2014-01-21 19:10:33 +08:00
    还在啊,知乎链接是:http://www.zhihu.com/question/22572025
    ycxgmail
        32
    ycxgmail  
       2014-01-21 19:12:40 +08:00
    兜售花生,瓜子
    est
        33
    est  
       2014-01-21 19:13:41 +08:00
    @Livid LZ完美命中轮子系列软件所有关键词。网监和举报中心发来贺电
    Kingfree
        34
    Kingfree  
       2014-01-21 19:14:22 +08:00
    操作员权力这么大领导知道么
    ovear
        35
    ovear  
       2014-01-21 19:17:46 +08:00
    @momou 啧啧 所以是作死向。
    wzxjohn
        36
    wzxjohn  
       2014-01-21 19:27:57 +08:00 via Android
    这个DDoS方法太牛逼了。。。
    DreaMQ
        37
    DreaMQ  
       2014-01-21 19:53:02 +08:00 via Android
    @chuangbo 怎么挡不住。全国(大陆)总国际带宽不到3TB,但海缆单TPE一个就超过5T。不过我还是相信没有任何服务器能挡住。
    akin
        38
    akin  
       2014-01-21 20:06:37 +08:00
    那 catch me if you can 怎么解释?
    sumanx
        39
    sumanx  
       2014-01-21 20:07:12 +08:00
    第一页留名
    sumanx
        40
    sumanx  
       2014-01-21 20:08:35 +08:00
    jedicxl
        41
    jedicxl  
       2014-01-21 20:10:12 +08:00
    此页流明的全请进去喝茶^ ^
    xavierskip
        42
    xavierskip  
       2014-01-21 20:10:38 +08:00
    膜拜GFW











    的操作员!!!!
    chenshaoju
        43
    chenshaoju  
       2014-01-21 20:12:02 +08:00   ❤️ 1
    我也进行了一系列测试,因为正在浏览Solidot,突然打不开了,然后就用 solidot.org 这个域名做了测试。

    Solidot的域名注册在国内,自己建的NS服务器(用的 cnet.com.cn 的),然后www和@记录的IP也指向国内,一般情况下不会受到干扰,但是也被解析到了65.49.2.178。

    https://pic.twitter.com/hefdVXxjO0

    因此做出猜测,墙直接污染了境内DNS向境外根域名服务器的查询结果,导致国内的域名直接解析到了错误的IP上。

    但是很不幸,污染只持续了十分钟,没来得及深挖。楼主和知乎上提供的截图证实了这个观点,此次事件是由于墙引起的,而非什么DNS失效。
    jandan
        44
    jandan  
       2014-01-21 20:12:38 +08:00
    @sanddudu 编辑一点不了解程序猿。
    learnshare
        45
    learnshare  
       2014-01-21 20:17:15 +08:00
    系统升级前,记得做测试啊
    CRight
        46
    CRight  
       2014-01-21 20:31:24 +08:00 via Android
    只要不弄白名单,墙对我们的影响不大。
    inet6
        47
    inet6  
       2014-01-21 20:36:30 +08:00   ❤️ 1
    如果GFW商业化, 主营DNS攻击,流量导入...... 直接纳斯达克上市。
    sivacohan
        48
    sivacohan  
       2014-01-21 20:46:27 +08:00   ❤️ 1
    @loading
    @family

    怎么卖?
    dorentus
        49
    dorentus  
       2014-01-21 21:02:18 +08:00
    @akin 2010 年的时候就有了,估计是百度的人自己搞着玩的呗。
    chainkhoo
        50
    chainkhoo  
       2014-01-21 21:05:03 +08:00
    闷声作大死。。。
    jarontai
        51
    jarontai  
       2014-01-21 21:38:18 +08:00
    想不到GFW也有临时工啊
    cnkaka
        52
    cnkaka  
       2014-01-21 21:45:36 +08:00
    挺有可能是这个
    Lelouchcr
        53
    Lelouchcr  
       2014-01-21 21:53:35 +08:00
    GFW 净干坏事
    funcman
        54
    funcman  
       2014-01-21 22:06:40 +08:00   ❤️ 1
    结果某门还是能用~
    rffan
        55
    rffan  
       2014-01-21 22:08:42 +08:00
    - -蛋疼。。功夫网升级搞的乌龙么?
    awsx
        56
    awsx  
       2014-01-21 22:14:22 +08:00
    这事情会怎么公关呢?
    Expl4it
        57
    Expl4it  
       2014-01-21 22:57:55 +08:00
    火钳还是得留名
    printf37
        58
    printf37  
       2014-01-21 22:59:55 +08:00
    手滑
    DreaMQ
        59
    DreaMQ  
       2014-01-21 23:15:34 +08:00
    @akin 还有其他报道看到他的吗?如果没有的话很可能是本地改hosts干的
    PotatoBrother
        60
    PotatoBrother  
       2014-01-22 00:32:37 +08:00
    所有事件巧合的遇在了一起
    kzy9007
        61
    kzy9007  
       2014-01-22 00:51:07 +08:00
    这么凶?广告位招租+3,这个位置也不错吧
    XDA
        62
    XDA  
       2014-01-22 09:13:18 +08:00
    早上起来才看到这个帖子。
    xdata
        63
    xdata  
       2014-01-22 09:48:27 +08:00
    @chuangbo
    你们能在 DNS 节点列表页看到这个帖子吗?
    我怎么在各种列表页里翻了半天都没找着
    loryyang
        64
    loryyang  
       2014-01-22 10:11:32 +08:00
    我相信lz的结论,什么黑客攻击可能性太低了
    panlilu
        65
    panlilu  
       2014-01-22 10:29:02 +08:00
    花样作死-,-
    zheitang
        66
    zheitang  
       2014-01-22 11:01:00 +08:00
    大家还是莫谈国事
    避免收到快递
    Actrace
        67
    Actrace  
       2014-01-22 11:44:57 +08:00
    楼主我是送快递的,快点开门我要查你们家水表.
    davepkxxx
        68
    davepkxxx  
       2014-01-22 13:06:01 +08:00
    据说是GFW在升级
    efi
        69
    efi  
       2014-01-22 14:08:58 +08:00
    随便怎么猜,但是无dump无真相。另外有哪个模式匹配算法是空模式可以匹配所有数据的?
    adrianzhang
        70
    adrianzhang  
       2014-01-30 00:09:20 +08:00
    比较好的解决方案:全自动防污染DNS虚拟机。bcs.duapp.com/raspberrypi/index.html
    dxppp
        71
    dxppp  
       2022-10-30 22:00:37 +08:00 via Android
    八年 9 个月后,这事儿又被人们提起
    xavierskip
        72
    xavierskip  
       2022-10-30 23:19:45 +08:00
    luoxiaoer
        73
    luoxiaoer  
       2022-11-02 09:43:05 +08:00
    刘明
    itnoob
        74
    itnoob  
       2023-01-29 17:46:39 +08:00
    额,又过了 3 个月,发现了这些东西,当时可能没在意。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2898 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 12:22 · PVG 20:22 · LAX 04:22 · JFK 07:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.