美国专家谈中国的域名解析故障

Foou 发布于 2014/01/24 12:19
阅读 2K+
收藏 4

《华盛顿邮报》发表了一篇文章, 援引美国专家的分析讨论本周二中国发生的大规模域名解析故障。这件事基本确定是防火墙的一次操作失误。中国政府屏蔽网站是利用了互联网架构的一个弱点。当 用户在浏览器上输入一个域名如Facebook.com,请求会先发送到一个DNS服务器,服务器会将域名解析到一个正确的IP地址——计算机识别彼此的 一串数字。防火墙使用的DNS污染方法会将域名解析到一个错误或伪造的IP地址。周二的问题是所有的.com、.net和.org域名被解析到美国动态网 的一个IP地址。加州伯克利国际计算机科学学会的研究员Nicholas Weaver认为,防火墙的工作人员在输入新的屏蔽规则时将“Block everything going to this IP address”错误输入为Block everything by referring to this IP address”。网站性能跟踪顾问Heiko Specht的测试显示,事故发生时中国至少80%的常见域名不能正常工作。

转自: http://www.solidot.org/story?sid=38149

加载中
1
0
文心雕码
文心雕码
LZ是不是想和咖啡了?
0
小小志
小小志
开门查水表
0
duty
duty
同志请开门,我是顺丰快递单,给你送到年货到了。
0
JerryLin
JerryLin
GFW是intercept模式,不是forward模式,否则巨量的网络流量什么设备能顶得住?而且各个DNS服务器设置的上级DNS地址不可能都是错的吧,有的直接设置为11个root节点IP,怎么污染?前两年马来西亚的那个事件才是真正意义上的DNS污染吧,GFW估计还没这么牛。
JerryLin
JerryLin
回复 @tianso : 你以为那是forward方式实现的?呵呵
Foou
Foou
不同的级别用不同的工作模式。比如谷歌你搜个不该搜的关键字试试。呵呵
头号大宝贝
头号大宝贝
我更愿意相信是intercept模式
0
小熊猫大暴走
小熊猫大暴走
开门,查水表。。。
0
淘气的小猴子
淘气的小猴子

开门,送快递的。。

0
meDevil
meDevil
开门,新年了送红包。
0
Foou
Foou

引用来自“JerryLin”的答案

GFW是intercept模式,不是forward模式,否则巨量的网络流量什么设备能顶得住?而且各个DNS服务器设置的上级DNS地址不可能都是错的吧,有的直接设置为11个root节点IP,怎么污染?前两年马来西亚的那个事件才是真正意义上的DNS污染吧,GFW估计还没这么牛。

你说的intercept,forward是对数据包的处理方法。对于intercept可以在国际出口做,这个能实现。而对于forward这个显然不能放在骨干网或者国际出口上处理。在一般的接入网末端都部署了包过滤防火墙。可以从各个地区的关键字过滤不同就可以猜到。这个设备的版本也不太一样。这个应该属于强制安装的设备。找个ISP的网管一问就知道了。

GFW就是个N多服务器跟网络设备组成的功能完备的分布式IDS+IPS。IDS设备一般是通过嗅探,旁路监听等方法采集数据包,然后对在黑名单内的做重点分析,决定是否TCP RST。这是其中的一个方法。很可能有多个级别的黑名单,不同的监控级别是不同对待的。这点从简单的测试中就可以找到结果。

技术在进步,GFW也在进步。当然进步中也可能小失误一下。做过核心技术管理的都懂,很多故障都是人为失误引起,而不是其它原因!对于这次DNS故障,我本人在国内,我使用的DNS是通过一台DNS服务器代理,直接加密连接到国外DNS服务器。而在22号发生故障的时候,我当天晚上才知道这事,我没感觉任何异常,因为我的DNS是直接从国外获取的。国外的DNS解析一切正常。我对转来的文章还是有几分相信的。毕竟国外的专家正常的多。原因是GFW中大量使用了Cisco的设备,而CCIE以上的人物国外有都是。人家也不是张嘴吓说的。在看错误的DNS指向动态网的一个IP:65.49.2.178,那个动态网是“轮子”做的.为什么国内会指向轮子?这显然无法理解。如果从文章中说的操作失误的角度考虑,或许这个就是正确理由。也或许是一次新功能测试,但是超出了预料!

JerryLin
JerryLin
反政府是个筐,啥都可以往里装。苏联倒了,俄罗斯人就过上好日子了,继续吧。其实很没意思,讨论技术而已,大家都不知道GFW具体实现,那就从技术角度去考虑,interceptor模式是NSA也在用的,具体网上查,我不觉得GFW比NSA强。当然,也可能GFW技术很牛。真是那样,不如建议他们去解决12306的购票问题。
返回顶部
顶部