记录: 5月19日DNSPod受攻击始末

这是一起发生在前天的大规模网络攻击事件，虽然前天一直在电脑前也遇到过好几次DNS无法正常解析，但绝没有料到后果会这么严重。

分析整个事情不难发现以下疑问：

1，作为网络服务提供商的DNSPOD居然不能拿出有效的硬件设备保护核心业务。一般较核心的电信机房会提供此类硬件防火墙。

2，当较核心的DNS服务器出现异常后，引起了频繁的重复请求，各地骨干网络中的DNS服务器，无法有效避免这样的网络异常。

我们的网络竟然如此脆弱，10GB的流量就可以让各级节点出现不同程度的异常。

以下内容是对整个过程的一个记录，供以后参考，略有增删：

5月18日开始，国内著名免费dns服务提供商 dnspod.com 的6台服务器开始受到不同程度的攻击。dnspod为诸多网站提供域名解析服务，其中包含暴风影音。18日晚上20点33分，在史无前例的大流量攻击下dnspod的6台域名服务器开始失效，大量网站开始间歇性无法访问，其中包括国内诸多知名网站。第一波攻击的流量在21点30分左右达到高峰，流量超过了10Gbps（如下图）一个电信核心机房的 带宽也仅仅最多只有几十G：

5月18日晚,由于dnspod耗尽了整个机房近乎三分之一的带宽资源，为了不影响机房其他用户，dnspod的电信主力dns服务器被迫离线。19日晚上，在另一轮高强度攻击下，dnspod服务完全中断。由于客户的域名无法解析时会不断向网络供应商的dns服务器发送解析请求，造成当地运营商的dns服务器堵塞。

5月19日晚上21点左右,浙江电信dns开始瘫痪，之后的两个小时内北京、天津、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的dns陆续瘫痪。

在零点之前，部分地区的运营商进行了处理，将暴风影音的服务器IP加入dns缓存或者禁止了这个域名的解析，网络开始恢复。截至目前为止dnspod的也仍然没有完全恢复。

后经了解,此次事故的罪魁祸首竟然仅仅是同样在使用dnspod服务的一个私服网站，这个网站的同行在对其web服务器攻击不成的情况下动用大量肉鸡对其dns服务商dnspod进行了丧心病狂的攻击，其规模之大真的让人胆战心惊。

据电信部门称，五月十九日二十一点零六分开始，由于暴风影音客户端软件存在缺陷，在暴风影音域名授权服务器工作异常的情况下，导致安装该软件的上网 终端频繁发起域名解析请求，引发DNS拥塞，造成大量用户访问网站慢或网页打不开。据集团反馈的信息，全国范围内各运营商在此期间也发生类似故障。对于罕见的互联网络大瘫痪，许多网民称，仿佛又回到了二00六年底。当时台湾地震造成海底通信光缆发生中断，中国内地的国际互联网访问质量受到严重影响。对于软 件故障引起这样全国范围的互联网瘫痪，令业内人士大吃一惊，也引起很多网民不满。有网民表示，网络运行商不能按照合约提供网络服务，将会对网络运营商进行 索赔。

后续阅读 来自新浪科技的 DNS规模故障追踪：由24岁站长引发的蝴蝶效应

节选部分有价值的内容，转载如下：

做DNSPod在3月之前只是吴洪声的一项业余爱好，当时他是MySpace的一名员工。他的DNSPod网站拥有16台服务器，其中免费服务器4 台，一些私交较好网站使用的专用服务器4台。他服务的对象包括Verycd、雨林木风、4399、小游戏、暴风影音等。遭到攻击的正式服务包括暴风影音的 免费服务器

吴洪声透露，国内网游私服每个月都要花费200-300万元攻击对手。一般做出一个G的攻击流量需要花费4-5万元。流量都是通过“肉鸡”(编者注：指被黑客侵入并可控制的电脑)打出来，24G的流量大概需要几百万到几千万台肉鸡。对私服业者来说，攻击防范薄弱的域名解析无疑是最有效的办法。

据吴洪声介绍，目前国内做DNS行业大概有十几家，基本都是免费。因为没钱买专业设备，使用智能DNS解析的多是小网站。目前DNSPod依然是个人网站，而不是一个公司，没有收入和资金去维护，每个月吴洪声都会有几百到几千元不等的“倒贴”。目前其网站注册域名有30多万个，每天拥有20亿次请求，实际使用的域名大约为10万个。