网络故障-大陆DNS大规模故障始末及DNSPod 致全国用户的道歉信

09年5月18日开始,著名免费dns服务提供商的6台服务器开始受到攻击.dnspod为诸多网站提供域名解析服务,其中包含暴风影音.

18日晚上20点33分59秒.在史无前例的大流量攻击下dnspod的6台解析服务器开始失效,大量网站开始间歇性无法访问,其中包括国内诸多知名网站,当然,其中也包含我的不知名网站.第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps/S,如下图 ,要知道,一个电信核心机房的带宽也仅仅最多只有几十G.

18日当晚,由于dnspod耗尽了整个机房近乎3分之1的带宽资源,为了不影响机房其他用户,dnspod的电信主力dns服务器被迫离线.

19日晚上,在另一轮高强度攻击下,dnspod服务完全中断,由于暴风影音播放器客户端无法解析出服务器的IP,开始不断向网络供应商的dns服务器发送解析请求,造成当地运营商的dns服务器堵塞.

19日晚上21点左右,浙江电信dns开始瘫痪 , 之后的两个小时内北京、天津、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的dns陆续瘫痪.

在零点之前,部分地区的运营商进行了处理,将暴风影音的服务器Ip加入dns缓存或者禁止了这个域名的解析,网络开始恢复.

截至目前为止,还有很多地区的dns服务存在问题,dnspod的也仍然没有完全恢复.

后经了解,此次事故的罪魁祸首竟然仅仅是同样在使用dnspod服务的一个私服网站,这个网站的”同行”在对其web服务器攻击不成的情况下动用大量肉鸡对其dns服务商dnspod进行了丧心病狂的攻击,其规模之大真的让人胆战心惊.

现在还不能正常进行解析的朋友可以尝试opendns,将网络设置中的dns地址修改为208.67.222.222 和 208.67.220.220 即可。

 

 

DNSPod 致全国用户的道歉信

 

 

尊敬的DNSPod会员：
感谢您一如既往的支持DNSPod。2009年5月18日晚上22点左右，DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击，因为已经影响到机房其它客户，稍后便被省电信骨干网封掉了NS的IP，虽然我们及时的更换了IP，但是由于DNS协议限制，DNS更改IP需要最多72才能生效，造成很多用户的域名一直无法解析，记录一直停留在电信骨干封掉的老IP上。为此给各位新老用户造成了很大的损失，在此，我们团队向您表示我们深深的歉意！

我们一直坚持免费，在智能DNS解析方面，我们一直是公平对待。我们绝不会使用一些卑鄙手段来增加VIP的销量。（VIP目前是内测期，为了保证稳定性，有很高的准入和审核制度，不是花钱就能买）

从这次事件再次给我们敲响了警钟，这是DNSPod建站以来遭受的最大规模攻击，我们计划通过以下两点来提高免费用户的DNS的稳定性。

一，我们将重新部署多台DNS服务器做负载均衡。如NS6不再是一台服务器，而是多台服务器；尽量放在防火墙下。（虽然防火墙的效果微乎其微）

二，从现在开始，我们将大规模封杀包括私服发布站、私服等有争议，易引来攻击的域名。

如果您的网站非常重要，或者您对我们的以上改进还不放心的话。您除了尽量填写6个DNS服务器外，还能做以下操作来确保您解析的稳定。(如果您对我们很有信心，我们同样有信心不会让您失望。)

如：您的网站为：www.dnspod.com 您可以把这个域名的NS服务器放到您认为最稳定最快最好的域名服务商那里，然后把不重要的域名比如:www.mydnspod.com的NS服务器改为DNSPod的NS服务器，然后把比如:bbs.dnspod.com CNAME到 bbs.mydnspod.com然后在DNSPod上的mydnspod.com这个域名上进行解析。

这样如果一旦DNSPod再次让您失望了。那么您还可以马上把您的主域名的CNAME删除，直接解析到您需要解析的IP，这样的生效时间是很快的。
这样的缺点是因为需要经过二轮解析，会降低DNS解析成功率。

在此，我们再次对本次因为遭受恶意攻击而给您带来的损失表示我们诚挚的歉意，希望您还能一如既往的支持DNSPod。

谢谢！
奶罩
2009-05-19 晚