2009年5月19日21時，由于幾家網(wǎng)游私服之間的惡性競爭，其中一家以網(wǎng)絡(luò)攻擊的手段向為對方解釋域名的DNS服務(wù)器DNSPod發(fā)動DDOS(分布式拒絕服務(wù))攻擊。其本意只想讓DNSPod當(dāng)機，讓對手的網(wǎng)游玩家不能訪問其游戲服務(wù)器�？晌丛�想到，就是這樣的一次網(wǎng)絡(luò)攻擊行為，卻再一次驗證了蝴蝶效應(yīng)的理論，最終演變成造成廣西、江蘇、海南、安徽、甘肅和浙江電信寬帶用戶網(wǎng)絡(luò)斷網(wǎng)的嚴重網(wǎng)絡(luò)安全事件。從而讓原本很平常的一天，注定會在網(wǎng)絡(luò)安全史上寫上重重的一筆。

　　這次斷網(wǎng)事件的發(fā)生，其中帶有許多的偶然因素，但是，幾個相互有關(guān)聯(lián)的偶然因素同時在一件事中出現(xiàn)時，就會發(fā)展成必然因素。

　　在這次斷網(wǎng)事件的最初階段，作為網(wǎng)游私服競爭工具的網(wǎng)絡(luò)攻擊者，可能認為對DNSPod服務(wù)器進行DDOS攻擊是一件很平常的攻擊事件，平常得就像網(wǎng)絡(luò)之中每天都在發(fā)生著的各種DOS(拒絕服務(wù)攻擊)和DDOS攻擊，以及針對WAN主干路由器的路由協(xié)議進行的攻擊事件。

　　但是，他們選擇的是同時為數(shù)10萬家網(wǎng)站提供域名解釋的DNSPod服務(wù)器。DNSPod不僅為其攻擊的競爭對手提供域名解釋任務(wù)，還為當(dāng)前用戶數(shù)量龐大的暴風(fēng)影音提供域名解釋服務(wù)器。

　　于是，當(dāng)攻擊者操控著大量的肉雞，向DNSPod服務(wù)器實施攻擊流量超過10G的DDOS攻擊時，DNSPod服務(wù)器如他們之愿成功當(dāng)機了。我們都知道DNS服務(wù)器就是將www.abcd.com這樣的域名解釋成1.1.1.1這樣的這樣的IP地址，從而可以讓用戶只需輸入容易記住的網(wǎng)站域名就可以正常連接它。一旦像DNSPod這樣的DNS服務(wù)器不能工作了，就不能再為依靠它進行域名解釋的所有網(wǎng)站和服務(wù)器提供相應(yīng)的功能了，用戶也就不能再通過域名的方式訪問相應(yīng)的網(wǎng)站或服務(wù)器了，當(dāng)然也包括攻擊者競爭對手的網(wǎng)游私服服務(wù)器和暴風(fēng)影音的服務(wù)器了。

　　原本，這次攻擊事件發(fā)生到此時就可以宣告結(jié)束了，但是，這些攻擊者卻嚴重地低估了對DNS服務(wù)器實施攻擊的后果。

　　從DNS服務(wù)的工作機制可以知道，域名服務(wù)器通常會設(shè)置域名轉(zhuǎn)發(fā)等分流功能，這樣，當(dāng)DNS服務(wù)器在收到用戶提交的域名解釋請求時，它首先會在自己的高速緩存中進行查找，如果沒有，就進行遞歸查詢，如果仍然沒有這條域名解釋信息，那么，它就會將它向相鄰的DNS服務(wù)器進行轉(zhuǎn)發(fā)，以便能夠讓其它DNS服務(wù)器完成這條域名解釋請求。

　　而在DNSPod服務(wù)器服務(wù)的名單中，恰巧有號稱有2億多用戶的暴風(fēng)影音。更要緊的是，暴風(fēng)影音為了自身的經(jīng)濟利益，在沒有通知用戶的前提下，私自在暴風(fēng)影音主程序安裝包中集成了一個可以自動連接其廣告服務(wù)器的Stromlive.exe。暴風(fēng)影音公司集成Stromlive.exe的目的，主要是用來從其后臺廣告服務(wù)器中下載廣告到用戶的桌面顯示，以便能夠得到更多的廣告收入，另外，它也完成對暴風(fēng)影音軟件進行自動升級更新的任務(wù)。

　　也正是由于Stromlive.exe被設(shè)定用來完成這兩個任務(wù)，于是，它每隔很短的時間，就自動向暴風(fēng)影音的服務(wù)器發(fā)出連接請求。在其發(fā)出連接請求的開始階段，就會進行相應(yīng)的域名查詢?nèi)蝿?wù)，以便能夠與其后臺服務(wù)器建立正確的連接。

　　于是，當(dāng)DNSPod服務(wù)器當(dāng)機后，Stromlive.exe進行自動連接請求時的域名不能被正常解釋，它就會立即將域名解釋請求轉(zhuǎn)發(fā)至電信相應(yīng)的DNS服務(wù)器上試圖依靠它們進行域名解釋。

　　這樣一來，有2億多用戶的暴風(fēng)影音，其自帶的Stromlive.exe就有可能會同時不斷地向電信服務(wù)器發(fā)送域名解釋請求。由于電信服務(wù)器本來負荷就高，再加突然增加這么多的域名解釋請求流量，也就不可能一時就反應(yīng)過來。

　　但是，Stromlive.exe程序可不依。電信服務(wù)器不能及時響應(yīng)，Stromlive.exe仍然不斷重復(fù)地發(fā)送域名解釋請求給它。并且，流量如此之大的Stromlive.exe域名解釋請求，遠比此次事件最初階段攻擊者針對DNSPod服務(wù)器實施的DDOS攻擊流量還要大。

　　于是，電信服務(wù)器也就在這樣的域名解釋洪流下很快被淹沒而當(dāng)機了。因而，上述這些偶然因素也就相互關(guān)聯(lián)疊加之后變成了必然因素，這次攻擊事件也由此演變成一次間接的DNS域名解釋攻擊，從而也就造成了上述6省寬帶用戶大面積斷網(wǎng)的安全事件。

　　現(xiàn)在，雖然實施這次網(wǎng)絡(luò)攻擊事件的原兇已經(jīng)被抓獲，但是，這次發(fā)生的造成我國6個省市電信寬帶用戶大面積斷網(wǎng)事件，也同時將當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀的四宗罪完全暴露出來。
第一宗罪：黑客網(wǎng)絡(luò)攻擊黑色產(chǎn)業(yè)鏈現(xiàn)在是多么嚴重

　　從這次6省寬帶用戶大面積斷網(wǎng)事件再一次清晰地表露出，一條完整的從發(fā)布攻擊任務(wù)到實施最終攻擊活動的黑客網(wǎng)絡(luò)攻擊產(chǎn)業(yè)鏈。

　　在這條黑客網(wǎng)絡(luò)攻擊產(chǎn)業(yè)鏈中，一些網(wǎng)絡(luò)企業(yè)或常規(guī)企業(yè)，出于對競爭對手進行打擊的目的，不惜花重金聘請專業(yè)黑客對競爭對手進行相應(yīng)的網(wǎng)絡(luò)攻擊，從而成為這條產(chǎn)業(yè)鏈中的資金提供者和指使者。

　　而黑客，由于手中掌握有大量肉雞和攻擊工具，而成為這些企業(yè)對競爭對手實施打擊的最佳攻擊工具。

　　黑客們也同時從接授這樣的攻擊任務(wù)中得到繼續(xù)擴大攻擊能力的資金，以及獲得滿足其生存所必需的金錢。

　　這樣，一些企業(yè)提供資金發(fā)布攻擊任務(wù)，黑客接受任務(wù)實施攻擊，然后收錢，一條完整的產(chǎn)業(yè)鏈就此形成。

　　但是，黑客的江湖中也同樣充滿著競爭，他們都知道，只有自己掌握的肉雞比別人多，掌握的網(wǎng)絡(luò)攻擊工具的攻擊速度和效率比別人高，他才可能接收到更多的攻擊任務(wù)，從而也就獲得更多的金錢。而黑客想要不斷地加強他們的攻擊能力，同樣離不開大量資金的支持。

　　如果黑客自己不知道編寫收集肉雞的工具，就只能向其他黑客購買肉雞收集工具和網(wǎng)絡(luò)攻擊工具，或者直接向其他黑客購買肉雞，來滿足他們實施相應(yīng)等級攻擊活動的需求。而這些都是需要大量金錢來購買的。