暴風(fēng)門事件(Storm scandal;Storm gate event )。

暴風(fēng)門事件也叫5·19網(wǎng)絡(luò)故障事故，是指2009年5月19日21時(shí)起，中國互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應(yīng)，出現(xiàn)了大范圍的網(wǎng)絡(luò)故障。

 CNNIC解密網(wǎng)絡(luò)故障全過程

關(guān)于網(wǎng)絡(luò)故障的原因及技術(shù)原理，眾說紛紜，莫衷一是。對(duì)此，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)副主任兼總工程師李曉東博士認(rèn)為，引發(fā)本次網(wǎng)絡(luò)故障的第一張骨牌是DNSPOD遭遇網(wǎng)絡(luò)攻擊，而安裝有暴風(fēng)影音的千萬臺(tái)電腦則成為引發(fā)整個(gè)網(wǎng)絡(luò)故障連鎖反應(yīng)的重要推力。

中國網(wǎng)絡(luò)故障“第一張骨牌”

BAOFENG.COM是北京暴風(fēng)科技公司擁有的域名，用于其公司的各項(xiàng)互聯(lián)網(wǎng)業(yè)務(wù)，該域名由北京暴風(fēng)科技委托另外一家公司(DNSPOD.COM)代為運(yùn)維管理，日常查詢量比較大。

李曉東博士表示，此次故障的起源點(diǎn)在于DNSPOD.COM被人惡意大流量攻擊，承擔(dān)DNSPOD.COM網(wǎng)絡(luò)接入的電信運(yùn)營商斷掉了其網(wǎng)絡(luò)服務(wù)。這是導(dǎo)致本次網(wǎng)絡(luò)癱瘓的第一個(gè)骨牌。

網(wǎng)絡(luò)故障的第二張骨牌

李曉東表示，事實(shí)上，第一輪的網(wǎng)絡(luò)故障早在當(dāng)晚21時(shí)前就已開始。當(dāng)時(shí)，由于DNSPOD網(wǎng)絡(luò)服務(wù)被中斷，致使其無法為包括BAOFENG.COM在內(nèi)的域名提供域名解析服務(wù)，諸多采用DNSPOD服務(wù)的網(wǎng)站無法訪問。這些采用DNSPOD服務(wù)的網(wǎng)站或者網(wǎng)絡(luò)服務(wù)(包括暴風(fēng)影音在內(nèi))同時(shí)成為此次網(wǎng)絡(luò)故障的第二張骨牌。

本來DNSPOD的故障不一定會(huì)對(duì)互聯(lián)網(wǎng)造成大面積的擴(kuò)散影響，但是由于暴風(fēng)影音的安裝量巨大和網(wǎng)絡(luò)服務(wù)的特性，使得暴風(fēng)影音成為此次網(wǎng)絡(luò)故障的焦點(diǎn)，被推向輿論的風(fēng)頭浪尖。

據(jù)了解，暴風(fēng)影音軟件的部分在線服務(wù)功能必須基于BAOFENG.COM域名的正常解析，DNSPOD網(wǎng)絡(luò)服務(wù)被中斷后，暴風(fēng)影音的網(wǎng)絡(luò)服務(wù)因此受到影響，第二張骨牌被推倒。

網(wǎng)絡(luò)故障的第三張骨牌

李曉東表示，第三張骨牌就是電信運(yùn)營商的本地域名服務(wù)器。因軟件網(wǎng)絡(luò)服務(wù)的需要，使得安裝有暴風(fēng)影音的電腦不斷發(fā)起域名解析請(qǐng)求，成為推倒第三張骨牌的重要推力。

根據(jù)域名系統(tǒng)的解析原理，由于本地域名服務(wù)器(專業(yè)上稱為“遞歸服務(wù)器”)有地址緩存，超千萬的暴風(fēng)影音安裝用戶，僅需在本地網(wǎng)絡(luò)接入服務(wù)商處就可查找到BAOFENG.COM的解析地址，找到暴風(fēng)影音的網(wǎng)站。

安裝了暴風(fēng)影音軟件的用戶電腦產(chǎn)生的巨量域名請(qǐng)求擁塞了為這些用戶提供服務(wù)的各地電信運(yùn)營商的本地域名服務(wù)器，導(dǎo)致多個(gè)省份的本地域名服務(wù)器出現(xiàn)故障甚至無法提供正常服務(wù)，第三個(gè)骨牌就此岌岌可危乃至最終倒掉。

第三張骨牌是此次故障的關(guān)鍵

李曉東告訴記者，第三張骨牌是互聯(lián)網(wǎng)服務(wù)的關(guān)鍵環(huán)節(jié)。電信運(yùn)營商的本地域名服務(wù)器出現(xiàn)擁塞甚至無法服務(wù)后，使用這些本地域名服務(wù)器的其他互聯(lián)網(wǎng)用戶也無法上網(wǎng)，進(jìn)而導(dǎo)致更大范圍內(nèi)的用戶聲報(bào)網(wǎng)絡(luò)故障。

域名系統(tǒng)安全與網(wǎng)絡(luò)故障

域名作為廣大民眾訪問互聯(lián)網(wǎng)的起點(diǎn)和入口，是全球互聯(lián)網(wǎng)通信的基礎(chǔ)。而域名系統(tǒng)作為承載全球億萬域名正常使用的系統(tǒng)，是互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施，其作用相當(dāng)于互聯(lián)網(wǎng)的中樞神經(jīng)系統(tǒng)，域名系統(tǒng)的故障會(huì)導(dǎo)致互聯(lián)網(wǎng)陷入癱瘓。完整的域名系統(tǒng)由遞歸域名服務(wù)系統(tǒng)(即本地域名服務(wù)器)、根域名服務(wù)系統(tǒng)、頂級(jí)域名服務(wù)系統(tǒng)以及各級(jí)域名服務(wù)系統(tǒng)等四個(gè)層級(jí)構(gòu)成。簡單的說，廣大民眾訪問一個(gè)網(wǎng)站或其他互聯(lián)網(wǎng)服務(wù)時(shí)，需要在全球網(wǎng)絡(luò)中完成對(duì)應(yīng)四個(gè)層次的查詢。因此，任何一層出現(xiàn)故障，都會(huì)導(dǎo)致相應(yīng)范圍的網(wǎng)絡(luò)應(yīng)用癱瘓，大到一個(gè)國家和地區(qū)的網(wǎng)將絡(luò)全面癱瘓，小到某個(gè)網(wǎng)站將無法訪問。

李曉東表示，域名系統(tǒng)是一種公開服務(wù)，歷來是被攻擊的對(duì)象，從本次網(wǎng)絡(luò)故障發(fā)生的過程來看，相關(guān)機(jī)構(gòu)對(duì)域名系統(tǒng)的重要性認(rèn)識(shí)不足，重視程度顯然不夠，安全保障能力比較低。

網(wǎng)絡(luò)故障事故反思

域名安全如空氣“牽一發(fā)而動(dòng)全身”

李曉東建議，一方面，提供公共域名服務(wù)的機(jī)構(gòu)應(yīng)提高自身安全防御和抗攻擊能力;另一方面，擁有大量用戶的互聯(lián)網(wǎng)軟件也應(yīng)審慎考慮，優(yōu)化軟件安全性，避免一不小心成了分布式拒絕服務(wù)攻擊(DDOS)的幫兇。

此次網(wǎng)絡(luò)故障所涉的三張骨牌都是攻擊受害者，估計(jì)黑客攻擊DNSPOD時(shí)也沒預(yù)料到攻擊會(huì)產(chǎn)生如此惡劣的后果，最終釀成大范圍的網(wǎng)絡(luò)癱瘓。域名系統(tǒng)就像是“空氣”，平時(shí)我們感覺不到它的存在，但是一旦出現(xiàn)問題，其影響可能是“致命”的。因此，李曉東呼吁：希望大家攜手共同努力，重視并加大各個(gè)層級(jí)域名系統(tǒng)保護(hù)力度，為億萬網(wǎng)民營造一個(gè)“安全、可靠”的互聯(lián)網(wǎng)環(huán)境。

BAOFENG.COM域名解析過程

在有本地緩存的情況下，本地域名服務(wù)器直接指向BAOFENG.COM域名服務(wù)器，無需再往上一級(jí)查詢了。

說明：本次網(wǎng)絡(luò)癱瘓的重要原因是，DNSPOD遭遇網(wǎng)絡(luò)攻擊，遭到電信運(yùn)營商斷網(wǎng)處理，致使其托管數(shù)十萬域名無法正常解析。通常情況下，如果是網(wǎng)民在地址欄輸入“BAOFENG.COM”等托管域名，因?yàn)闊o法訪問，網(wǎng)民就不會(huì)再次輸入相關(guān)域名請(qǐng)求解析。但是，本次網(wǎng)絡(luò)癱瘓中，發(fā)起請(qǐng)求的不僅是網(wǎng)民，更多的是安裝網(wǎng)民電腦中的暴風(fēng)影音軟件，它不像人是有智慧的，在訪問不成功后會(huì)自動(dòng)放棄，程序的設(shè)計(jì)導(dǎo)致其無法訪問時(shí)會(huì)持續(xù)不斷發(fā)起訪問請(qǐng)求，而且這些請(qǐng)求全部擁塞在本地域名服務(wù)器中，無法轉(zhuǎn)送到DNSPOD完成BAOFENG.COM解析，大量擁塞的請(qǐng)求占用了大量的服務(wù)器處理性能，進(jìn)而導(dǎo)致本地域名服務(wù)器無法對(duì)其他的正常請(qǐng)求進(jìn)行解析，并最終釀成大規(guī)模的網(wǎng)絡(luò)故障。