2009年5月19日21时，由于几家网游私服之间的恶性竞争，其中一家以网络攻击的手段向为对方解释域名的DNS服务器DNSPod发动DDOS(分布式拒绝服务)攻击。其本意只想让DNSPod当机，让对手的网游玩家不能访问其游戏服务器。可未曾想到，就是这样的一次网络攻击行为，却再一次验证了蝴蝶效应的理论，最终演变成造成广西、江苏、海南、安徽、甘肃和浙江电信宽带用户网络断网的严重网络安全事件。从而让原本很平常的一天，注定会在网络安全史上写上重重的一笔。

　　这次断网事件的发生，其中带有许多的偶然因素，但是，几个相互有关联的偶然因素同时在一件事中出现时，就会发展成必然因素。

　　在这次断网事件的最初阶段，作为网游私服竞争工具的网络攻击者，可能认为对DNSPod服务器进行DDOS攻击是一件很平常的攻击事件，平常得就像网络之中每天都在发生着的各种DOS(拒绝服务攻击)和DDOS攻击，以及针对WAN主干路由器的路由协议进行的攻击事件。

　　但是，他们选择的是同时为数10万家网站提供域名解释的DNSPod服务器。DNSPod不仅为其攻击的竞争对手提供域名解释任务，还为当前用户数量庞大的暴风影音提供域名解释服务器。

　　于是，当攻击者操控着大量的肉鸡，向DNSPod服务器实施攻击流量超过10G的DDOS攻击时，DNSPod服务器如他们之愿成功当机了。我们都知道DNS服务器就是将www.abcd.com这样的域名解释成1.1.1.1这样的这样的IP地址，从而可以让用户只需输入容易记住的网站域名就可以正常连接它。一旦像DNSPod这样的DNS服务器不能工作了，就不能再为依靠它进行域名解释的所有网站和服务器提供相应的功能了，用户也就不能再通过域名的方式访问相应的网站或服务器了，当然也包括攻击者竞争对手的网游私服服务器和暴风影音的服务器了。

　　原本，这次攻击事件发生到此时就可以宣告结束了，但是，这些攻击者却严重地低估了对DNS服务器实施攻击的后果。

　　从DNS服务的工作机制可以知道，域名服务器通常会设置域名转发等分流功能，这样，当DNS服务器在收到用户提交的域名解释请求时，它首先会在自己的高速缓存中进行查找，如果没有，就进行递归查询，如果仍然没有这条域名解释信息，那么，它就会将它向相邻的DNS服务器进行转发，以便能够让其它DNS服务器完成这条域名解释请求。

　　而在DNSPod服务器服务的名单中，恰巧有号称有2亿多用户的暴风影音。更要紧的是，暴风影音为了自身的经济利益，在没有通知用户的前提下，私自在暴风影音主程序安装包中集成了一个可以自动连接其广告服务器的Stromlive.exe。暴风影音公司集成Stromlive.exe的目的，主要是用来从其后台广告服务器中下载广告到用户的桌面显示，以便能够得到更多的广告收入，另外，它也完成对暴风影音软件进行自动升级更新的任务。

　　也正是由于Stromlive.exe被设定用来完成这两个任务，于是，它每隔很短的时间，就自动向暴风影音的服务器发出连接请求。在其发出连接请求的开始阶段，就会进行相应的域名查询任务，以便能够与其后台服务器建立正确的连接。

　　于是，当DNSPod服务器当机后，Stromlive.exe进行自动连接请求时的域名不能被正常解释，它就会立即将域名解释请求转发至电信相应的DNS服务器上试图依靠它们进行域名解释。

　　这样一来，有2亿多用户的暴风影音，其自带的Stromlive.exe就有可能会同时不断地向电信服务器发送域名解释请求。由于电信服务器本来负荷就高，再加突然增加这么多的域名解释请求流量，也就不可能一时就反应过来。

　　但是，Stromlive.exe程序可不依。电信服务器不能及时响应，Stromlive.exe仍然不断重复地发送域名解释请求给它。并且，流量如此之大的Stromlive.exe域名解释请求，远比此次事件最初阶段攻击者针对DNSPod服务器实施的DDOS攻击流量还要大。

　　于是，电信服务器也就在这样的域名解释洪流下很快被淹没而当机了。因而，上述这些偶然因素也就相互关联叠加之后变成了必然因素，这次攻击事件也由此演变成一次间接的DNS域名解释攻击，从而也就造成了上述6省宽带用户大面积断网的安全事件。

　　现在，虽然实施这次网络攻击事件的原凶已经被抓获，但是，这次发生的造成我国6个省市电信宽带用户大面积断网事件，也同时将当前网络安全现状的四宗罪完全暴露出来。

　　第一宗罪：黑客网络攻击黑色产业链现在是多么严重

　　从这次6省宽带用户大面积断网事件再一次清晰地表露出，一条完整的从发布攻击任务到实施最终攻击活动的黑客网络攻击产业链。

　　在这条黑客网络攻击产业链中，一些网络企业或常规企业，出于对竞争对手进行打击的目的，不惜花重金聘请专业黑客对竞争对手进行相应的网络攻击，从而成为这条产业链中的资金提供者和指使者。

　　而黑客，由于手中掌握有大量肉鸡和攻击工具，而成为这些企业对竞争对手实施打击的最佳攻击工具。

　　黑客们也同时从接授这样的攻击任务中得到继续扩大攻击能力的资金，以及获得满足其生存所必需的金钱。

　　这样，一些企业提供资金发布攻击任务，黑客接受任务实施攻击，然后收钱，一条完整的产业链就此形成。

　　但是，黑客的江湖中也同样充满着竞争，他们都知道，只有自己掌握的肉鸡比别人多，掌握的网络攻击工具的攻击速度和效率比别人高，他才可能接收到更多的攻击任务，从而也就获得更多的金钱。而黑客想要不断地加强他们的攻击能力，同样离不开大量资金的支持。

　　如果黑客自己不知道编写收集肉鸡的工具，就只能向其他黑客购买肉鸡收集工具和网络攻击工具，或者直接向其他黑客购买肉鸡，来满足他们实施相应等级攻击活动的需求。而这些都是需要大量金钱来购买的。

　　实际上，就算黑客自己能够编写肉鸡获取工具和网络攻击工具，由于安全防范技术层出不穷，旧的攻击方法未必会一直有效，因此，他们必需不断地重新开发新的肉鸡抓取工具和网络攻击工具，才能满足攻击时时有效的需求。同样，完成这些工作也需要大量的资金支持的。

　　本来，对进行恶意攻击的黑客是不受人们欢迎的，但是，由于一些企业越来越喜欢使用网络攻击这种恶性竞争的方式来打击竞争对手，也就直接为黑客提供了发展其自身必要的资金。

　　这也是为什么现在网络攻击事件层出不穷，攻击手段花样繁多，对网络攻击进行防范越来越困难的主要原因之一。

　　因此，如果能够通过法律和技术的手段严厉打击某些企业的恶性竞争，就能够减少对黑客的资金支持，也就让他们断了奶，他们的生存和发展也就会受到沉重的打击，网络攻击活动也就会大大减少。另外，如果能够加强安全防范宣传，提高普通网络计算机防范自己成为肉鸡的能力，也就可以大大减少肉鸡的数量，这样也就让黑客没有了攻击工具。没有攻击工具的黑客就算再有技术，也是巧妇难为无米之炊了。

　　第二宗罪：目前的网络产业仍然缺少有效的管制

　　这次断网事件缘起几家网游私服之间的恶性竞争。对于这样的恶性竞争，实际上在目前的互联网海洋中每天都在发生，只不过这次由于一些偶然的因素造成了更加恶劣的后果，才让这几家网游私服之间的事暴露出来。

　　这也就是说，我国现在的互联网产业还缺少更加有效的管制，才造成存在这么多没有官方认可的网游私服的存在。

　　这些私服由于不受官方的管制，他们往往为了自身的经济利益，会使用一些不正当的竞争手段来打击竞争对手，更何况是在我国如日中天的网游产业呢!

　　并且，不是所有的私服都具有攻击对手的能力，他们往往都是通过聘请职业黑客来向对手进行攻击的。

　　于是，一家私服攻击了另外几个竞争对手，这些竞争对手才尝到后果后，反来聘请更多的黑客向其它竞争对手发动更多的攻击。

　　如此一来二往，网络中就充满着大量的攻击活动，而这些攻击活动，不知哪一天会造成像2009年5月19日一样的全国大面积断网事件。

　　因此，建立健全的互联网经营法规，加大非法网络企业的打击力度，建立有效的监督机制，才能从源头上解决此次断网事件再次发生的机率。

　　第三宗罪：网络软件暗藏后门有多么的危险

　　一直以来，人们大多只知道木马或恶意软件会暗藏后门，可是从这件断网事件后，大家都了解到一些正规的网应用软件也会暗藏后门，例如，暴风影音的Stromlive.exe，而它，正是这次断网事件的主要原因之一。

　　这些正规软件中暗藏的后门程序，与恶意软件的唯一区别在它们存在的目的不是为了攻击用户，而只是用来完成广告下载显示和软件自动更新任务。

　　但是，这并不说明它们的某些特性不像恶意软件一样。例如，它们同样在用户不知情的情况下就强行安装到用户计算机系统之中，而且，同样在用户不知情的情况下，自动连接软件广告服务器或更新服务器，下载广告显示和更新软件。

　　实际上，只要它们下载的对象换成木马程序或病毒，那么，这些正规则软件暗藏的后门与真实的下载型木马程序又有什么区别呢?

　　而且，从这件事情可以看出，如果其它网络软件都暗藏有与暴风影音相似的后门程序，那么，一旦其用户数量达到一定程度，恰巧又与到与这次断网事件相似的前因，就很难保证这样的断网事件不会再一次、又一次地发生。

　　可是，现在那些仍然暗藏有相应后门程序的正规软件厂商们，是否知道在软件中暗藏后门可能会带来可怕后果呢?

　　雪源梅香个人认为他们肯定在一开始就已经知道的，只是不原意很明白地对外界、对用户说明，因为这牵扯到他们切身的经济利益。一旦这些软件厂商详细地说明那些将被安装的程序是用来完成什么任务的，我相信没有几个用户同意将这些后门程序安装到他们的系统之中的。

　　既然是这样，要想杜绝像这次断网事件这样的事件再一次出现，就必需依靠国家制定相关的软件法规强制软件安装更加透明，以保证软件用户对软件的知情权，也同时减少这类由于正规软件暗藏后门带来的严重后果。

　　第四宗罪：当前电信运营商的DNS服务器抗攻击能力还很脆弱

　　DNS服务器是整个互联网能够正常运转的基础服务之一。通常，普通宽带用户的DNS服务器地址是由电信的DHCP服务器统一分配的，这个由电信自动为用户指定的DNS服务器就承担着对用户发送的所有目标域名进行解释的任务。

　　一旦DNS服务器不能正常工作，那么，用户也就不能进行正常的网页浏览和相应的网络操作活动，DNS服务器的重要性不言而喻。

　　照常理，这样重要的DNS服务器本身的并发访问性能和安全防范能力都应当达到很高的标准，并且，还应当具有NDS转发和高容量缓存的等功能，以便能够减轻对同一DNS服务器进行域名查询的负担。

　　但是，从这次的断网事件可以看出，目前这些电信运营商的DNS服务器却没有达到这样的性能和安全防范标准。

　　在此次断网事件中，当暴风影音的Stromlive.exe在向电信DNS服务器发送大量的域名解释请求的初期，电信DNS服务器是会完全接受这样的正当域名解释请求的，这很正常。但是，当相关的域名解释请求数量达到一定的上限后，电信DNS服务器仍然没有将这些异于寻常的数据流量有所防范，也就不可能有效地将这些请求分流出去，因而最终也就造成了上述6省宽带用户的大面积断网事件。

　　从这就可以说明电信运营商当前某些DNS服务器的性能和运行机制仍然没有很高的抗攻击能力，很难应对像DDOS这样的网络攻击事件，也对一些看似正常的异常网络流量没有一个很好的预报和分流机制。

　　或许这样说电信DNS服务器当前的性能和安全防范能力过于苛刻，毕竟要完全防范DDOS攻击是很难做到的。但是，现大已经有许多方法可以减轻在受到DDOS攻击时的影响，例如正确限制突发访问的最大流量，组建一个全国范围内的服务器集群等，都可以用来增强服务器的抗攻击能力。因此，希望这次断网事件，能够让电信运营商开始考虑重新升级和部署他们的服务器群集和安全防范体系。