原文作者:sina.tech 記者 譚人瑋
相關報道: 全國互聯網群發性故障 原因無定論
有專業人士認為此次事件雖至今未見網站被黑、信息被盜等報告,但足以體現中國網路安全體系的脆弱
上網高峰時段,網路斷了。習慣了在網上衝浪的上千萬人突然在同一時間掉下了水——4月11日晚10時左右,一起全國性的網路斷網事故發生,習慣於網路生存的網民們被生生地拽出虛擬世界。各地的電信報障電話「10000」很快接到大量的用戶投訴。中國電信杭州市分公司工作人員稱:「接到上級通知,說在晚上10時左右杭州發生了大規模的斷線問題,但在10時57分已恢復正常。具體原因我們還不是很清楚。」廣州電信的一位技術支持人員接受採訪時稱,當時廣州電信正在進行網路系統的軟硬體升級,所以導致廣州出現了十幾分鐘到一個小時左右的網路中斷。
當晚10時43分,中國著名網路論壇天涯社區里有一網名為「中國人民大團結」的網友發帖問:「太可怕了!剛才是全國性斷網嗎?」並希望其他各地的網友反映情況並留下所在地信息。跟帖意外熱烈,據當晚統計,北京、廣東、浙江、河北、江蘇、湖北、陝西、湖南、福建、陝西、上海、江西、四川、河北、武漢、雲南、浙江、河南、黑龍江、寧夏、西藏等省市區都有網友回帖稱網路不通。網路運營商包括了中國電信、網通、長城寬頻、聯通、鐵通等主要的幾大互聯網運營商。還有網友反映教育網也斷了。所有的反映,時間幾乎都指向同一點:4月11日晚10時左右。
中國電信:故障原因正在詳查
廣東省電信公司數據通信局副局長黎曉表示,沒聽說有全國性的斷網事件,從網路結構上說,這樣的事件幾乎不可能發生。國家計算機網路應急技術處理協調中心廣東負責人宋宛接受本報記者採訪時證實,確有一次大規模的斷網事件,主要是電信的骨幹網出現問題,網通等其他運營商沒事,之所以出現其他運營商的用戶反映不能上網,一個是因為大部分運營商還是用的電信的骨幹網,另一個,可能是其他運營商與電信之間互聯互通時產生的問題。
中國電信集團綜合部發言人李魯濱4月12日表示,故障原因正在由技術部進行詳查,目前尚無結論。中國電信會在有關結論得出之後,在新華網等處進行公告。
據記者從網通公司內部了解到的情況,網通全國數據交換中心顯示,當時並未出現骨幹網的斷網。另據報道,中國網通網管中心IP網管理部經理岳玲和同事對11日的網路故障進行了熱烈的討論。當天進行的全網檢查,中國網通沒有發現網路流量等數據在11日當晚有異常現象。
故障分析:攻擊手法可能是DDoS
天涯社區上一位來自浙江的網友「心不太圓」說,「向『10000』諮詢。得到的客服的回復是:遭受黑客攻擊。」網友「重名有罪」於4月12日晚9時跟帖稱,在QQ上有人告訴他「4月11日晚上10時開始,華中、華南、華北、華東等地區的網路通信均大面積地停止服務。在2005年4月11日22:10至22:30,時間長短不等,現在我國的網路通信出國口依然緩慢!!!!!」
12日的另一個消息,則聲稱是中國的黑客組織所為:
「『黑客城市』首次攻擊電信成功!這次行動……其成果是造成各大城市的電信主網路掉線5分鐘!」
搜狐廣州分公司的技術工程師郭冉分析說,其實黑客要實現這樣的攻擊幾乎是不可能的。互聯網真的好像一張網,從一個點走向另一個點,其中一條線斷了,另外還有很多條其他路線可以走通。這次全國幾乎同時斷網,很難判斷到底是什麼原因。
深圳金蝶軟體公司的軟體工程師彭璐在接受採訪時認為,電信方面「統一升級」的說法實在可笑。如果網路運營商軟硬體升級能導致全國性斷網,那麼,從理論上說,黑客也可以。 「互聯網上是不存在某個超級主機的,因此只能攻擊某一防衛薄弱的主機,取得控制權,然後以此為宿主,通過木馬程序傳播自身,從而感染全網。」
木馬程序得名於希臘神話特洛伊木馬。分為伺服器程序和控制器程序,伺服器程序以圖片、電子郵件、一般應用程序等偽裝,讓用戶下載,自動安裝后,木馬里藏著的「伏兵」就在你的電腦上開個「後門」,使擁有控制器的人可以隨意出入你的電腦存取文件,操縱你的電腦,監控你所有操作。
廣州一名不願透露身份的網路工程師分析,從故障癥狀上看,當晚網路用戶不能上網站,也不能用即時通訊軟體,但卻能用BT、電驢等點對點傳輸軟體,最大的可能是進行域名解析的DNS伺服器出了問題。DNS (DomainNameService)即域名管理系統。域名是網路上用直觀的字元地址來描述主機的一種方法。比如,搜狐的域名是「www.sohu.com」,這個名字只是便於記憶與識別,計算機並不能識別,這就需要DNS伺服器來進行翻譯,轉換成計算機可識別的「61.135.131.73」,方能正常訪問這個網站。如果DNS不能正常工作,在網民這邊看來,就是連不上網站,「上不了網」。
該網路工程師介紹說,一般各網路運營商在各省都有數台DNS伺服器,如果是各公司的全國DNS伺服器同時升級,也會事先預告,或有備份伺服器持續提供服務,基本上不可能同時停機。但華南、華北等主要片區的DNS伺服器同時出問題的話,就會出現大量用戶無法訪問網站的情況。要是黑客有足夠的水平和耐心,理論上可以達到讓國內主要的DNS伺服器同時無法正常工作的效果。從攻擊的手法上看, DDoS(Distributed Denial of Service分散式拒絕服務)可能性會比較高。
據介紹,DDoS(分散式拒絕服務)攻擊手法是,向伺服器發送大量的虛假請求,伺服器由於不斷應付這些無用信息而筋疲力盡,合法的用戶卻由此無法享受到相應服務,實際上就是遭到伺服器的拒絕服務。DDoS攻擊的特點是先控制一些高帶寬的伺服器,然後在這些伺服器上安裝攻擊軟體,集數十台、數百台甚至上千台機器對目標伺服器發動攻擊,即使是高性能的商業網站,也難以逃脫癱瘓的命運。全世界對於該類型的攻擊目前都沒有完善的解決辦法。
中國紅客:被攻擊可能性很大
嫌疑很大的黑客自己怎麼看這次斷網事件?黑客在中國有另外一個名稱「紅客」。他們聲稱與黑客不同,不在國內進行惡意入侵計算機等活動。「中國紅客大聯盟」的站長SharpWinner接受本報採訪時分析說,DNS伺服器和主幹網都出了問題會導致這樣的事件。雖然我們是一個國家的網路,但是黑客攻擊的不是我們整個網路,而是網路中比較重要的DNS伺服器和核心路由器。只要讓這些伺服器癱瘓掉,那麼網路自然就斷掉了。很有可能是被人採取DDoS攻擊而導致的。至於是何處黑客所為,他表示,很多消息都是在網路上傳的,不能確定其真實性。黑客發動攻擊前,都會通過很多不同的遠程伺服器來當跳板,隱藏自己的蹤跡,沒有電信運營商和公安部門的配合,僅憑個人之力,在這麼短的時間內是不可能查到攻擊源的。
瑞星公司一位專家認為,雖然通過黑客手段造成骨幹網的故障而影響全國存在可行性,但是至今並沒有網站被黑、信息被盜等安全事件的報告。中國互聯網信息中心 (CNNIC)也表示,該中心負責監控的域名解析沒有發現異常,可以基本證實沒有特定的網站發生故障。SharpWinner對記者表示,如果黑客的目標就是癱瘓中國的互聯網,那麼,不一定會有特定的網站被黑或信息被盜,被黑和網路癱瘓是兩碼事。
SharpWinner介紹說,現在DDoS有了更先進的手法。其中之一是 Drdos——反射式服務拒絕攻擊。基本原理是借用大流量的伺服器的流量來阻塞目標伺服器。它不需要控制「肉雞」(攻擊者控制的伺服器,行話叫「肉雞」),只需要偽裝成目標伺服器來向大流量的伺服器發送大量數據包就能達到目的。說得簡單一點,跟武俠小說里說的神功「移花接木」類似,當內功高手的雄渾內力打來時,把壓力轉移到另外的人身上,這個「人」就是要攻擊的目標伺服器。
安全漏洞:脆弱的中國網路安全體系
國家計算機網路應急技術處理協調中心運行管理部副主任周勇林透露,自2001年「紅色代碼」病毒大規模爆發后,該中心和各運營商組建了一個國家公共互聯網安全應急體系,10分鐘之內就能掌握全網情況。另外,「公共互聯網安全應急預案」已在擬定中。
但此次全國性斷網事件卻足以體現中國網路安全體系的脆弱。
軟體工程師彭璐說:「主幹網故障是很大的事故,如果真是被攻擊的話是很恐怖的。意味著我國信息安全防衛能力還是很差。民用網可以被攻擊,專用網一樣也可能被攻擊:軍網、金融、政務……難以想象,這種情況通常只會在信息戰一類的科幻小說中才會出現。」
據北京一名黑客透露,2001年他曾進入到武漢電信骨幹交換網上,發現管理員口令竟是加密能力很差的弱口令(weak passwurd)。只要動動手腳就可以切斷南北主幹聯繫。後來他向管理員報告了這一情況。
國家計算機網路應急技術處理協調中心(CNCERT/CC)今年3月24日發布的《2004年網路安全工作報告》表明,我國在網路安全漏洞的發現和研究方面與發達國家仍存在較大差距,至今還沒有建立起系統化的安全漏洞發現與分析能力, 2004年共收到國內外通過應急熱線、網站、電子郵件等報告的網路安全事件64686件。2003年這一數字僅是13000多。報告還顯示,我國大陸地區 6600多個IP地址的主機被植入木馬,大陸地區以外4200多個主機地址和這些木馬進行通信。
就在斷網事件后的第二天,網上就出現一個帖子,聲稱中國19個政府網站被黑。其中大部分是各縣級政府下屬的網站,如晉江農業信息網、武隆公眾信息網、桂林旅遊專科學校網站等,另外上海市嘉定區對外經濟委員會網站、北京東城區商務局網站、長江水利網也在這個名單之中。記者15日訪問所列懷疑被黑網站時,發現大部分網站伺服器都被黑客植入了一個頁面,主頁並未被修改。但到了15日,這些被植入的網頁只有幾個網站將其刪除。在被黑頁面上標明了是一個「Ashiyane」的黑客組織所為,這個頁面上還有一句嘲笑網站的話:「How Can You Hire Somebody That Doesnt Know How 2 Setup a Public Server?(你們怎麼可以請一幫連公共伺服器都不會建的人?)」
更富有戲劇性的是,4月16日,上海市嘉定區對外經濟委員會網站被黑客植入的頁面上,又有國內黑客在上面加了一段富有中國特色的英文留言:「Do you think you』re very cool?I want to say to you,you』re a very stupid pig。I』m Chinese hacker。why had you hacked my government web?(你是不是覺得你很酷?我要跟你說,你是頭蠢豬。我是個中國黑客。你為什麼要黑我們的政府網站?)」這個網站幾乎成了黑客比試功力的留言板。
網上木馬、間諜程序、惡意網站的出現並日趨泛濫;手機、掌上電腦等無線終端的處理能力和功能通用性提高,使其日趨接近個人計算機,針對這些無線終端的網路攻擊已經開始出現,並將進一步發展;近來假銀行網站竊取客戶密碼事件不斷見諸報端,個人用戶在網路上的安全狀況非常令人擔憂。SharpWinner說,網民要在網上保護自身的安全,重要的是要有網路安全意識。
斷網事件癥狀解析
當晚網路用戶不能上網站,也不能用即時通訊軟體,但卻能用BT、電驢等點對點傳輸軟體。一名網路工程師分析,最大的可能是進行域名解析的DNS伺服器出了問題。從攻擊手法上看,DDoS可能性會比較高。網路安全事件一年翻了近5倍
2004年,國家計算機網路應急技術處理協調中心共收到國內外通過應急熱線、網站、電子郵件等報告的網路安全事件64686件。2003年這一數字僅是13000多。
——據《2004年網路安全工作報告》
