中国国家域名“遭袭”事件

CNNIC遭网络攻击？
《ｅ时代周报》对此事进行调查发现网址后缀是．ｃｎ的网站连接都很困难，即使连接上了速度也特别慢，而后缀是．ＣＯＭ的网站连接是正常的。在国内门户网站里面只有新浪网一家使用了．ｃｎ域名（ｗｗｗ．ｓｉｎａ．ｃｏｍ．ｃｎ），然而国家机关及国务院各部委的绝大多数网站都使用了．ｃｎ域名。由于新华社使用的是国际顶级域名，所以没有受到影响。
我国国内域名的管理机构是中国互联网信息中心（ＣＮＮＩＣ）。那么，．ｃｎ域名登录不上去是否与ＣＮＮＩＣ有关？
《ｅ时代周报》联系到ＣＮＮＩＣ有关人士，据该人士透露：大量非正常访问造成ＣＮＮＩＣ数据库系统拥塞，域名访问出现问题，．ｃｎ域名数据库出现少数域名无法解析的异常情况，致使包括新浪网在内的部分网址曾一度无法访问。ＣＮＮＩＣ方面表示，该事件是由网络攻击造成。
ＣＮＮＩＣ系统运行管理人员在紧急启用备份数据库后，．ｃｎ域名解析才全面恢复正常。后经调查发现，该非正常访问来自某固定ＩＰ地址段，该地址段属于河南郑州某网络公司所有，从该ＩＰ地址段对ＣＮＮＩＣ注册数据库发来巨量域名注册查询信息，造成数据库负荷持续加大。ＣＮＮＩＣ查封了该ＩＰ地址段，封存了有关数据记录，并向国家网络安全有关部门报告了此次事件。
也就在２２日的晚上，新浪网发布消息称：据ＣＮＮＩＣ技术人员分析，郑州的这家网络公司很可能是为了大量获取ＣＮＮＩＣ域名注册数据库中的用户注册信息进行商业活动，自行编辑了查询软件，对ＣＮＮＩＣ域名数据库中的域名注册信息进行查询，该查询采用了按字母顺序的“穷举”查询方式，并且可能同时打开多个查询进程，所以才会对数据库造成如此大的影响。据专家介绍，发送大量的非正常服务请求是Ｄｏｓ??拒绝服务??攻击的一种方式。ＣＮＮＩＣ也发表了《关于部分．ｃｎ域名解析失常的说明》。
ＣＮＮＩＣ办公室主任刘志江在接受《ｅ时代周报》采访时说：“此次非正常访问是从２２日凌晨开始的，由于这是属于正常查询和正常更新的范围，虽然当时也发现了个别网站访问难的问题，但认为是个别现象。但是等到国外的合作伙伴打来电话，同时发现新浪网上不去时才意识到了问题的严重性。直到２２日中午，ＣＮＮＩＣ分布在全国的六台服务器才全部更新完毕。”

“非正常访问”另有隐情？
２月２３日上午，这次事件的始作俑者河南郑州某网络公司的负责人主动与ＣＮＮＩＣ取得了联系，当日下午，该公司高层紧急飞往北京与ＣＮＮＩＣ进行沟通。
当天晚上，郑州某网络公司负责人对有关媒体表示：“我们没有做任何‘黑客攻击’ＣＮＮＩＣ的事情，也没有和ＣＮＮＩＣ有任何的宿怨。”“这原本就是一场误会，一次无意中发生的事情。”
《ｅ时代周报》与郑州的这家网络公司杜姓负责人取得了联系，据这位负责人解释，他们正在和当地的一家政府机构合作建设一个网站，需要到．ｃｎ域名数据库中获取资料，于是编写了一个软件来自动抓取，但是没有想到，他们误把手工查询的地址当成了机器查询的地址，于是发生了这起事件。２３日下午，该公司的高层人物飞来北京处理此事。
当时，ＣＮＮＩＣ刘志江也向在场的媒体记者表示，从结果分析来看，该公司进行的是很正常的查询，而不是超大量的、很密集的Ｄｏｓ攻击，虽然手法不一样但是所造成的结果是完全一样的，所以一开始ＣＮＮＩＣ判断的并不是恶意行为。他说：“这次是ＷＨＯＩＳ数据库查询，这家公司编写了一个程序，数量很多，数据很密集，导致系统处理减慢。”
据了解，ＷＨＯＩＳ数据库是为全球互联网用户提供的域名注册信息查询。按照推论，如果不是故意的恶性攻击的话，那么这家公司负责人对《ｅ时代周报》所说需要获取的资料正是这些信息。根据ＣＮＮＩＣ事后的统计，当时有９７％的访问数据是来自这家公司所拥有的这个ＩＰ地址段。
截止到目前，ＣＮＮＩＣ先后发布了两个截然不同的结论，一是遭受网络攻击，二是由“非正常访问”造成了此次的事故。那么事实到底是怎么样的呢？
郑州“肇事”网络公司的负责人对《ｅ时代周报》说：“目前，最终的结论和处理办法还没有出来，所以其他一些具体的细节问题不方便透漏，但是，有一点要再次声明，我们业务上和ＣＮＮＩＣ没有直接联系，并不是外界传言我们是ＣＮＮＩＣ的．ｃｎ域名的代理商。”这位负责人还表示，事件最终的结果出来后，将在第一时间通知《ｅ时代周报》。
事件发生后有业内人士分析，事情并非如此简单，按照这位人士说法，此事还有多个疑点，郑州的这家网络公司为何会了解ＣＮＮＩＣ的ＷＨＯＩＳ数据库漏洞？又要用比正常“穷举”高５０倍的程序攻击？还有，为什么会明目张胆地公开ＩＰ去“猎取”ＣＮＮＩＣ的ＷＨＯＩＳ数据库。
这家网络公司的负责人给《ｅ时代周报》作出了解释：ＣＮＮＩＣ的ＷＨＯＩＳ数据库端口是公开的，至于用了比正常“穷举”高多少倍的程序攻击要问ＣＮＮＩＣ，这个数据只有ＣＮＮＩＣ能统计，我们没有故意去做，自然没有留意或者说在意ＩＰ地址是否公开。
ＣＮＮＩＣ方面也表示，ＷＨＯＩＳ数据库非常重要，要为客户提供相关查询服务，不能关闭。一般的做法是，发现恶意查询，就迅速封闭该ＩＰ地址，但这样做是很谨慎的。

域名解析失常凸显网络安全难题

据了解，此次事件发生后，ＣＮＮＩＣ紧急召开系统管理相关部门的会议，分析此次事件的原因，并提出今后防范的措施。刘志江介绍说现在已经开始在制订方案对系统和硬件进行升级，以保证类似事件不再发生。
中化网总经理孙德良对《ｅ时代周报》谈了他对这起事件的看法。
“发生这样的事情是正常的，不管是在国内还是国外，域名跟服务器都会经常遭到各种各样的网络恶意攻击。但这次事件也再次敲响了网络安全的警钟，完全避免此类事件的再次发生是不可能的。技术再完善，也不能完全避免黑客的攻击。”
在去年，全球１３个域名跟服务器同时遭到恶意攻击。负责管理ＣＯＭ域名解析的世界上最大的域名注册服务商ＶｅｒｉＳｉｇｎ以及韩国国家域名管理机构（ＫＲＮＩＣ）都曾有过域名解析异常的报告。在互联网发展的早期阶段，域名跟服务器被攻击更是经常发生，令人啼笑皆非的是发生“域名”被劫持的事。
当年，广州１６３电子邮局的众多用户发现无法进入１６３电子邮局。输入ｗｗｗ．１６３．ｎｅｔ后总是被引入一个写有“ｗｅｌｃｏｍｅ ｔｏ ｗｗｗ．１６３．ｎｅｔ”的页面，然后再也无法登录进入１６３电子邮局收发邮件。１６３电子邮局陷入了瘫痪状态。１６３电子邮局属于国际域名，其ＤＮＳ解析是在美国设定的，经查１６３电子邮局的域名解析服务器被改成ＮＳ０６．ＧＴＥ－ＨＯＳＴＩＮＧ．ＮＥＴ，ｗｗｗ．１６３．ｎｅｔ的解析被改成２０８．５５．４５．１９５。
从目前看，这次的事件还没有造成严重的后果，但也让人捏了一把汗。由于．ｃｎ域名是中国的顶级域名，我国中央机关、国务院各部委的网站都使用的．ｃｎ的域名，一旦域名解析出现问题将直接影响到国家的安全。再则，随着ＣＮＮＩＣ．ｃｎ域名在全国的推广，越来越多的中国企业和商业网站开始使用．ｃｎ域名，这也标志着．ｃｎ域名根服务器的安全问题更加重要。
据刘志江对其他媒体透漏：“这次损失不好估算。一是数据已经被覆盖，不好计算到底有多少没有被更新。二是７分钟内应该更新完的数据更新了一个小时，即使没有更新完毕，剩下的也应该不多，再加上事情出在周末，所以影响不是很大。”但是刘志江提醒到，由于互联网技术本身的缺陷，Ｄｏｓ攻击很难予以有效防范。即使是这次善意的查询，导致的结果也和Ｄｏｓ攻击很类似。
对于此事件发展《ｅ时代周报》将进一步关注，请广大读者关注有关后续报道。

《e时代周报》其他相关报道：中国国家域名“遭袭” 新浪网即将抛弃.cn域名www.etimeweekly.com