1月21日，对于国内互联网而言注定是一个不安分的日子。上午九时许，腾讯被曝出现一系列瘫痪故障，微信朋友圈、QQ空间、QQ音乐、QQ会员、QQ邮箱等多项业务出现访问故障。之后在15:10左右，国内互联网三分之二的通用顶级域名的根域也出现解析异常，包括百度、新浪、腾讯、支付宝等互联网公司均在波及范围之内。于是网络哀鸿遍野，引发一波网络恐慌及多种猜测……

域名解析故障，DNS遭污染是背后黑手
     这次国内网络大面积出现问题，背后黑手是DNS解析故障。用通俗的话来说，就是根域名解析服务器乱发门牌号，使得网络设备认错路。长期以来，作为网络基础设施的DNS系统，为我们提供了访问互联网的便利，用户只需要记住域名就可以访问到互联网上的对应主机。当你在浏览器中输入一个域名时，DNS的解析过程就开始了，由域名解析服务器将该域名翻译为网络设备能“听懂”的IP地址，域名对应的IP地址在互联网上是唯一的，就像门牌号一样，如果域名解析错误，就会出现打不开网站或无法访问的情况。



     各种DNS服务器的关系图
     比如在此次网络故障中，大量中国知名IT公司的域名解析到“65.49.2.178”这一IP地址，该IP地址位于美国北卡罗莱纳州卡里镇Dynamic Internet Technology公司。安全专家认为，该事件极可能是人为的黑客攻击行为，造成DNS污染。什么是DNS污染？百度百科对DNS污染的解释是：DNS污染又称为域名服务器缓存污染或者域名服务器快取侵害，是指一些刻意制造或无意中制造出来的域名服务器分组，把域名指往不正确的IP地址。一般来说，企业外网在互联网上一般都有可信赖的域名服务器，但为减免网络上的交通拥堵，一般的域名都会把外网的域名服务器数据暂存起来，待下次有其他机器要求解析域名时，可以立即提供服务。


     域名解析故障示意图
　　　一但有关网域的域名服务器的缓存受到污染，就会把网域内的电脑导引向错误的服务器或服务器网址。域名服务器缓存污染是通过域名服务器软件上的设计错误而产生，但也可能由别有用心者通过研究开放架构的域名服务器系统，利用其中的漏洞发起攻击。
 
虎！虎！虎！域名安全危机突显
　　由于此次域名解析故障很快得到解决，或许没有给广大网民造成什么损失。不过，这次网络事故却引起了业内的高度关注。金山网络安全专家指出：相对于那些网络木马、网络病毒，域名故障的影响实际上要大得多。根据域名解析的技术原理，DNS系统由递归域名服务系统、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层次构成，采用金字塔式迭代查询方式。任一国家的民众访问一个网站或其他互联网服务时，需要在全球网络中完成对应域名的逐级查询。
　　任何一个层次出现故障，都会导致一定范围的网络故障，特别是一旦处于塔尖的根域和顶级域解析服务器出现故障，后果更严重。比如此次网络故障虽只涉及中国域名，但受到影响的范围却是空前的，包括百度、新浪、腾讯在内的国内绝大多数网站出现访问异常。据粗略估算，受到影响的国内用户超过2亿，平均受影响的时间约在3小时左右。此次DNS故障影响之广、范围之大远远超出一般黑客的能力范围，更严重的是DNS故障甚至危及国家信息安全。如曾经因为根域名服务器数据出错，导致.se这个以瑞典国家为后缀的所有域名在互联网上消失了。


    美国掌控了世界上的绝大部分根域名服务器
　　正因为域名服务系统的重要性，自2009年起，CNNIC就开始对整个域名服务体系的配置情况和安全态势进行多角度的监测分析。截至2013年12月，CNNIC基于自身建设的国家域名安全监测平台所拥有的监测点数已达到46个，其中海外监测点为2个。同时，CNNIC还设计开发了故障、配置、性能和流量等多角度的监测项，以便对各环节域名服务系统的运行状态和安全状况进行全面监测和客观评估。此外，建立根服务器“镜像”也被认为是防止DNS故障的良方，其意义在于：通过建立“镜像节点”，在服务器被攻击时，启用“镜像节点”加以“对抗”。新鲜出炉的CNNIC报告《中国域名服务安全状况与态势分析报告（2013）》称：“截至 2013 年 12 月 31 日，域名系统13个根服务器在全球的镜像节点数量共386个(相比去年同期新增38个)，其中中国大陆有F根、I根、J根和L根共计4个镜像节点。”
　　不过，这些只能算是预防措施。一个不可否认的事实是，全球13台根域名服务器都掌控在别人手里，其中就有10台位于美国，这使得美国在互联网上的霸权远大于其现实霸权。美国曾在战争的特殊时期清除过伊拉克、利比亚的国家根域名，使得这两个国家的全部网站从国际互联网上消失。由于根服务器涉及到全球的网络安全，此前欧盟等向美国提出将互联网根服务器搬移出来放到联合国，由联合国成立一个管理机构进行管理，但这个提议被美国拒绝。因此从理论上说，美国随时可以从国际互联网中清除.cn根域名，把中国打回“石器时代”。中国人如果罗列自己“理论上的不安全”，我们恐怕根本就不能睡得着觉。
　　中国互联网络信息中心发布的互联网发展报告显示，我国互联网用户已达4.85亿，IPv4地址已经达3.32亿个，域名总数为786万个，网站数量为183万个。如果没有强大的域名服务系统的安全保障，我国4.85亿网民的互联网应用需求就缺乏强有力的支撑。无论如何，目前中国都必须加快互联网关键技术的开发和创新，只有在IT技术领域走在世界最前沿，中国才能根本改变网络安全的形势。中国已经有了华为、中兴这样的一流电信设备供应商，但还缺少像俄罗斯卡巴斯基那样的网络安全公司等。我们的技术能力远未“连成片”，华为、中兴等还像是孤岛，中国到了需要真正重视域名安全的时候。一切需要从顶层进行战略设计，到机构设置与协调，到政府与民族企业的合作，再到观念的健全与培育，这是关系中国的核心国家利益，也关系全民的重大利益。

 

互联网企业CTO，该行动起来了 

　　构建国家级域名安全系统不是一蹴而就的，但微博还得继续写，网站还要运行，所以网企CTO目前还得想办法来应对重重危机。不过，DNS域名解析不是掌握在自己的手中，目前防范域名解析故障的方法，只有通过健全制度、加强技术手段、完善应急机制等措施来缓解危机。
　　 目前绝大多数互联网企业在域名注册成功后，只是简单地使用默认的域名解析服务,这就给域名解析的安全带来了隐患，在域名安全威胁来袭后，企业根本没有办法及时应对。其实对于企业CTO而言，只需要采取一些简单的措施，或许就能让网站的运行安全提升一个层次，比如最简单莫过于自己加强对域名的管理，选择备用DNS解析服务。一旦发现域名安全出现问题后，就及时地进行DNS解析的修改，再加上域名跳转，就能够很快地解决因为域名故障导致网站打不开的问题。
　　　分布式部署也是域名安全防护的主要手段。把一台服务器作为域名解析服务器，或者在只为域名解析建立一个节点的情况下，一旦域名所在的节点出现线路故障、被攻击、机器故障、软件漏洞等情况，就会使域名解析出现问题。重要的域名应该建立三个以上的节点，并且要分布在不同的机房、不同的运营商那里。一旦某个节点出现问题，另一个节点能够继续提供服务，不会影响域名解析的连续性。对于大量的中小互联企业网站而言，花费重金构建分工式防护资源是不现实的。不过现在随着互联网云技术的发展，解决各种环节上层出不穷的域名故障，最有效的办法是让专业的第三方域名云服务提供商来帮助优化。
　　　
　　　第三方域名云服务提供商的服务更稳妥
　　“云”中的用户不需要担忧域名服务基础设施的运营，只需要关注通过网络获得的服务体验。据Verisign 委托Merrill Research公司对美国采用在线运营方式的大中型企业进行的调查显示，自主管理域名服务器的公司，其域名可靠率只有90.13%，而使用第三方管理域名服务器的公司的域名，可靠率达到98%。目前，国外互联网企业在域名安全领域大多使用第三方模式，像亚马逊、Facebook等公司都将自己的域名解析外包给第三方的域名服务商。早在2011年，CNNIC就已经在国内提供云域名解析服务，不过一直没有引起管理者们的关注。相信经过此次域名DNS危机后，云域名解析服务有望得到重视。
　　小结：如今，网络已成为人们生活不可或缺的一部分。虽然近年来我国在网络安全技术上有了长足的进步，但从近日的DNS域名解析故障看来，根域名服务器的安全性仍有很大的进步空间。因此，无论是国家还是企业，都需要重视域名的管理，构建更加安全、智能的互联网域名基础架构，保障域名运维安全畅通。