今日下午15:10左右,网友发现国内众多网站出现无法访问的现象。据分析看,网站无法访问的原因是网站域名解析错误,大量网站的域名被解析到一个无法访问的美国IP地址(65.49.2.178)上,导致众多网站无法访问,目前国内三分之二DNS处于瘫痪状态。
我通过一些测试工具来从全国各地测试我博客网站地址,发现有不少地区都解析出错误的IP地址,测试了一下其他网站,也有很多都解析到同一个IP地址。
从现象看,这次的DNS解析错误很像是针对全部域名的DNS污染,通常在中国大陆,对于所有域名查询都是在UDP的53端口上进行的,防火墙通常会在这里进行IDS入侵检测,一经发现与黑名单关键词相匹配的域名查询请求,就会立刻给查询者返回一个虚假的IP地址,由于DNS查询通常没有任何认证机制,因此使用这种方法可以方便地阻止用户访问某些特定网站。
此次断网现象范围非常广,这让我怀疑是国内负责DNS污染的那个设备出了什么故障,对所有域名都实施DNS污染,导致大量网站解析错误。其实,DNS污染本身就是一种很有争议的行为,你要屏蔽一个网站,直接屏蔽其IP就可以了,搞这种DNS污染,名不正言不顺,还很有可能让其他无辜网站都受到影响,破坏中国网民的上网环境,在国际上的影响也不好,至今全球有13台根服务器用来管理互联网的主目录,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本,没有一台在中国,因此这种DNS污染的行为实际上降低了中国在国际互联网市场上的地位。
针对目前的DNS问题,网民可以采取更换DNS为谷歌的8.8.8.8和8.8.4.4来解决,更改之后需要运行一下这个命令:ipconfig /flushdns 刷新下本地的DNS缓存。
今天,所有中国网民都会记住这样一个IP:65.49.2.178,对于这次大规模网络故障事件,我相信我们的网络运营商们一定能给广大网民一个合理的解释。
更新:这次中国DNS故障的最有可能的原因,是某操作员的操作错误,原本他想要屏蔽 65.49.2.178 这个IP,但是操作失误,把该 IP 填写到了劫持后的地址上,然后造成了无法挽回的事故,估计这个操作员的年终奖金已经泡汤了。