5.19DNS大规模攻击事件

2009年5月19日21时起，，在中国北京、天津、上海、河北、山西、安徽、湖北、广东、广西等省陆续出现互联网网络故障，使用电信网络服务的网民上网出现了严重问题，有的是网络不通，有的是不能浏览网页，部分互联网用户的服务受到影响。工业和信息化部披露，此次网络故障是由于DNSpod域名解析系统遭受攻击所致。截至20日凌晨1时20分，受影响地区的互联网服务基本恢复正常。 根据电信部门的查明，故障是由于暴风影音客户端软件存在缺陷，在暴风影音域名授权工作服务器工作异常的情况下，导致安装了这一款软件的计算机频繁发起域名解析请求，从而造成大量客户访问网站或者网页打不开的故障，

5月18日晚上22点左右，DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击。18日当晚DNSPod耗尽了整个机房约三分之一的带宽资源，为了不影响机房其他用户，DNSPod电信主力DNS服务器被迫离线。

DNSPod于19日晚间发致歉信，称在遭遇恶意攻击后便被电信骨干网封掉IP，虽然DNSPod及时更换IP，但由于DNS协议限制，DNS更改IP最多需要72小时才能生效，造成很多用户的域名一直无法解析。

就在DNSPod发布致歉信的近似时间里，另一轮高强度恶意攻击向DNSPod涌来，DNSPod服务完全中断，服务完全瘫痪，其下所有域名均无法访问，包括暴风影音网站。

由于大量暴风影音用户打开暴风影音网页或者使用其提供的在线视频服务，这些用户提交的访问申请无法找到正确的服务器，大量积累的不断访问申请导致各地电信网络负担成倍增加，网络出现堵塞。

5月19日晚21时左右开始，江苏、安徽、广西、海南、甘肃、浙江六省陆续出现大规模网络故障，很多互联网用户出现访问互联网速度变慢或者无法访问网站等情况。在零点以前，部分地区运营商将暴风影音服务器IP加入DNS缓存或者禁止其域名解析，网络情况陆续开始恢复。

此次网络故障的导火索为两家私服火拼，其中一家动用了10G/s的流量进行，但攻击不成，他们继而转攻DNSpod，致使DNSpod瘫痪。

暴风影音在这场网络故障中起到了火上浇油的作用。由于暴风影音使用了DNSpod的免费域名解析服务，DNSpod被攻击之后，暴风影音用户疯狂连接该公司网站，但不能得到正常解析，就转向上一层DNS服务器，也就是电信的DNS服务器，以致将电信服务器拖垮。

如果单纯访问暴风影音网站，不至于拖垮电信服务器。但有2200万用户的暴风影音，如果是在播放本地文件时，也需要不停地连接网络，那就会造成巨大的网络流量。

暴风影音软件非常普及的，实际上最新发布的09版本的用户在新浪网就超过四千万的下载量。所以，暴风影音自身的网民解析出现故障以后，导致大量的网民不能上网，它的故障就导致中国电信的DNS服务器的访问量突增，所以使得中国电信的网络处理能力下降，出现了堵塞，这是一个表象的原因。

实际上背后更深层次的原因是由于暴风影音的域名服务器受到了大量来历不明的攻击，导致了DNSPod的服务器瘫痪，从而导致了整个网络瘫痪的问题。

DNSPod是什么？

它是国内一款免费的DNS产品，DNS是一个网名解析功能的网站，能够利用双线路的网站实现智能的DNS解析，让用户仅仅用一个用户域名就能够访问到多个服务商的镜像。比如新浪一个网民只在一个电信的服务商运营处登记，但是他同时可以使用网通或者教育网服务器的网站来解析自己的网名，也就是一个用户可以用网通的服务器连通电信的服务器，或者电信的用户连通到网通的服务器，达到互联互通的效果。

网站不同域名上的域名都可以解析到DNSPod，这样管理非常方便。也就是每次更换ID的时候，不需要来回更换运营商的网名，这是一个原因。但是最主要的原因是免费，这次受到攻击最大的原因，因为它是一个免费的处理器，这样一来引起一些同行的恶意攻击。

DNSPod”是目前国内主要的DNS域名解析提供商之一，而其服务对象中就有播放平台服务商暴风影音。暴风公司给出的说明中描述，19晚间，由于大量的暴风影音用户在打开暴风影音的网页或者使用其提供的在线视频服务，这些用户提交的访问申请无法找到正确的服务器，大量积累的访问申请导致各地电信网络负担成倍增加，网络出现堵塞，从而引起了前晚的故障。据了解，暴风影音每天的访问量有1500万－1800万次左右。

暴风影音CEO冯鑫称将备份域名服务器，避免出现类似问题，在软件的互联网机制上增加安全考虑的调整，暴风技术将加班加点，在三天内完成这个工作。此外他表示，暴风影音将会和中国电信、中国联通等运营服务商，加强技术层面的沟通和合作，共建安全流畅的互联网环境。

中国电信则表示，今后将进一步做好网络监控工作，发现异常情况及时处理，尽量减少对用户的影响，保障用户享受到通畅的网络服务。

事件原因分析

一款影音播放器居然能引起全国网络瘫痪, 这个不可能吧? 暴风影音作为一款播放器, 到底有多"神奇"? 暴风影音是怎样发展成今天这个样

子的? 在此之后, 引起此事故的各方会受到怎样的影响?

暴风影音是如何引起全国网络故障的?

其实暴风影音不是这次事件的唯一责任人, 也不是故意想搞瘫电信. 当然, 如此的灾难性结果和黑客直接黑了暴风客户端, 或者暴风打算自

绝于人民的结果差不多; 但具体到这一次的事故, 我们需要了解一下一个叫DNSpod的服务.

电信拆分以后, 南电信北网通的情况困扰着国内站长, 因此各类网站开始租用南北双线服务器, 并且使用DNS解析服务来给网站域名分配服务

器. DNSpod是免费提供服务的, 所以国内N多网站, 包括cnBeta, 也包括惹祸的暴风影音都使用DNSpod的服务.

然后接下来的事情就非常的戏剧性了: 一个游戏"私服"的网站打算对它的竞争对手发动攻击. 黑客在没法黑掉竞争对手网站的情况下, 干脆

从域名下手, 对DNSpod的服务器进行了狂轰滥炸. DNSpod的服务器中有那么一台瘫痪了. 这一台恰好为暴风影音提供域名解析. 暴风影音的

客户端在用户不知情的时候偷偷访问暴风网站, 现在上不去了. 接着全国的暴风用户集体转向电信的DNS解析服务器发起请求. 因为全国有一

半联网的电脑都在使用暴风影音, 所以电信服务器很快就瘫痪了. 在部分电信机房暂时屏蔽了暴风网站的IP地址之后, 网站开始恢复.

这次影响到全国用户上网的突发事件, 居然是由一个"私服"网站的江湖恩怨引起的, 真可谓是蝴蝶效应的一个典型例子. 而暴风影音绝对是

其中起到转折作用的一环. 为什么这样说呢? 如果暴风影音没有偷偷访问网站, 下载广告的流氓习惯, 也就不会有全国用户对DNS解析的轰炸

; 如果暴风影音虽然很垃圾, 却很少有人用, 造成的影响也不会如此巨大.

可是, 偏偏这两个"如果"都很不幸没有成真, 这就不得不让我们思考一下了:

暴风影音是一款什么样的播放器?

匿名人士 发表于 2009-05-20 18:21:36

一个播放器，本来不需要联网，暴风却要联网，而且连不上还不干，一个劲的连。这是什么精神？这是大无畏的共.产.主.义精神!

暴风影音是一款媒体播放器, 但它远不是一款普通的播放器那么简单. 除了号称"能播放市面上见得到的所有文件格式"之外, 暴风影音还有

以下"附赠"的"精彩功能": 在用户不知情的情况下安装插件和后门程序. 通过后门程序上传用户播放的影音文件信息, 以此进行统计分析,

发布"国内用户最常观看的视频"这样的数据; 通过后门程序下载并推送广告, 暴风影音的广告渗透了播放器的各个部位, 甚至已经可以影响

到影音文件的正常播放; 捆绑其他"装机必备"软件, 用户在安装过程中容易忽略提示而直接安装一些不需要的软件.

以上提到的这些情况, 甚至不需要费心去找例子. 暴风似乎觉得用不着避讳自己的名字和"流氓"二字联系到一起, 所以信手一搜, 结果遍地

都是.

暴风满满的自信源自它雷打不动的事实垄断局面. 上文提到的"一半联网的电脑都在使用"是基于艾瑞2009年初发布的调查报告, 看看其他几

家多可怜吧.

而暴风自己给出的资料更是惊人:

暴风影音总用户数达2.8亿, 每天上线用户2500万, 使用用户850万, 每天播放文件3500万, 成为深受广大用户认可和信赖的播放软件第一品

牌, 也是继腾讯和迅雷之后, 国内第三大客户端软件.

我们知道, 暴风的后台程序不需要运行播放器, 就可以随着系统启动. 因此在这种情况下, 安装率就和有效的使用率差不多.

这样的市场占有率对暴风意味着什么呢? 答案很明确, 就是占领了用户的桌面.

听音乐和播放视频是网民最经常的上网行为之一, 暴风影音在这方面占有垄断地位, 想放多少广告都没问题. 事实也确实如此. 暴风影音使

用各种方式向用户推送广告: 启动时的影音推荐窗口(迷你首页); 系统任务栏弹出小提示窗口; 播放器界面镶嵌的文字广告; 视频播放界面

旁边的标签栏页面; 播放暂停时显示的flash广告(这个大概是最让人反感的);

这样的安装率是怎么得来的呢? 我们不妨一起来看一段传奇的故事.

暴风影音发家史

很久很久以前, 暴风影音还是一款打包国外播放器源代码并将其汉化的简单作品. 那时候的暴风是通过人们的口碑推荐获得越来越广泛的支

持的. 那时候的暴风, 还很纯洁.

暴风影音一代是把国外开发的Media Player Classic以及相关解码器打包而成的简易安装程序. 它的特点是支持格式多, 并且节省资源. 根

据艾瑞的调查数据, 这也是用户现在为止一直关注的播放器的最重要的两项指标.

等等.

不过后来, 越来越多的个人和群体加入了对MPC打包的行列, 同质化的产品大量出现在市场上, 暴风的开发者为了维持开发, 不得已把流氓插

件捆绑进了安装包, 这就犯了错误. 2006年, 软件下载网站曾经因为这件事暂时禁止了暴风一代的下载. 回想后来出现的封杀迅雷风波的和

平解决, 真让人感叹: 没有资本的个人开发者在中国活得真艰难啊, 谁都可以欺负.

那么, 摆在暴风开发者面前的只有一条路: 卖. 2007年, 暴风最终被酷热科技（酷热影音播放器）收购, 成立暴风网际公司, 并且收购了曾

经买下豪杰超级解霸的公司, 把这款在中国影音播放器发展史上里程碑一样的软件顺便收归门下.

从那时开始, 有了资本的支持, 暴风终于可以名正言顺的放广告了. 这也就是暴风堕落的起点.

今天的暴风, 靠着原有用户群的支持和滚雪球一样的发展, 一路走得顺风顺水. 尽管观赏可能吧的各位大概会对这样一款蜕变的软件深恶痛

绝, 但暴风抓住的恰恰是那些互联网的初级用户.这条中国特色的互联网铁的定律又一次悲惨的被验证. 这些用户近乎顽固的坚持自己的上网

习惯, hao123, IE6, QQ空间, 劲舞团, 暴风影音, 这些看起来"不合常理"的软件就是依靠他们才活得如此滋润. 明白了这个现象如何产生,

你就可以搞清楚现在的中国软件市场主要是谁在赚钱."装机必备软件"的循环链条.

说几个名字: 优化大师, 360, PPS, PPlive, 暴风影音, 快车, 瑞星 … 这几个听起来不太相关的软件有几个共同特点. 它们在很多菜鸟教

科书里被称为"装机必备软件".它们被网上无数的枪文推荐和介绍, 这些枪文又发表在一些被工具书, 电脑入门刊物推荐为"菜鸟必去"的电脑

知识网站.

不管菜鸟是看《电脑爱好者》还是去太平洋电脑网, 再或者买了一本《轻松学上网》之类的入门教材, 任何一条渠道都会让他们有很大机会

接触到这些软件. 这形成了一个循环.

每一款软件的安装界面都有对另外几款软件的介绍, 默认打上勾,用户一路下一步的话就会连带着安装其他的软件. 这也形成一个循环. 在

360, 腾讯, 迅雷等等做出的"软件平台"或者"装机大师"等工具里, 这些软件处于首要的推荐地位. 这形成第三个循环. 除此之外, 网吧机器

上面绝大多数也批量安装了这些软件. 有些情况下, 是因为网吧老板也是图省事, 一个"装机必备"了事; 有时候是这些软件交了推广的费用.

还有些情况下, 是网吧机器使用的盗版系统盘捆绑了这些软件, 这时软件需要事先花点钱买通盗版系统的作者. 而这些的结果就是上述软件

在网吧成为一定会看到的, 真正的"装机必备".

几个循环"圆环套圆环", 把菜鸟们迷得晕头转向, 结果就是大多数电脑初学者的机器上都无一例外的有这些软件. 除了QQ的发展稍有不同,

另外两个占领全国桌面的软件——迅雷和暴风, 说它们主要以此方式推广应该没什么错.

而在这些循环中, 任何一步都需要大把大把的银子来做宣传费用. 在杂志和网站上发枪稿要交钱; 请求同类软件加链接要交钱; 请求下载网

站推广收录要交钱; 请求装机平台收录也要交钱. 而大量宣传带来的结果就是心理学所谓"自证预言":我宣传我是用的人最多的软件, 大家听

了就都来安装, 结果我真的成了用的人最多的软件.

暴风以及其他同类软件的大量推广费从何而来? 就是在软件当中无孔不入的广告. 暴风和投资者还有广告主, 三方形成了更加和谐的默契:

暴风说我这里的广告看的人最多, 因此收到了巨额的广告费; 暴风用广告费来宣传, 吸引了很多菜鸟安装; 结果广告主们发现暴风说得没错,

自己的广告果然在暴风上看的人最多.

这又是一个绝妙的"自证预言". 已经进入盈利的"良性循环"的暴风, 不断为合作伙伴和自己贡献着财富, 唯一牺牲的只有那些底层网民的利

益, 更可悲的是他们对此毫无自觉.

暴风长老, 请收了神通吧!

一地鸡毛之后, 该是收场的时候了. 全国互联网瘫痪的功劳, 究竟该记在谁的身上? 我们需要挨个细数一番.DNSPod?

最开始出问题是因为DNSpod没错, 不过要人家追究责任, 多少咱有点于心不忍. 首先是人家遭到攻击了, 而不是攻击别人; 其次作为一个免

费的服务, 使用者应该对潜在的风险有所自觉; 第三人家已经写了很诚恳的道歉信, 信里面说, 如果不放心, 你就把不重要的域名托管到这

里, 找别人托管我们没意见. 这你还有啥说的? 最重要的一点, 如果不是暴风发起那么巨量的请求, DNSpod的瘫痪尽管会出现不小问题, 也

不至于搞垮整个电信的网络.

最开始的小黑客? 这家伙能耐再大也没办法单枪匹马搞定全国DNS…这是明摆着的事. 而且, 没准人家现在正躲在角落里后怕呢; 最重要的一

点, 刑罚要和所犯的罪行相当. 要追究他的法律责任, 至多到DNSpod这个层面上也就可以完结了.把全国人民的愤怒归咎于他一个人是不公平

的.

那…难道是电信?

算了, 这句当我没说.

我相信列位和我的感觉是差不多的. 暴风客户端平时不招人待见的联网功能今天终于受到了惩罚. 暴风理应为软件设计的缺陷(或者说故意的

后门也行)承担相应的责任——至少是道义上的. 然而, 看到暴风能够和工信部站在一起开发布会, 说自己也是受害者(是, 我们知道你也受

害了), 金钱又一次发挥了应有的功劳——不是说暴风送了什么好处费. 这句话的准确意思是, 作为一家媒体播放器的支柱企业, 暴风一旦倒

下, 全行业的利益分配就必须重新洗牌, "稳定"局面就有破坏的危险. 就是因为这个, 暴风也不会轻而易举的倒下.

正好相反的是, 这个事件从反面证明了暴风的用户群体是多么惊人的庞大, 从此次危机中昂首挺胸的走出来的暴风, 更加有资本把软件内嵌

的广告卖个大价钱了.暴风影音共获得了2400万美元的融资, 以后这个数字不出意外, 还会一直不停的增长下去.

那…我等小民究竟该咋办呢?

著名时事评论员五月散人同志引用过《西游记》的经典段落:猪八戒大师在某地为了表现自己法力无边,使出本领让自己不断膨胀变“大”,眨

眼间就顶到了房梁, 唬得下面的老百姓大叫:猪长老,请收了神通吧. 咱们也算是老百姓, 没什么神通, 只能多少虔诚一点儿, 跟暴风长老提

个小小的请求:

您钱也赚得不少了, 我们上网用小水管堵成这样, 您行行好, 别老是连网下载广告玩儿, 别再折腾广大网民了行不?