DNS规模故障追踪：由24岁站长引发的蝴蝶效应

5月22日凌晨消息，24岁的免费域名服务商DNSPod站长吴洪声在2天2夜没有合眼后，决定主动约见媒体，就5月19日晚间多省大规模网络故障事件做出说明。在吴洪声看来，这次由DNSPod遭到恶意攻击引起的事故是一场蝴蝶效应：他的DNSPod是蝴蝶扇了下翅膀，暴风影音就成为了太平洋上的风暴。　　18日晚：蝴蝶的翅膀　　吴洪声直到20号下午才意识到，19日晚上大规模的网络故障与自己的DNSPod有关。此前的一天里，他一直忙于处理网络故障：18日晚上22点左右，DNSPod设在江苏常州的主站及多个DNS服务器遭受超过10G流量的恶意攻击。　　最开始吴洪声并不知道DNSPod主服务器IP被封，是朋友告诉他DNSPod无法访问。当他一层一层找到常州机房查询时，才知道已被电信查封，原因是遭遇恶意攻击。对吴洪声来说，DNSPod遭遇攻击并不是天大的事情，此前最严重时DNSPod遭遇过24G流量攻击，只不过这一次江苏常州主站的流量异常引起中国电信关注，并强制封掉IP。　　此举导致运行在DNSPod免费服务器上的10万个域名均无法解析。这些域名包括地方门户、信息港、个人站长小网站和企业网站，也有24小时后引起网络瘫痪的暴风影音。虽然至今没有任何关于黑客的详细信息，但有历史可查的是，DNSPod曾因为私服互相掐架遭受攻击。　　在随后时间里，吴洪声忙于更换DNSPod的IP、处理被攻击事件。19日晚上，江苏、安徽、广西、海南、甘肃、浙江六省陆续出现大规模网络故障，吴洪声也是遭遇网络瘫痪用户之一，但他并未多想，仅以为黑客已经猖狂到连地方DNS都攻击的地步。　　19日晚：太平洋的风暴　　做DNSPod在3月之前只是吴洪声的一项业余爱好，当时他是MySpace的一名员工。他的DNSPod网站拥有16台服务器，其中免费服务器4台，一些私交较好网站使用的专用服务器4台。他服务的对象包括Verycd、雨林木风、4399、小游戏、暴风影音等。遭到攻击的正式服务包括暴风影音的免费服务器。　　值得注意的是，18日晚上暴风并未出现太大问题。吴洪声的解释是DNSPod协议上有缓冲时间，请求解析一次后，一天内不用再次访问DNSPod。也正是由于缓存的存在，一直正常的表象并没有让吴洪声意识到攻击将引起大面积瘫痪事故。　　遭遇攻击24小时后的19日21点左右，暴风影音域名的缓存在各地DNSPod服务器上均失效，大量不断的访问开始堆积，电信DNS服务器访问量突增，网络处理性能下降，造成大规模的网络故障。在零点以前，部分地区运营商将暴风影音服务器IP加入DNS缓存或者禁止其域名解析，网络情况才陆续开始恢复。　　吴洪声依然忙于解决18日晚的攻击问题，直到20日下午有朋友告诉他，19日晚大面积故障可能与DNSPod有关，他才恍然大悟。此时工信部已召开紧急会议，暴风高层也联系到吴洪声，商量后续备份域名服务器问题。紧接着21日，工信部联合暴风及DNSPod准备向公安局报案。　　偶然中的必然事件　　吴洪声认为这件故障是凑巧因素引起的偶然事件，但也是必然会发生的。“因为DNS作为一个最基础的服务，没未被多少人熟知，大家对它的关注可以说是基本没有的。”他指出，目前Web防范措施已经比较完善，但基于DNS的防范依然很弱，易被黑客利用攻击。　　吴洪声透露，国内私服每个月都要花费200-300万元攻击对手。一般做出一个G的攻击流量需要花费4-5万元。流量都是通过“肉鸡”打出来，24G的流量大概需要几百万到几千万台肉鸡。对私服来说，攻击防范薄弱的域名解析无疑是最有效的办法。　　据吴洪声介绍，目前国内做DNS行业大概有十几家，基本都是免费。因为没钱买专业设备，使用智能DNS解析的多是小网站。目前DNSPod依然是个人网站，而不是一个公司，没有收入和资金去维护，每个月吴洪声都会有几百到几千元不等的“倒贴”。目前其网站注册域名有30多万个，每天拥有20亿次请求，实际使用的域名大约为10万个。　　虽然并没有用户向吴洪声提出索赔需求，多数用户表示对他理解和支持，但也有不少言论认为他为了准备收费，拿用户利益去做铺垫。对此吴洪声感到有些委屈，他认为自己也是受害者，同时也担心未来无法继续做域名解析业务，或者遭遇用户索赔。(韩枝)