12/05/2010

中国根服务器DNS污染



国的第一次DNS污染发生在2010年3月,当美国和智利的用户试图访问流行社交网站如facebook.com、youtube.com和
twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS信息;据
IETF DNS
operations邮件列表的讨论,一位来自智利域名注册商的技术人员周三称,他们在DNS根服务器“i.root-servers.net”的一个节
点上观察到了奇怪的响应行为,当用户查询facebook.com、youtube.com和
twitter.com等域名时,返回的是虚假的IP地址,没有转到.com。正常情况下,DNS根服务器只会提供一个正确的顶级域名服务器指示,在此例
中用户查询的.com顶级域名服务器由美国弗吉尼亚州的VeriSign公司运行。他们根据路由追踪发现这个节点位于中国。


i.root-
servers.net的一位工作人员表示正对此展开调查。很多人指出中国根服务器DNS污染已经发生过多次,而一位自称管理根服务器中国镜像的
ICANN机构的人员声明,ICANN与此事无关。中国的DNS污染通过DNS根服务器波及到了智利和美国等国的计算机,由于直接影响到了智利和美国互联
网络,一台位于中国的DNS根服务器被切断互联网络链接。服务器的操作者Netnod确认了这一行为,并表示由于来自中国的网络审查制度影响到了一些互联
网站点。



天后,中国根服务器运营商Netnod,似乎已经解决了导致facebook.com、youtube.com和
twitter.com等网站域名解析无意定向到中国的问题。维护根服务器中国镜像的Netnod,“撤回了中国服务器的路由通告”,从而事实上切断了与
互联网的连接。


Netnod坚称,它的服务器不包含重定向互联网流量的错误数据,安全专家对此也表示认同,他们认为DNS问题可能是中国政府修改某处网络时造成的。

NIC
智利在之后周五的新闻发布会上说到,VTR、Telmex和其他几个ISP的上游提供商–环球电讯(Global
Crossing)受到影响,最早从周三就开始有报道,但显然再早的几天就有了。另外NIC智利提到他们位于加州的服务器也同样受到了冲击,错误DNS信
息来源自何处尚不明确,也许是通过Equinix,或者是通过Network Solutions。


Network
Solutions的工程部副总裁Rick
Wilhelm声明他们并没有为NIC智利提供服务,另外Equinix和环球电讯没有立即发表任何声明。Netnod维护了一台DNS根服务器位于中国
的镜像服务器,现在已经开始在服务器上执行撤回路由广播的操作。公司CEO Kurt
Lindqvist在一封给记者的电子邮件中说到,他”不记得”关闭了此台服务器的互联网链接。


Netnod坚持他们的服务器并没有包含重定向网络链接的错误信息,一些安全专家也表示,这些数据有可能被中国政府在中国的互联网的某处进行了替换,而这个替换的目的就是为了加强整个国家的GFW[墙]。


二次DNS污染发生在2010年4月8日关于BGP(边界网关协议)劫持。一家叫IDC China
Telecommunication的小型ISP的错误路由数据,经过中国电信的二次传播,扩散到了整个互联网,波及到了
AT&T、Level3、Deutsche Telekom、Qwest
Communications和Telefonica等多个国家的大型ISP。事故始于美国东部时间上午10点,持续了大约20分钟。在此过程中,有
32,000到37,000个网络接收到了错误的数据,包括8,000个美国网络,超过8,500个中国网络,1,100个澳大利亚网络,230个法国网
络。



在,安全专家发出警告,中国的审查正威胁到其边界之外的区域,影响到生活在中国之外的网民。中国拥有三台镜像DNS根服务器(F-、I-和J-),根据安
全公司Renesys的数据,全球57%的DNS查询是通过位于中国的根服务器完成,中国周边地区如俄罗斯、东南亚最受影响。中国的DNS污染正成为互联
网安全和自由的真正威胁。