关于这次DNS攻击，来自红客联盟的消息

symeteor

sssddt 发表于 2014-1-26 08:16
国内用户使用谷歌的DNS：8.8.8.8  也没有问题，出问题是使用网络服务供应商提供的DNS
海外用户一般不会使 ...

你连GFW的几种工作模式都没搞清楚。。。
GFW主要就是
1.强制断开连接，就国内的404
2.DNS污染，把对应域名解析到虚假IP上

这次国内DNS都解析到错误IP，除了GFW还有谁能有这么大能量？按照现在网上的分析，应该是某临时工想要屏蔽这个自由门的代理服务器，结果加错了规则把大量网站的DNS污染掉了

至于为什么国内要比较长的时间才能恢复，有个东西叫DNS缓存。。。


关于这次断网的原因，知乎等网站已经挖的差不多了，证据也不少，比如出问题的网站DNS全是经典的25ms。
现在还争论这个完全没啥意义。

symeteor

YIFAN03 发表于 2014-1-26 10:53
天朝早就有镜像root server了，以没有根服务器所以遭受反动势力攻击的谣言什么时候能停止啊？

https://z ...

中国的根DNS服务器早就被吊销了好么。。。

symeteor

YIFAN03 发表于 2014-1-26 11:44
这次攻击应该和以前的GFW导致的污染是不一样的。

以前的污染是一些被GFW限制访问的域名比如facebook.com ...

中国没有根DNS服务器，国内怎么折腾，是完全不会影响到国外的

YIFAN03

symeteor 发表于 2014-1-26 11:46
中国的根DNS服务器早就被吊销了好么。。。

wiki上这么说的：

2010年3月16日前，中国大陆有F、J、L这3个根域DNS镜像[27]，但因为多次發生DNS污染而影響外国网络，威胁互联网安全和自由，中国大陆境内的I根域镜像被撤销路由通告。[28][29][30]。现今，中国大陆境内的F、J、L这3个根域4台DNS镜像（L有两台镜像）依然在提供服务。

symeteor

YIFAN03 发表于 2014-1-26 11:51
wiki上这么说的：

2010年3月16日前，中国大陆有F、J、L这3个根域DNS镜像[27]，但因为多次發生DNS污染而 ...

，中国大陆境内的F、J、L这3个根域4台DNS镜像（L有两台镜像）依然在提供服务。


目前所有的root dns列表，哪个在大陆？

a.root-servers.net         198.41.0.4, 2001:503:ba3e::2:30         VeriSign, Inc.
b.root-servers.net         192.228.79.201         University of Southern California (ISI)
c.root-servers.net         192.33.4.12         Cogent Communications
d.root-servers.net         199.7.91.13, 2001:500:2d::d         University of Maryland
e.root-servers.net         192.203.230.10         NASA (Ames Research Center)
f.root-servers.net         192.5.5.241, 2001:500:2f::f         Internet Systems Consortium, Inc.
g.root-servers.net         192.112.36.4         US Department of Defence (NIC)
h.root-servers.net         128.63.2.53, 2001:500:1::803f:235         US Army (Research Lab)
i.root-servers.net         192.36.148.17, 2001:7fe::53         Netnod
j.root-servers.net         192.58.128.30, 2001:503:c27::2:30         VeriSign, Inc.
k.root-servers.net         193.0.14.129, 2001:7fd::1         RIPE NCC
l.root-servers.net         199.7.83.42, 2001:500:3::42         ICANN
m.root-servers.net         202.12.27.33, 2001:dc3::35         WIDE Project

kevin2005

Baidu的那个catch me if you can和这次事件一点关系都没有

到http://archive.org/web/查了下，那句话12年9月的时候就写到了那。再往前，写了句It works.

YIFAN03

symeteor 发表于 2014-1-26 12:04
，中国大陆境内的F、J、L这3个根域4台DNS镜像（L有两台镜像）依然在提供服务。

你认真看了那文章没有？全球有300多个真实的根服务器，它们互为镜像，使用any cast技术共享这13个中的12个ip 地址。物理上分布在全球各地

busybeee

BIND配置镜像需要Primary端允许。如果wiki里说的属实，那么国内那几台被剥夺权限之后只能算caching，不再是严格意义上的镜像(Secondary)了吧。

这几台服务器要借助Anycast继续扮演根服务器IP的话，得有国内各大运营商的配合，不然路由根本不被采信，所以这几台“冒牌根镜像”必然加持了尚方宝剑。

这次事件国外解析未受影响，说明被黑/被污染的只是国内那几台。

5.5

harleyz 发表于 2014-1-21 22:37
拉倒吧什么黑客袭击，美国某公司，金山那帮自产自销自导自演的货也能叫安全专家？这事要不是GFW自己摆的乌 ...

+1

5.5

harleyz 发表于 2014-1-21 22:37
拉倒吧什么黑客袭击，美国某公司，金山那帮自产自销自导自演的货也能叫安全专家？这事要不是GFW自己摆的乌 ...

+1

sssddt

YIFAN03 发表于 2014-1-26 08:54
如果所有网站在DNS登记的地址被改成google的地址的话，不出一分钟google就要被搞趴下。

这也是攻击的一 ...

域名解析服务是一块大蛋糕，google涉足其间就是要争一争份额，份额越大越好，我相信google的软硬件都做好了准备，能够承受全世界各种终端的域名解析请求，只不过目前解析时间拖慢一点而已！

maodoubao

玩国内的网络游戏时断开连接跟这个事件有关么？

ayzlgs

建立独立的网络安全体系

sssddt

symeteor 发表于 2014-1-26 11:45
你连GFW的几种工作模式都没搞清楚。。。
GFW主要就是
1.强制断开连接，就国内的404

GFW的功能是过滤和阻隔，对内阻断某些访问境外不良网站的请求，对外阻断屏蔽境外对GFW和国家重点防卫的网站、服务器的黑客攻击。

至于DNS污染，把对应域名解析到虚假IP上，这个不是GFW的工作，而是网络服务供应商联合它所指定的域名解析服务器可能会做，5年前有，现在基本没有了。你可以让国内的朋友试一试，现在基本上都是 404 错误。

就是 404 错误，也是域名解析服务器因国家的自律要求而自己设置的解析规则，一般人理解为GFW的一部分，实则与GFW无关，对于访问境外网站，域名解析服务是第一道关卡，GFW是第二道关卡。域名解析服务器拦截下绝大多数不被允许的访问请求，漏网之鱼归GFW管。这一次事件虽然解析服务都指向 65.49.2.178，实则，国内的人基本上都不能打开 65.49.2.178网页，这个就是GFW发挥了功效。

dlcat

楼上有人真是半吊子。
本人10年前建立过全套DNS的二级域名，说两个事实。
1、受影响在国内，DNS网站即使被吊销了许可，但是依然可以给别人提供DNS服务，被吊销只是外边不访问他了，别人不指向他做信任DNS网站了。但是不影响他给国内用户提供服务，类似服务器里的私服。
2、DNS服务器以10年前的技术，就可以做到数据物理隔离，只是通过IP转换提供数据输出，而不做数据输入，也就是只出不进，只读不写，现在黑客攻击任何要害部位的数据，想改写，是根本不可能的，除非这个网站比较业余，连黑客最后最无聊的招数,DDOS攻击都可以立刻屏蔽的5年前，黑客这个词已经不纯在了，被攻击，只能说业余玩票的破网站和经费只够买PC裸奔的穷逼，这不适合各大电信商都是几亿建设经费的大局域网。


目前黑客能做的，给你传了流氓软件，控制一下肉鸡，其实也不是什么黑客，就是傻逼逗傻逼玩。而这么大面积的网络欺骗，根本就不可能是黑客做的，国内别的水平不知道，防止境外黑客攻击，水平高到你网站写个轮子，10分钟警察就敲你家门。只有一种可能，哈哈哈，就是管理员误操作搞的，我们都知道，我们局域网的唯一出口，3年前就有8道出口路由过滤的操蛋位置操作失误。而这个失误说来简单，就是GWF做网络指向的bind规则写错了，把访问所有网站的DNS转换全指向了那个IP。其实GWF是个统称，确实如楼上所说，第一步就是封锁DNS解析，为了做到这个，我们绝壁要控制DNS服务，从第一步就控制，这要不是大局域网的DNS指向规则写错了，把本来要屏蔽的IP指向换成了所有DNS解析都指向这个IP，我也把笔记本吃了。

symeteor

YIFAN03 发表于 2014-1-26 12:15
你认真看了那文章没有？全球有300多个真实的根服务器，它们互为镜像，使用any cast技术共享这13个中的12 ...

300多台。。互为镜像。。。。
你连主服务器和镜像服务器有什么区别都没搞懂。。。

你真的是搞it的么。。

symeteor

sssddt 发表于 2014-1-26 18:07
GFW的功能是过滤和阻隔，对内阻断某些访问境外不良网站的请求，对外阻断屏蔽境外对GFW和国家重点防卫的网 ...

DNS污染现在国内依然在用，而且是google退出中国后的几年才广泛在GFW上使用。这里说的DNS污染不是说去DNS服务器修改你的严明解析，而是GFW直接对你的查询返回DNS污染后的IP内容

注意到如下事实：现行标准中 DNS 查询通常使用 UDP 协议并且没有任何验证机制，并且根据惯例查询者会接受第一个返回的结果而抛弃之后的。

因此 GFW 只需监控 53 端口（DNS 标准端口）的 UDP 查询数据报并分析，一旦发现敏感查询，则抢先向查询者返回一个伪造的错误结果，从而实现 DNS 污染。

具体的你可以查下DNS污染列表，可以找到污染用的IP和被污染的DNS列表

前几个月国内还搞了开源项目来获取被污染的网站的真实IP

https://github.com/examplecode/gfw_dns_resolver

dlcat

symeteor 发表于 2014-1-26 18:51
DNS污染现在国内依然在用，而且是google退出中国后的几年才广泛在GFW上使用。这里说的DNS污染不是说去DNS ...

内行

sssddt

YIFAN03 发表于 2014-1-26 09:55
你在问问题，还是给答案啊？ 你要的答案不是在上面你自己回答了吗！

只要掌握了资源/技术，实行这样的攻 ...

因为有些境外势力有前科：
曾经发生过几十次违禁词方面用强大的卫星信号发射器干扰、压制、取代中国央视、地方卫视卫星直播信号，使用的是违禁词的节目源，信号发射地点在台湾
2002年6月23日至6月30日
发射的有“违禁词”内容的非法电视信号，干扰、攻击鑫诺卫星转发器传输的 “村村通”广播电视工程中的中央电视台9套节目和10个省级电视台节目，致使全国部分地区“村村通”用户长时间无法正常收看电视节目。
2002年7月9日—13日 违禁词攻击鑫诺卫星，恶意干扰中国教育电视台节目。
2002年９月８日发射的有“违禁词”内容的非法电视信号，干扰、攻击鑫诺卫星
2003年8月12日—13日 违禁词攻击鑫诺卫星。
2003年10月15日 违禁词攻击鑫诺卫星，恶意干扰央视等电视台转播“神五”新闻。
2004年11月20日 违禁词攻击亚洲3S卫星，恶意干扰北京、天津等电视台节目。
2005年3月14日21时34分，亚洲卫星公司所属亚洲３Ｓ卫星６个Ｃ波段转发器先后被宣传“违禁词”内容的电视信号蓄意干扰，致使租用该转发器的内地几个省级电视台正常的电视节目中断。
2005年7月3日晚，亚太卫星控股有限公司（亚太卫星集团）的亚太6号卫星部分转发器于遭到违禁词信号的干扰攻击，致使中国中央电视台及部分省卫星电视台的正常节目广播受到干扰或中断。

虽然卫星信号和互联网网络是不同的平台，但其手法及其相似！

sssddt

symeteor 发表于 2014-1-26 11:45
你连GFW的几种工作模式都没搞清楚。。。
GFW主要就是
1.强制断开连接，就国内的404

“至于为什么国内要比较长的时间才能恢复，有个东西叫DNS缓存。。。”

国内这种骨干DNS域名解析服务器都是有备用的，随时可以切换，DNS缓存之说并不成立！

YIFAN03

symeteor 发表于 2014-1-26 18:43
300多台。。互为镜像。。。。
你连主服务器和镜像服务器有什么区别都没搞懂。。。

你来说说这300多台物理服务器在实现服务上有什么区别？是如何实现负载分担的？你知道什么叫anycast不？

你前面说过了，在中国没有根域名服务器，wiki上说还有4台在提供服务，你说的对，还是wiki说的对，能否解释下？

symeteor

sssddt 发表于 2014-1-26 20:23
“至于为什么国内要比较长的时间才能恢复，有个东西叫DNS缓存。。。”

国内这种骨干DNS域名解析服务器都 ...

你真的是完全不了解什么叫DNS服务器。。。
真的懒得做科普了。。

什么是域名的TTL值？

TTL(Time-To-Live)，就是一条域名解析记录在DNS服务器中的存留时间。当各地的DNS服务器接受到解析请求时，就会向域名指定的NS服务器发出解析请求从而获得解析记录；在获得这个记录之后，记录会在DNS服务器中保存一段时间，这段时间内如果再接到这个域名的解析请求，DNS服务器将不再向NS服务器发出请求，而是直接返回刚才获得的记录；而这个记录在DNS服务器上保留的时间，就是TTL值。

一般来说TTL设置可以从30min到几天

更何况DNS这玩意是一级一级的，上级服务器更新了又不是下级马上会更新
你不会天真的以为全中国只有那几个DNS服务器把

YIFAN03

sssddt 发表于 2014-1-26 20:23
“至于为什么国内要比较长的时间才能恢复，有个东西叫DNS缓存。。。”

国内这种骨干DNS域名解析服务器都 ...

我觉得你根本就没弄明白DNS的工作原理

YIFAN03

dlcat 发表于 2014-1-26 18:08
楼上有人真是半吊子。
本人10年前建立过全套DNS的二级域名，说两个事实。
1、受影响在国内，DNS网站即使被 ...

我看你绝对是半吊子，看不懂你们这些半桶水的人说话怎么都这么牛B哄哄的

对DNS系统的攻击，不等于一定要入侵DNS服务器本身。只要在通信环节修改或者替换掉UDP数据包，就足以污染其中的数据。

比如如果修改了根域名服务器的返回数据包，就可以把后续的查询引导到伪装的2级域名服务器，这个伪装的2级域名服务器就可以为所欲为了。根本不需要入侵DNS服务器本身。

GFW做的更入骨，直接返回你需要的结果（不过是假的结果），都不给你查询域名对应的权威域名服务器：

YIFAN03

装的人真多，不知道的事情可以多google下，不要动不动就judge别人

harleyz

讲技术的人和讲政治的怎么能讲到一起嘛……

YIFAN03

dlcat 发表于 2014-1-26 18:08
楼上有人真是半吊子。
本人10年前建立过全套DNS的二级域名，说两个事实。
1、受影响在国内，DNS网站即使被 ...

咱半吊子再回下这位高手：

1--谁告诉你国内的根服务器全被封了？

2--除了我上面说的修改UDP数据（水平高的话，TCP一样注入/修改数据）可以攻击DNS服务外，还有其他手段可以入侵
DNS服务器。BIND server做到滴水不漏，不等于DNS服务器没有任何其他漏洞，技术上没有漏洞，不等于管理上没有漏洞。

任何一个漏洞都可能造成被入侵。

YIFAN03

busybeee 发表于 2014-1-26 12:51
BIND配置镜像需要Primary端允许。如果wiki里说的属实，那么国内那几台被剥夺权限之后只能算caching，不再是 ...

你们都仔细看么？ wiki里面说的，只是“中国大陆境内的I根域镜像被撤销路由通告”，其他的“中国大陆境内的F、J、L这3个根域4台DNS镜像（L有两台镜像）依然在提供服务。”

而且被剥夺权限，是指被撤销路由通告，也就是说没有查询会被路由到这个服务器。和你说的DNS Primary server，Secondary server是两回事。

4493

January 22, 2014 - China's DNS hijacking system - an updated report

in Press Release
In 2002, China started to use DNS hijacking technology to block web sites. Dynamic Internet Technology (DIT) released a report on October 2, 2002, to demonstrate how it works. We gain more insight into how China is using this technology throughout the years. On January 21, 2014, there was a large-scale Internet breakdown in China caused by this DNS hijacking system. It is a good time to release some of the additional information we have about the system.

What is DNS

DNS is a service that translates a domain name to an IP address. An IP address is what a computers use to find each other for further communication. DNS service is comparable to phone directory service to translate from human meaningful name to phone number. When a user uses a browser, say FireFox, to visit a web site, say http://www.epochtimes.com, FireFox will communicate with DNS servers to find out where is www.epochtimes.com (the IP address). Then, FireFox will communicate with www.epochtimes.com (the IP found) to display the web page.

What is DNS hijacking

When there is DNS hijacking for the websites that a user in China wants to visit, the user may encounter error messages or threatening messages from Chinese authorities, or the user may see the wrong website.

DNS hijacking happens when a rogue computer monitors the communications between a user and a DNS server, and replies with a wrong IP on behalf of the real DNS server. The process is similar to the movie "Ocean's 11" where thieves controlled the phone system of a Casino. When the Casino called for emergency service, a thief picked up the phone and sent the whole team of thieves into the vault of the Casino.

This kind of attack requires that the attacker be able to monitor all traffic of targeted users and needs the CPU resources to process all the data. This scenario is described in many security books for small company networks. But this kind of attack never happen in ISP level. ISP network is more complicated and does not have a single point to monitor all traffic.

Demonstrating DNS hijacking at home

The impact of China's Internet breakdown on January 21, 2014 is mostly over, but the DNS hijacking system is still in operation. One can still uses the websites it targets to get a taste of what was happening at during the breakdown.

In 2002, DIT listed about a dozen domains that were hijacked. Today, seven of them are still hijacked. They are:

www.renminbao.com
www.bignews.org
www.minghui.org
www.kanzhongguo.com
www.peacehall.com
www.epochtimes.com
www.tibet.net

If you have access to a computer in China. On linux, from a console, type this command:

host -t A epochtimes.com.dwlc 8.8.8.1

One will get reply of an IP like this:

epochtimes.com.dwlc has address 203.98.7.65

This IP has to be wrong because:

1) 8.8.8.1 is not an DNS server. Try the same thing from a U.S. computer, there will be timeout error.

2) epochtimes.com.dwlc is not a valid domain. A DNS server should reply "not found" instead of an IP. This reply has to be from DNS hijacking engine of the Great Firewall.

On Windows, the command to run from cmd.exe is:

nslookup epochtimes.com.dwlc 8.8.8.1

A short list of IPs are used by the engine. Here is what we collected:

159.106.121.75
203.98.7.65
243.185.187.39
37.61.54.158
46.82.174.68
59.24.3.173
78.16.49.15
8.7.198.45
93.46.8.89

This list has been changing slowly, and sometimes varies from ISP to ISP.

The above test also exposed one weakness of the system. It will match for substring "epochtimes.com". Without "epochtimes.com," there won't be such reply. Domain contains epochtimes.com will be hijacked as well, like epochtimes.com.cn.

If this DNS hijacking engine blacklists a blank string, all domains will be hijacked. This is what happened on January 21, 2014.

It is understandable that a blank line at the end of some text is hard to recognize.

Demonstrating DNS hijacking at US home

On a Linux computer in US, try:

host -t A epochtimes.com.dwlc 163.com

163.com is a web site in China. It is not a DNS server. Moreover, epochtimes.com.dwlc does not exist. But the above command will receive DNS reply like:

epochtimes.com.dwlc has address 203.98.7.65

This happens because of another defect of the the DNS hijacking engine. It cannot tell if the DNS query is going out of China or into China. It is monitoring all traffic in and out of China, and replies with the wrong IP when the blacklisted domains are matched. This “feature” makes it possible to research the DNS hijacking engine from location outside of China.

Deployment of the DNS hijacking engine

Since all the targeted domains are located outside of China, the most efficient location to deploy the system is close to an international gateway and to monitor all the traffic going in and out of China.

As of December 2013, CNNIC reported more than 3400Gbps with year growth of 79.3 percent. To monitor this rapidly growing traffic for the purpose of DNS hijacking, they system has to keep upgrading with more servers and newer CPUs.

On January 21, 2014, when all domain names were pointed to a Freegate IP, only this DNS hijacking engine has sufficient resources located at a strategical location to be able to do it. No hacker can possibly deploy and control resources to manipulate 3400Gbps traffic accurately only to target the DNS related communications.

More details about the 21st incident

Lots of information was posted around the Web about that IP used to map all domains. This plethora of information is a result of different level of ownership of IP resources. This IP is used by DIT operating FreeGate related service. It was not running any Web server when the incident happened. We tried to run website on it after we learned of the incident, but we were unable to deliver any webpages since all replies were blocked from entering China.

FAQ about user experience

After the incident is over, why are many users still experience problem when visiting websites?

This is the result of DNS cache. DNS servers in China saved the wrong translation results. Because of the cache, users will be sent to the wrong IP until the cache is cleared.

I use Google's oversea DNS server 8.8.8.8. How come I am affected as well?

DNS hijacking affects all DNS queries going in and out of China. In China, you can always verify DNS hijacking by doing "nslookup epochtimes.com 8.8.8.8" on Windows computer. This reply of wrong IP does not need hacking of Google’s 8.8.8.8 server.

Why were .cn domains not affected?

Because .cn domains are resolved inside China. The process will not hit the DNS hijacking engine located near an international gateway.

Why did no ISP give an official explanation?

The Chinese government put the DNS hijacking engine into each ISP's facility. The Chinese government never acknowledges the existence of its Great Firewall, not to mention the DNS hijacking engine. No ISP dares to confirm the existence of this DNS hijacking engine.

dlcat

YIFAN03 发表于 2014-1-26 21:40
咱半吊子再回下这位高手：

1--谁告诉你国内的根服务器全被封了？

你能看懂我说的话么，中国已经不再是认证的根服务器，但中国自己有DNS服务器提供，类似私服，这话看不懂？
用UDP的做DNS欺骗？？？

你真实的IP地址哪里来的，自己能做出来？并且影响全国，不和原本的IP地址冲突，并且能让路由器找到你这个伪装的IP并认证为真实的？？？
这个手段能成功的可能类似你带个面具说自己是习总，然后全国人民都相信。
我不敢说自己是高手，但是起码有真实的DNS服务器架设的10来年经验，初通原理，从你的想象来看，你不但不懂DNS的原理，连第三层路由的原理都不熟悉。