解濱
現代德國為後人留下的最珍貴的曆史遺跡,不是布蘭登堡門,也不是猶太人被害紀念碑,而是柏林牆。 今天的中國將給幾十年、幾百年後留下些什麽曆史遺跡呢? 您可以例舉的東西很多,但有一樣東西是一定要為後人所記住的,這就是今天中國的防火牆。 它雖然看上去沒有柏林牆那麽直觀、冰冷和堅硬,但兩者具有類似的功能。 一個是拿來不讓人民投奔自由的,另一個是拿來不讓人民思想自由的。
中國的防火牆跟柏林牆有一點不同之處,這就是它既不是圍的那麽嚴絲合縫也不是那麽堅不可摧。 而且這堵牆有時會做出些令人啼笑皆非的事情來。
越來越多的證據顯示,上個星期二,也就是2014年1月21日,中國的防火牆跟自己開了個天大的玩笑,采取了一個大無畏的革命行動 ——揮刀自宮,把中國互聯網給一刀“哢嚓”了,開了一個國際大玩笑!
從北京時間1月21日下午3點20分開始,國內的網民們突然無法訪問所有的以 .net, .com, .org結尾的域名的網站上了。 這下子麻煩大了,因為這三個域名囊括了世界上大多數的網站。 中國差不多三分之二的國內網站也是使用這幾個頂級域名的,例如百度、騰訊、天貓、新浪微博、CNTV、樂視等大型門戶、視頻網站。 當網民們無法訪問這幾個域名的網站時,全國的網上交易和電子商務幾乎都停頓了,電腦的殺毒數據更新停止了,商務電子郵件停送了……,全國億萬網民傻眼了:這TMD出了啥事啊?
這個狀況一直持續了2-11個小時,各地有所不同。
一不小心,這成了互聯網有史以來最大規模的一次斷網。
當時的情況是這樣的:下午3:20起,中國所有的頂級域名解析都突然發起傻來,誰要是訪問任何以 .net, .com, .org結尾的域名的網站,人們統統被送到65.49.2.178這個IP上,而這是一個翻牆代理服務器提供商的IP。
事發以後,政府的解釋是:這是黑客所為。 這玩笑開的有點大了,騙傻瓜不是? 現在我來試用最簡單的語言告訴你為什麽那是放屁。
互聯網上每一台設備都是靠一個數字表明自己的位置的,不然無法和別的設備通訊。 這個數字就叫IP address,簡稱IP。 互聯網上有成億台設備,人類的腦瓜子十分愚鈍,誰都沒法記住這麽多的數字。 於是域名服務器(DNS)這種東東應運而生,來替我們記住那些數字。 人們隻需要記住域名,例如baidu.com、qq.com等就可以了,讓域名服務器來解析成IP,這樣您就可以輕鬆愉快地上網銷魂而不必死記硬背那些數字了。
有一天,有個流氓設法在您的電腦和域名服務器之間做了點手腳,當您要去訪問一個網站時,那壞蛋看到您請求解析,就拿一個錯誤的IP給你,讓您跑到另外一個網站上去。 例如您要去淘寶,您的電腦卻鬼使神差地把您帶到了中國紅客網站。 這種詭計,就叫做域名服務器劫持(DNS Hijacking),這是黑客的怪招之一。
1月21日的那個情況,確實很像域名服務器劫持。 但詭秘的是,全中國所有的計算機都被“劫持”了。 這TMD邪門了,誰有這麽大的本事,居然劫持了全國每一台電腦,不管誰要訪問任何一個以 .com,.net 或 .org結尾的域名的網站時,就把你帶到65.49.2.178那裏去玩玩。 這哥們需要在全國各大主幹網絡的節點上都設立一道關卡,不然根本沒法進行這種規模的劫持。 這是哪個黑客幹的呢? 我可以告訴您:這樣的黑客還在他娘的肚子裏,他能不能生出來還是個大問題。 那麽,誰才有如此強大的權力和資源呢?
還有一個辦法,有的黑客不用劫持就可以忽悠你,這就是幹脆入侵域名服務器,弄砸解析規則。 這個伎倆叫做“DNS poisoning”,中文翻譯成DNS汙染。 這個可能性是有的。 可是已經過去好幾天了,官方也應該可以拿出一點黑客入侵的forensic evidence了吧? 拿不出來! “我輕輕地走,正如我輕輕地來,揮一揮衣袖,不帶走一片雲彩”—— 這樣的黑客還沒有誕生。 如果找不到任何黑客的蛛絲馬跡,那就是下麵一種情況了。
這樣一來,就隻剩下最後一種可能性了:假如中國的頂級域名服務器(由DNSPod管理),給某個流氓開了一個大大的後門,這流氓隨時可以改寫任何解析規則,讓任何一個網站在中國人間蒸發,或者幹脆被“流放”到另外一處。 那麽,1月21日那天發生的事情就可以理解了。
現在我們可以想象出來,有一個神通廣大的家夥,頭天晚上泡妞時叫人給宰慘了,那天又喝高了,本來那天他是應該寫一條規則,讓全中國的DNS服務器都拒絕對IP 65.49.2.178的域名作任何解析,因為那是某個反動組織的IP。 為了確保萬無一失,萬一有人(多半是翻牆者)提出這種解析需求時,就對其進行攔截或者劫持。 但這家夥酒還沒有醒,還對昨晚泡妞時的晦氣耿耿於懷,於是他亂寫一通,居然陰錯陽差地把所有的以.com,.net和.org域名結尾的網站一律擄到65.49.2.178那裏,這就造成了全國大斷網。 等到人家發現問題時,大家都嚇得尿褲子了:一定要等到緩存TTL(time to live)規定的時限到期後才可以把這個問題糾正過來。 這時候某部門的同誌們個個急得想撞牆或跳樓,眼看大斷網在全中國發生了,卻束手無策,最後隻好打電話通知各大通訊商,讓人家手工刷新DNS服務器的緩存,這才把問題修好。 這時候全國範圍已經斷網好幾個小時,世界紀錄已經產生啦!
那麽,這個醉鬼是誰呢? 他就職於中國某個秘密部門。 這個部門,就是中國防火牆管理機構。
一不小心,這醉鬼造成了互聯網有史以來最大麵積的斷網。
問題出在哪呢? 問題並不在那個家夥頭天晚上不該去泡妞,他喝酒也不是什麽大問題,反正人人都喝。 問題就出在中國防火牆本身。 互聯網當初設計出來就是為了“通”,而中國有這麽一個神通廣大的互聯網管理機構,他們唯一的任務就是“堵”。 經過這些同誌們多年的努力,整個中國的互聯網就是一道立體全方位超級防火牆,從每台服務器就開始堵,每個節點都設防,一直到和國際網絡的交接點,層層設防。
這樣以“堵”為目的的網絡,不出問題才怪!
專家們設計互聯網的初衷,就是要建立一個無論發生了什麽事情都斷不了的網。 但是在特色中國,互聯網的設計卻是以斷網為目的的。如果政治上需要斷網,隨時隨刻必須斷。 如果有人說1月21日那件事不過是中國防火牆換上華為的設備後進行的一次斷網測驗,我也會接受的。
說透了,中國防火牆本來就沒有必要存在!那玩意兒是互聯網上最大的流氓!
他們處心積慮地要堵什麽呢? 誰都知道,無非是要堵住境內外一切不河蟹的聲音。 可是堵得住嗎?
流氓有術,也有效,然而有限。 所以以此成大事者,古來無有!
這是我五年來第三次鄭重呼籲:尼瑪,拆掉那座防火牆吧!
參考文獻:2014 年 1 月 21 日中國互聯網根域名服務器 (DNS) 故障是什麽原因?
