华夏快递 : 解滨:大断网后的发现:中国防火墙是个大流氓!

 华夏快递 : 解滨:大断网后的发现:中国防火墙是个大流氓!  ( 链接 )
发布者 HT 在 14-01-27 08:36 

现代德国为后人留下的最珍贵的历史遗迹,不是布兰登堡门,也不是犹太人被害纪念碑,而是柏林墙。 今天的中国将给几十年、几百年后留下些什么历史遗迹呢? 您可以例举的东西很多,但有一样东西是一定要为后人所记住的,这就是今天中国的防火墙。 它虽然看上去没有柏林墙那么直观、冰冷和坚硬,但两者具有类似的功能。 一个是拿来不让人民投奔自由的,另一个是拿来不让人民思想自由的。

中国的防火墙跟柏林墙有一点不同之处,这就是它既不是围的那么严丝合缝也不是那么坚不可摧。 而且这堵墙有时会做出些令人啼笑皆非的事情来。

越来越多的证据显示,上个星期二,也就是2014年1月21日,中国的防火墙跟自己开了个天大的玩笑,采取了一个大无畏的革命行动 ——挥刀自宫,把中国互联网给一刀“咔嚓”了,开了一个国际大玩笑!

从北京时间1月21日下午3点20分开始,国内的网民们突然无法访问所有的以 .net, .com, .org结尾的域名的网站上了。 这下子麻烦大了,因为这三个域名囊括了世界上大多数的网站。 中国差不多三分之二的国内网站也是使用这几个顶级域名的,例如百度、腾讯、天猫、新浪微博、CNTV、乐视等大型门户、视频网站。 当网民们无法访问这几个域名的网站时,全国的网上交易和电子商务几乎都停顿了,电脑的杀毒数据更新停止了,商务电子邮件停送了……,全国亿万网民傻眼了:这TMD出了啥事啊?

这个状况一直持续了2-11个小时,各地有所不同。

一不小心,这成了互联网有史以来最大规模的一次断网。

当时的情况是这样的:下午3:20起,中国所有的顶级域名解析都突然发起傻来,谁要是访问任何以 .net, .com, .org结尾的域名的网站,人们统统被送到65.49.2.178这个IP上,而这是一个翻墙代理服务器提供商的IP。

事发以后,政府的解释是:这是黑客所为。 这玩笑开的有点大了,骗傻瓜不是? 现在我来试用最简单的语言告诉你为什么那是放屁。

互联网上每一台设备都是靠一个数字表明自己的位置的,不然无法和别的设备通讯。 这个数字就叫IP address,简称IP。 互联网上有成亿台设备,人类的脑瓜子十分愚钝,谁都没法记住这么多的数字。 于是域名服务器(DNS)这种东东应运而生,来替我们记住那些数字。 人们只需要记住域名,例如baidu.com、qq.com等就可以了,让域名服务器来解析成IP,这样您就可以轻松愉快地上网销魂而不必死记硬背那些数字了。

有一天,有个流氓设法在您的电脑和域名服务器之间做了点手脚,当您要去访问一个网站时,那坏蛋看到您请求解析,就拿一个错误的IP给你,让您跑到另外一个网站上去。 例如您要去淘宝,您的电脑却鬼使神差地把您带到了中国红客网站。 这种诡计,就叫做域名服务器劫持(DNS Hijacking),这是黑客的怪招之一。

1月21日的那个情况,确实很像域名服务器劫持。 但诡秘的是,全中国所有的计算机都被“劫持”了。 这TMD邪门了,谁有这么大的本事,居然劫持了全国每一台电脑,不管谁要访问任何一个以 .com,.net 或 .org结尾的域名的网站时,就把你带到65.49.2.178那里去玩玩。 这哥们需要在全国各大主干网络的节点上都设立一道关卡,不然根本没法进行这种规模的劫持。 这是哪个黑客干的呢? 我可以告诉您:这样的黑客还在他娘的肚子里,他能不能生出来还是个大问题。 那么,谁才有如此强大的权力和资源呢?

还有一个办法,有的黑客不用劫持就可以忽悠你,这就是干脆入侵域名服务器,弄砸解析规则。 这个伎俩叫做“DNS poisoning”,中文翻译成DNS污染。 这个可能性是有的。 可是已经过去好几天了,官方也应该可以拿出一点黑客入侵的forensic evidence了吧? 拿不出来! “我轻轻地走,正如我轻轻地来,挥一挥衣袖,不带走一片云彩”—— 这样的黑客还没有诞生。 如果找不到任何黑客的蛛丝马迹,那就是下面一种情况了。

这样一来,就只剩下最后一种可能性了:假如中国的顶级域名服务器(由DNSPod管理),给某个流氓开了一个大大的后门,这流氓随时可以改写任何解析规则,让任何一个网站在中国人间蒸发,或者干脆被“流放”到另外一处。 那么,1月21日那天发生的事情就可以理解了。

现在我们可以想象出来,有一个神通广大的家伙,头天晚上泡妞时叫人给宰惨了,那天又喝高了,本来那天他是应该写一条规则,让全中国的DNS服务器都拒绝对IP 65.49.2.178的域名作任何解析,因为那是某个反动组织的IP。 为了确保万无一失,万一有人(多半是翻墙者)提出这种解析需求时,就对其进行拦截或者劫持。 但这家伙酒还没有醒,还对昨晚泡妞时的晦气耿耿于怀,于是他乱写一通,居然阴错阳差地把所有的以.com,.net和.org域名结尾的网站一律掳到65.49.2.178那里,这就造成了全国大断网。 等到人家发现问题时,大家都吓得尿裤子了:一定要等到缓存TTL(time to live)规定的时限到期后才可以把这个问题纠正过来。 这时候某部门的同志们个个急得想撞墙或跳楼,眼看大断网在全中国发生了,却束手无策,最后只好打电话通知各大通讯商,让人家手工刷新DNS服务器的缓存,这才把问题修好。 这时候全国范围已经断网好几个小时,世界纪录已经产生啦!

那么,这个醉鬼是谁呢? 他就职于中国某个秘密部门。 这个部门,就是中国防火墙管理机构。

一不小心,这醉鬼造成了互联网有史以来最大面积的断网。

问题出在哪呢? 问题并不在那个家伙头天晚上不该去泡妞,他喝酒也不是什么大问题,反正人人都喝。 问题就出在中国防火墙本身。 互联网当初设计出来就是为了“通”,而中国有这么一个神通广大的互联网管理机构,他们唯一的任务就是“堵”。 经过这些同志们多年的努力,整个中国的互联网就是一道立体全方位超级防火墙,从每台服务器就开始堵,每个节点都设防,一直到和国际网络的交接点,层层设防。

这样以“堵”为目的的网络,不出问题才怪!

专家们设计互联网的初衷,就是要建立一个无论发生了什么事情都断不了的网。 但是在特色中国,互联网的设计却是以断网为目的的。如果政治上需要断网,随时随刻必须断。 如果有人说1月21日那件事不过是中国防火墙换上华为的设备后进行的一次断网测验,我也会接受的。

说透了,中国防火墙本来就没有必要存在!那玩意儿是互联网上最大的流氓!

他们处心积虑地要堵什么呢? 谁都知道,无非是要堵住境内外一切不河蟹的声音。 可是堵得住吗?

流氓有术,也有效,然而有限。 所以以此成大事者,古来无有!

这是我五年来第三次郑重呼吁:尼玛,拆掉那座防火墙吧!

参考文献:2014 年 1 月 21 日中国互联网根域名服务器 (DNS) 故障是什么原因?

http://www.zhihu.com/question/22572025/answer/21822396
登录后才可评论.