翻墙问答﹕中国大规模断网事件引起的DNS保安问题

DC:早几天,中国出现大规模断网事件,中国当局就指翻墙软件的开发公司做,但根据网民和海外传媒的分析,断网事件是由中国当局更新防火长城时出现故障所致,其实那一个原因可信一些?

李: 根据事故发生后网民所截取的数据,这次大规模断网事件与中国国内的DNS根目录有关。过往未曾有过DNS根目录被黑客骑劫的纪录,因为DNS根目录的保安设计相当严谨,黑客要一举攻破根目录几乎无可能。再加上,这次DNS故障受影响区域只局限在中国,其他国家的DNS并未有受这次事故所影响。若然由美国、日本、英国等国负责维护的国际性DNS根目录被攻破的话,势必造成国际性事故,并不会像这次般只有中国网民受到影响。因此,这次事故由中国当局更新根目录时出现意外这看法是相当可信。

另一方面,以政治为目的网络攻击,一般都不会以网络瘫痪为目标,假若黑客有能力攻击中国的DNS根目录,都只会是移除中国当局在根目录上所作的封锁,或将中国政府网站转到黑客用作抗议之用的网站,而不会造成所有人都上不了网的奇观。而且攻击DNS根目录所花费的成本,以及技术难度十分高,因此暂时未有黑客有能力发动这种攻击。就算有能力发动攻击,都将是有国家政府支持的攻击。因此,中国当局的抹黑在技术上缺乏实证上的支持。这也是西方传媒,以至有技术基础的网民普遍都不相信中国当局解释的原因。

DC:具体来讲,这次中国网络防火长城的管理人员摆了什么乌龙,导致这次大规模断网事件?

李:针对动态网、自由门之类的翻墙软件网站,中国当局为防止网民成功在不用作翻墙情况下下载软件,在做DNS劫持时,会阻挡所有指向特定IP的请求,然后将这次请求转到其他网址上。但这次中国网络监管人员,却将所有DNS请求利用将网络请求指向动态网、自由门的IP来挡著,因此令中国八成网络交通瘫痪。由于更新DNS仍然需要人手进行,因此个别人操作上的失误,就会造成这样大的乌龙。

DC:其实这次事故是否反映了中国网络封锁,不单未有提升中国网络的稳定性和保安水平,相反中国的网络会比其他国家的网络来得更不稳定?

李:本来互联网设计时是为了应付一旦出现核战后的恶劣通讯情况,因此,本来DNS等技术,只要依照国际公认技术标准运作是相当安全可靠,这也是越来越多关键应用依赖互联网的原因。但中国当局进行DNS劫持,以至进行网络内容过滤,这些非规范技术都相当依赖人手操作,一旦有什么问题就会造成相当大的困扰。这也是我们鼓励各位听众使用翻墙软件,或使用Google等维护的免费公用DNS主机的原因,因为这些依国际标准维护的主机不会受网络过滤系统干扰而减低了稳定性。而只要中国当局继续以人手去干扰DNS运作,阻止网民浏览个别网址,只要继续有他们的网络警察不小心,就会继续有这类乌龙造成的大规模断网事件。这类事件重覆发生的机会是相当高。

http://www.rfa.org/cantonese/firewall_features/firewall-dnsproblem-01242014102118.html?encoding=simplified
发表评论