断网背后的秘密

        2009年5月19日21时，由于几家网游私服之间的恶性竞争，其中一家以网络攻击的手段向为对方解释域名的DNS服务器DNSPod发动DDOS(分布式拒绝服务)攻击。其本意只想让DNSPod当机，让对手的网游玩家不能访问其游戏服务器。可未曾想到，就是这样的一次网络攻击行为，却再一次验证了蝴蝶效应的理论，最终演变成造成广西、江苏、海南、安徽、甘肃和浙江电信宽带用户网络断网的严重网络安全事件。从而让原本很平常的一天，注定会在网络安全史上写上重重的一笔。

　　这次断网事件的发生，其中带有许多的偶然因素，但是，几个相互有关联的偶然因素同时在一件事中出现时，就会发展成必然因素。

　　在这次断网事件的最初阶段，作为网游私服竞争工具的网络攻击者，可能认为对DNSPod服务器进行DDOS攻击是一件很平常的攻击事件，平常得就像网络之中每天都在发生着的各种DOS(拒绝服务攻击)和DDOS攻击，以及针对WAN主干路由器的路由协议进行的攻击事件。

　　但是，他们选择的是同时为数10万家网站提供域名解释的DNSPod服务器。DNSPod不仅为其攻击的竞争对手提供域名解释任务，还为当前用户数量庞大的暴风影音提供域名解释服务器。

　　于是，当攻击者操控着大量的肉鸡，向DNSPod服务器实施攻击流量超过10G的DDOS攻击时，DNSPod服务器如他们之愿成功当机了。我们都知道DNS服务器就是将www.abcd.com这样的域名解释成1.1.1.1这样的这样的IP地址，从而可以让用户只需输入容易记住的网站域名就可以正常连接它。一旦像DNSPod这样的DNS服务器不能工作了，就不能再为依靠它进行域名解释的所有网站和服务器提供相应的功能了，用户也就不能再通过域名的方式访问相应的网站或服务器了，当然也包括攻击者竞争对手的网游私服服务器和暴风影音的服务器了。

　　原本，这次攻击事件发生到此时就可以宣告结束了，但是，这些攻击者却严重地低估了对DNS服务器实施攻击的后果。

　　从DNS服务的工作机制可以知道，域名服务器通常会设置域名转发等分流功能，这样，当DNS服务器在收到用户提交的域名解释请求时，它首先会在自己的高速缓存中进行查找，如果没有，就进行递归查询，如果仍然没有这条域名解释信息，那么，它就会将它向相邻的DNS服务器进行转发，以便能够让其它DNS服务器完成这条域名解释请求。

　　而在DNSPod服务器服务的名单中，恰巧有号称有2亿多用户的暴风影音。更要紧的是，暴风影音为了自身的经济利益，在没有通知用户的前提下，私自在暴风影音主程序安装包中集成了一个可以自动连接其广告服务器的Stromlive.exe。暴风影音公司集成Stromlive.exe的目的，主要是用来从其后台广告服务器中下载广告到用户的桌面显示，以便能够得到更多的广告收入，另外，它也完成对暴风影音软件进行自动升级更新的任务。

　　也正是由于Stromlive.exe被设定用来完成这两个任务，于是，它每隔很短的时间，就自动向暴风影音的服务器发出连接请求。在其发出连接请求的开始阶段，就会进行相应的域名查询任务，以便能够与其后台服务器建立正确的连接。

　　于是，当DNSPod服务器当机后，Stromlive.exe进行自动连接请求时的域名不能被正常解释，它就会立即将域名解释请求转发至电信相应的DNS服务器上试图依靠它们进行域名解释。

　　这样一来，有2亿多用户的暴风影音，其自带的Stromlive.exe就有可能会同时不断地向电信服务器发送域名解释请求。由于电信服务器本来负荷就高，再加突然增加这么多的域名解释请求流量，也就不可能一时就反应过来。

　　但是，Stromlive.exe程序可不依。电信服务器不能及时响应，Stromlive.exe仍然不断重复地发送域名解释请求给它。并且，流量如此之大的Stromlive.exe域名解释请求，远比此次事件最初阶段攻击者针对DNSPod服务器实施的DDOS攻击流量还要大。

　　于是，电信服务器也就在这样的域名解释洪流下很快被淹没而当机了。因而，上述这些偶然因素也就相互关联叠加之后变成了必然因素，这次攻击事件也由此演变成一次间接的DNS域名解释攻击，从而也就造成了上述6省宽带用户大面积断网的安全事件。

　　现在，虽然实施这次网络攻击事件的原凶已经被抓获，但是，这次发生的造成我国6个省市电信宽带用户大面积断网事件，也同时将当前网络安全现状的四宗罪完全暴露出来。
第一宗罪：黑客网络攻击黑色产业链现在是多么严重

　　从这次6省宽带用户大面积断网事件再一次清晰地表露出，一条完整的从发布攻击任务到实施最终攻击活动的黑客网络攻击产业链。

　　在这条黑客网络攻击产业链中，一些网络企业或常规企业，出于对竞争对手进行打击的目的，不惜花重金聘请专业黑客对竞争对手进行相应的网络攻击，从而成为这条产业链中的资金提供者和指使者。

　　而黑客，由于手中掌握有大量肉鸡和攻击工具，而成为这些企业对竞争对手实施打击的最佳攻击工具。

　　黑客们也同时从接授这样的攻击任务中得到继续扩大攻击能力的资金，以及获得满足其生存所必需的金钱。

　　这样，一些企业提供资金发布攻击任务，黑客接受任务实施攻击，然后收钱，一条完整的产业链就此形成。

　　但是，黑客的江湖中也同样充满着竞争，他们都知道，只有自己掌握的肉鸡比别人多，掌握的网络攻击工具的攻击速度和效率比别人高，他才可能接收到更多的攻击任务，从而也就获得更多的金钱。而黑客想要不断地加强他们的攻击能力，同样离不开大量资金的支持。

　　如果黑客自己不知道编写收集肉鸡的工具，就只能向其他黑客购买肉鸡收集工具和网络攻击工具，或者直接向其他黑客购买肉鸡，来满足他们实施相应等级攻击活动的需求。而这些都是需要大量金钱来购买的。