2014 年 1 月 21 日中國互聯網根域名伺服器 (DNS) 故障是什麼原因？

11-26

繼今日晨間騰訊的一系列故障後，今日下午15:10分許，眾多網站同行報告稱國內互聯網根域出現問題，導致大量網站域名解析不正常，分析後發現，所有通用頂級域名的根域解析出現異常。故障具體表現在域名訪問請求被跳轉到幾個沒有響應的美國IP上，不同省份的用戶均出現不同程度的網路故障，但也有訪問完全正常的案例。以下是故障截圖等信息，我們將以時間線的方式持續跟蹤。

[快訊]國內互聯網根域出現重大故障已持續數十分鐘
國內互聯網根域出現重大故障大量網站無法打開

網上各種謠言紛飛啊，目睹整個過程必需來說說。

=================================================================
上面補充了一張圖給不了解DNS工作原理的讀者~~

15:20 接到一個CDN用戶詢問，只有一句話：節點掛了？我第一反應是curl測一下節點，咦連不上？再進行dig +trace，嚇尿了……看圖

w(?Д?)w這是典型的*啊……我就回了句卧槽你被*照顧了？仔細一想，他就一個動漫論壇，不可能有這照顧啊，順便下面放一張被*照顧的域名的DNS跟蹤圖，像這樣就肯定是*乾的好事了：

於是我聯繫了運維幫助協查，運維這一查艾瑪嚇尿了好嗎，託管在我們DNS上的域名全部解析出來都是這鳥樣……這不科學(╯‵□′)╯︵┻━┻難道我們被*照顧了？小心臟心跳速度驟增，這時候Q群消息變的多起來，咦百度打不開，QQ空間又掛了blablabla...

我再繼續跟一下幾個域名，我大概這輩子只能見到一次這樣的trace圖了：
百度和我自己的博客

我居然能和度娘在同機房！爽不爽！【群眾：滾(╯—﹏—)╯（ ┷━━━┷

ovear君的截圖，他使用的是TCP查詢，TCP也被污染的話，你猜除了*還有誰能幹？然後發現google家dns貌似是正常的~_~

與此同時運維也在各地的伺服器上開始了跟蹤查詢，發現全國各地解析時間均為25ms左右。這時候結論就出來了。但是也許有人會說我的證據不夠充分，那麼我們再繼續查查這個65.49.2.178是什麼來頭。

於是呢，我們在同C段的65.49.2.0/24查到了下面的網站：

關鍵詞自己圖裡找

整理一下：

低延遲說明全國各地（至少在省內或者附近，不會南方跨到北方）直接返回被劫持的IP；
TCP查詢同樣中槍，排除黑闊採用全國發UDP包方式進行劫持；
同網段有那啥網站。

結論不寫了。

================================================================
更新一下，有人問啥時候會恢復什麼的。

劫持的影響大約只有15分鐘。當時我查到的TTL是幾萬，也就是說，在電信運營商沒對遞歸DNS手工刷新緩存的情況下，可能還需要間斷受影響幾個小時。不正常的可以試試更換DNS為8.8.8.8，或者等幾小時再看看，後繼影響略嚴重的樣子=_=

=。=不過有些不是計算機領域的大家可能看了最高票數的回答還是雲里霧裡，我就順便在博客寫了個科普文章。轉載過來
2014年1月21日全國DNS污染始末以及分析

=w=大概今天15:30的時候，Ovear正在調試新的伺服器，結果發現腫么突然上不去了。。結果ping了以下，結果嚇尿了，Ovear的域名都指向到[65.49.2.178]這個IP。Ovear第一反應就是，尼瑪DNSPOD又被黑了！為什麼說DNSPOD被黑了呢，其實以前DNSPOD就出過一次類似的問題=。=，導致所有的域名都跪了，剛好Ovear這個域名還有測試的幾個域名都是那裡的，然後就到某交流群吐槽。結果管理員說他們的DNS被污染了，Ovear心想不會是全國DNS都被污染了吧。結果烏鴉嘴說中了。。還真的是全國劫持。

然後Ovear就很好奇，到底是怎麼回事呢~有誰能做到這樣的事情~於是就有了以下的分析和科普~
-----------------以下內容為Ovear家電腦中病毒所致，跟本人無任何關係，謝絕跨省------------------------

balablabala說了這麼久，肯定有同學問了，窩又不是學計算機的，(╯‵□′)╯︵┻━┻dns是什麼玩意，跟我有什麼關係！
那麼DNS是什麼呢，Ovear就來科普下┑(￣Д ￣)┍。
我們訪問一般是通過域名[Domain]來訪問的，咦DNS怎麼也是D開頭的，難道有關係？說對了！就是有關係:DNS的全稱其實是[Domain Name System]翻譯過來就是域名系統。
在互聯網中，是只存在IP的，IP其實就是一串數字，相當於你家裡的門牌號，大家在網路中想找到你，必須通過這個，所以IP對於每個人來說是唯一的。但是第四代IP都是http://XXX.XXX.XXX.XXX這樣的，多難記啊，誰會沒事記住IP呢，更何況以後天那麼長的IPV6，要記住不是得要人命！

這時候一個聰明的科學家出來，我們給IP加一個別名，大家通過別名不就可以不記住這個IP，也可以知道這個IP了！於是就有了域名[Domain]這個東西.
當你訪問Ovear"s Blog的時候
電腦的DNS解析系統就會自動問DNS伺服器：尼知道Ovear"s Blog對應的IP地址是神馬么？
DNS：窩幫你查查，奧，找到了，IP是[122.10.94.169].
Ovear的電腦：謝啦，再見
DNS：恩
對應現實就是，問知道張三的人：尼知道張三家在哪裡么？回答在南山區 balabalabla。

當然這樣解釋還是不怎麼恰當的，因為一個DNS伺服器是不可能知道所有域名的地址的，因為這需要耗費極大地代價，所以這時候就出現了遞歸DNS和根DNS。

（由於篇幅原因，Ovear就簡單的說一下，其實還是有問題的。Ovear以後再寫一篇文章詳細闡述下DNS的工作原理，或者看[Domain Name System] QAQ）

（補充：QAQ這裡Ovear說的有點過簡單了，其實根DNS（ROOT DNS）指的是全球一共13台的根DNS，負責記錄各後綴所對應的TOPLEVEL Domain Server[頂級域名根伺服器],然後接下來的就是[權威DNS伺服器]，就是這個域名用的DNS伺服器（可以在whois中看到）

總結一下:

[根伺服器]:全球一共13個A-M[.http://root-servers.net]，儲存著各個後綴域名的[頂級域名根伺服器]

[頂級域名根伺服器]：每個後綴對應的DNS伺服器，存儲著該[後綴]所有域名的權威DNS

[權威DNS]:這個域名所使用的DNS，比如說我設置的DNSPOD的伺服器，權威DNS就是DNSPOD。在WHOIS（一個查看域名信息的東西）中可以看到。儲存著這個域名[對應著的每條信息] 如IP等~

所以正確的解析過程應該跟下面的圖一樣

用戶使用的DNS(邊緣DNS)-&>(還會網上推很多級最終到)根DNS-&>頂級域名根伺服器-&>權威DNS

）

根DNS是什麼呢？大家想想，每個域名都有一個後綴,比如說ovear是[.info]後綴的。那麼就有一個專門記錄[.info]後綴的dns伺服器，其他後綴也一樣。這個DNS就是該域名的根DNS。
那麼遞歸DNS呢？其實遞歸DNS就是一個代理人，是用來緩解[根DNS]壓力的，如果大家都去問[根DNS]，那[根DNS]不早就跪了。畢竟一個人(網站)的地址不是經常變的，所以就有了TTL這一說法，根據DNS的規定，在一個TTL時間呢，大家就認為你家裡(域名所指向的IP)的地址是不會變的，所以代理人[遞歸DNS]在這個時間內，是只會問一次[根DNS]的，如果你第二次問他，他就會直接告訴你域名所指向的IP地址。這樣就可以解決[根DNS]負載過大的問題啦。
順便這一張圖也可以很準確反映出來之前所說的~ =w=

說了這麼久，口水都幹了，那麼DNS到底跟這次事件有什麼關係呢~
首先來看張圖

瓦特！腫么這麼多域名都指向同一個IP了，這是什麼情況0 0。其實這就是典型的[DNS污染]了。
我們知道互聯網有兩種協議，一種是TCP，一種則是UDP了（知道泥煤啊(╯‵□′)╯︵┻━┻都說我不是學計算機的了）。
TCP和UDP的主要差別就是：能不能保證傳遞信息的可靠性。UDP是不管消息是否到達了目標，也不管通過什麼途徑的，他只管我發出去了就好，所以UDP比TCP快得多，但是可靠性沒有TCP好。

而DNS查詢默認就是用的是UDP，那麼就很好劫持啦。在UDP包任何傳輸的路途上，直接攔截，然後返回給接收端就行了。
嘖嘖，說道這大家也隱隱約約知道這次事件的問題了吧，範圍如此之廣的劫持，必須要在各個省市的主幹網上進行，而能處理這麼大數據，同時能控制這麼多主幹網的。。嘖嘖嘖。。。沒錯！就是***了~至於***是什麼，Ovear在這就不說了，不然可能大家都見不到Ovear了QAQ。
說道這裡，Ovear就準備手動查一下，到底是不是所推測的***呢？於是拿到了這個圖（From XiaoXin）

與此同時運維也在各地的伺服器上開始了跟蹤查詢，發現全國各地解析時間均為25ms左右。這時候結論就出來了。

這樣就明顯了，肯定是***做的了~~於是Ovear又好奇的查了下，這個IP是什麼來頭，為什麼都要指向到這裡去，於是Ovear發現了一些好玩的東西~（65.49.2.0/24）

從側面點出了此次事件的始作俑者。
那麼某FW為什麼要這麼做呢？Ovear在這裡做一個無責任的推測，最有可能的就是：某FW的員工本來是想屏蔽這個IP段的，但是呢一不小心點進去了DNS污染這個選項，然後又沒寫污染目標，於是就全局污染了嘖嘖嘖~

但是有些童鞋會問了(╯‵□′)╯︵┻━┻為什麼他們都說用8.8.8.8就沒事了~
其實這樣子說是不正確的，因為Ovear之前用的就是8.8.8.8，上面也說了DNS查詢默認使用的UDP查詢，所以不管你用什麼，照樣劫持不誤。其實8.8.8.8沒問題是因為污染事件已經基本結束導致的，那麼為什麼污染結束後其他國內DNS都不能用，而Goole的DNS確可以正常的使用~於是Ovear就找到了張有趣的圖片~

我先來解釋下上面命令的用途吧~這個命令是用來直接向DNS伺服器查詢域名的~
其中的[-vc]參數是強制使用TCP來查詢DNS伺服器，這樣就可以避免UDP污染的地圖炮。

那麼為什麼污染結束後，DNS還會受到污染呢？其實原因很簡單。Ovear之前說了，[遞歸DNS]是需要詢問[根DNS]的，而默認的詢問方式是採用的UDP，所以在國內的DNS伺服器，自然就受到污染了。而之前Ovear也提到過TTL這件事~
在TTL周期內，根據協議[遞歸DNS]是直接吧結果緩存在自己那，是不會再去查詢[根DNS]的，所以國內的DNS就把錯誤的結果緩存起來了~
而Google的DNS伺服器基本都是在國外，所以查詢的時候影響並不大，但是國內挺多域名使用DNSPOD啦，DNSLA的DNS，所以Google進國內查，還是會受到一定影響的。
因此，如果要完全避免這次的影響，有兩個條件
1、你的域名的DNS必須是在國外
2、你查詢的DNS必須在國外，而且如果在污染期需要通過TCP查詢。
這樣就可以避免這個問題了。

然後Ovear又手賤查了下這次的TTL，嘖嘖

如果沒有人員來手動干預，這次的事件還是要持續蠻久的~。

哎呀先不說了，Ovear去開門收個快遞~，雙十二買的好東西終於到了，咕嘿嘿期待了很久呢~回來繼續說O(∩_∩)O~~

..................................................................

(UPDATED:如果看完之後還感興趣的童鞋可以看一下(企業通常防火牆原理)[QAQ作死中小編繞窩一命吧])

更新：至於有人說 DNSPod 源碼問題，那是彩蛋好嗎。。很多網站都有的。。那圖裡面你仔細找找有很多 at 都是 Web 團隊的同學微博，程序員的惡趣味你是不會懂的。
---

我猜測是境內互聯網管理機構員工手誤，烏龍指。

我國境內 DNS 根被劫持/污染，被污染網站 IP 地址指向 65.49.2.178
有能力有膽量污染 DNS root 的幾乎只可能是該監管機構
IP Address: 65.49.2.178 可以查到 Organization: Sophidea
Sophidea Webhosting Statistic @ SmartViper.com 可以看到這個服務商的最大客戶，就是鼎鼎有名的。。。。不說了

所以不難猜測出過程可能是這樣的，某操作員本來要將該 IP 封禁，從而阻止大家下載那啥。但是操作失誤，錯誤的使用了劫持功能，並且沒有填寫要劫持的域名，然後把該 IP 填寫到了劫持後的地址上，然後造成了無法挽回的事故。

還想出國，不想被跨省，請知乎保護我。

首先，我絕對支持和贊成黃祺的技術分析
說點後續的。
洗地黨威武，目前傳統媒體開始大量引述圈內技術專家的言論，為「攻擊事件」定性。
我剛剛和某知名公司技術高管QQ聊天，斥責他成為洗地黨。他表示兩點，第一，面對傳統媒體，話不敢說太死，不能直接表明觀點；第二，傳統媒體斷章取義，沒有完整體現他的言論，將「大範圍攻擊或技術故障」的後半部分直接抹掉了。
所以，咳咳，正如某個笑話所說，
原本以為是臨時工，沒想到成為外國黑客了。

多個遞歸伺服器(1.2.4.8, 8.8.8.8, 114.114.114.114)同時把某某域名解析到65.49.2.178，可以說明不只是DNSPOD的問題。
蹊蹺的是，上午騰訊眾多產品服務出現宕機情況，下午就出現全國性DNS解析錯誤。不知道這兩者是否有聯繫，表示嚴重關注後續發展。
以下是坊間傳說；
1、國內負責DNS污染的設備進行測試的時候出現故障，對所有域名都實施DNS污染，導致大量網站解析錯誤。
2、65.49.2.178，查了下，是美國HE線路的，用了匿名代理，但組織名是Sophidea，百度上一查，居然是輪子的。。。

最新進展：
基本上恢復正常，但各地有緩存，所以部分地區可能還會持續12小時。

@黃祺我想說的他都說了
補充一點大家沒有注意到的
從昨天中午開始，65.49.2.178所在的線路http://he.net開始抽風
抽風影響到了Linode 佛爾蒙特節點（典型HE線路，Linode穩定服務的象徵）以及bandwagonhost等眾多vps
剛開始表現為ping值不穩定，忽高忽低，剛好昨天有截圖

這是昨天我在hostloc上提的問題：看這ping是什麼情況

從今天早上開始表現為國內電信對HE線路所有vps大量丟包，丟包率達到50%左右，ping值400+，如果使用過linode佛爾蒙特的朋友應該知道，該線路正常情況ping值200ms以內

可以參考這是今天早上壇友發的內容
電信訪問he是不是又開始抽了？

無責推斷：
G*W從昨天開始對該線路進行排查，影響到HE線路穩定性，不幸的是，在此之中發生錯誤，發生了今天下午的事情。

目前為止，電信訪問HE線路依然屬於異常狀態

註：截圖所用的主機為http://bandwagonhost.com亞利桑那州鳳凰城機房的，線路為HE線路，IP地址是加拿大IP，廣播到機房的。

白話無圖脫水版：

你想去北郵(通過Google訪問谷歌搜索伺服器)但不知道在哪個位置(IP地址)，

然後問路邊一小孩 (DNS緩存)：

小盆友，北郵在什麼地方 (谷歌搜索伺服器IP地址是什麼)，

小盆友也沒去過 (DNS緩存沒有記錄或記錄過期)，

就問旁邊的爸爸 (根DNS伺服器或骨幹網DNS伺服器)，

北郵在哪兒，他爸一臉不高興(你竟然敢訪問谷歌)

的指了指去法海的方向 (被污染的DNS伺服器)

的對你說，法海會告訴你。

法海你還沒見到，一張寫著地址的紙就落到你手上 (被污染的DNS返回)：

No 213,Street Paifang,Beijing (65.49.2.178)。

你屁顛屁顛地蹬著三輪朝那個方向去了 (用龜速的網路繼續找呀找呀找)，

突然發現前方有不明黑色氣團 (你電腦瞬間就驚呆了，此IP是個冒毛線啊，根本就不是谷歌搜索的伺服器)，

然後你就暈過去了 (瀏覽器提示：oops, chrome can"t connect to http://www.google. com/哥們，暫時無法訪問，請稍後再試/360瀏覽器提示您，請備好 360各種殺毒工具待命/獵豹瀏覽器提示您，我們的刷票工具不能破解驗證碼，請明日到 12306櫃檯辦理登船手續/Internet Explorer,蒼天你還在用6，怪不得上不去網，裝360補丁吧/QQ彈窗提示您：我們的群共享伺服器也掛了,請及時存好種子)。

此文摘抄於k.root-server. net伺服器，與本人無關。

似乎從原理上來說不是很複雜，根域名伺服器淪陷，解析出錯誤的結果。
由於 DNS 的遞歸解析和緩存問題，一台伺服器的污染導致各大運營商的 DNS 伺服器也遭到污染。
根據 dig 命令得到的結果，污染者將 TTL 緩存時間設置成約 40000 秒，也就是大概 12 小時。也就是說即使根域名伺服器恢復了正常，下屬的其他 DNS 伺服器在重啟之前也會保留舊的錯誤記錄。

下面來談一談為什麼攻擊者能夠如此輕而易舉地完成攻擊：
目前全世界一共有 13 台 DNS 根域名伺服器，有 10 台在美國，1 台在瑞典，1 台在荷蘭，1 台在日本，全世界有多個根域名伺服器的鏡像。也就是說中國整個互聯網的生殺大權全部掌握在美國的手裡。
曾經有人吐嘈過這個問題，其實是自己作的孽：2010年3月16日之前，中國是有兩台根域名伺服器鏡像的。但是因為某牆的原因導致了全世界人民訪問谷歌跳轉到了百度等兩次事件，威脅國際互聯網安全和自由而被斷開與國際互聯網的連接。
中國對互聯網失去了控制歸根到底是自己的原因。於是這次根域名伺服器淪陷的情況下，中國處於被動的境地。

是誰造成的攻擊呢？
現在有多個猜測，一一分析。
由於 65.49.2.178 這個 IP 地址與某組織有聯繫，有的人認為是某組織乾的事情，這就上升到政治高度了。
有的人認為是某防火牆的工作人員試圖封鎖這個 IP，而誤操作導致所有域名都解析到這個 IP 上。但是這種說法缺乏證據：如果只是這樣的話，影響範圍只應該是防火牆內部。即使是利用 8.8.8.8 8.8.4.4 4.4.2.2 1.2.4.8 等多個國外的公共 DNS 伺服器進行域名查詢，也會得到錯誤結果。（補充：有的人測試發現在國外用 8.8.8.8 進行查詢不會導致結果被污染，只有在國內查詢會污染，這個筆者沒有做測試，不清楚。那麼這樣推測有可能污染源在國內骨幹網上。）
當然有的人說是藍翔在期末考試，這個毫無根據，純屬胡鬧，不討論。

後續：安徽電信 DNS 搶答：
2014年01月21日 17時31分，本以為 DNS 污染就此結束，8.8.8.8 114.114.114.114 等伺服器以及筆者所在安徽電信運營商的 DNS 伺服器都能夠解析到正確的結果。然而在用運營商的 DNS 進行域名解析的時候，dig 命令返回了如下的一行：
;; reply from unexpected source: 61.132.161.8#53, expected 202.102.192.68#53
這個搶答的 IP 地址貌似是 APNIC 的 IP 地址。
筆者猜測可能有兩個情況。一是運營商的 DNS 伺服器還沒有完全恢復的那幾秒鐘由另一個 DNS 伺服器接替。二是黑客繼續採取 DNS 搶答攻擊的方法來進一步攻擊。個人認為第一種情況更具有可信性，因為解析出來的結果是正確的。
這個情況只持續了幾分鐘。很可惜筆者忘記了截圖，錯過了良機。

DNSPod 的彩蛋問題：
有人懷疑 DNSPod 官方網站被黑客攻陷。這個不好說，沒有根據。有可能只是 DNSPod 員工在開玩笑。
圖：DNSPod 官方網站源代碼藏有彩蛋

其實，這種東西很常見，WebQQ 曾經在源代碼中隱藏有招聘啟事呢。
圖：WebQQ 源代碼截圖

充當實驗室業餘網管的我，發現這一問題當天，將路由器DNS 改成了Google Public DNS ，然後就正常了，沒有意識到這是一個全國性的問題，實驗室的幾十號人也沒人覺得那兩個小時可以上網是多麼幸福…

2014年1月21日下午15點中國境內發生DNS污染，導致百度等多家網站長達幾個小時之內無法訪問。其指向的IP地址為65.49.2.178，所以該IP又被冠名為65.49.2.178事件。有媒體稱是國內組織或者是黑客攻擊導致的，但歷史沒有一次根域名伺服器被攻破。網路運營商出現故障可能性大些，但仍都無確切證據。

環球時報發布了一篇文章，稱中國國內大面積域名21日15時左右出現解析異常情況，致使部分用戶無法正常訪問網站。國家互聯網應急中心22日證實，是由於根伺服器遭受網路攻擊所致。

在另一篇文章中，環球時報稱，在此次事件中，各大網站均被劫持到65.49.2.178這個IP上，通過查詢，發現該IP位於美國北卡羅來納州卡里鎮Dynamic Internet Technology公司，大量中國知名IT公司的域名被解析到該地址，這家公司與研發某翻牆軟體的是同一家公司。環球時報暗示是這家公司發起的網路攻擊。

那麼，真的是這家翻牆軟體公司喪心病狂地發起針對中國的大範圍網路攻擊嗎？如果發動網路攻擊的是這家翻牆軟體公司，那麼攻擊者不應該將全中國網站都解析到自己的伺服器上，這顯然會對其伺服器造成DDOS，使其立刻宕機，變成了自己攻擊自己，做網路攻擊的人應該不會那麼傻。而且，此次網路域名解析事件影響之廣、範圍之大在國內尚屬首例，遠遠超出一般黑客的能力範圍，單單這一家小網路公司顯然沒有這個攻擊能力，到底是誰攻擊的？這個問題可能永遠無法解答，因為真正的問題應該是：

「到底有沒有攻擊」？

2014年1月24日，參考消息網刊登《外媒：美國公司矢口否認攻擊中國網路》，文章稱，境外媒體關注到，一些黑客和分析師表示，中國互聯網架構的一個高層次故障本周導致該國多達三分之二的域名網站癱瘓數小時，儘管官方媒體的報道將這起互聯網癱瘓事件歸咎於大規模網路攻擊。

據英國《金融時報》網站23日報道，新華社援引分析人士的警告稱，此次大面積癱瘓可能是一場網路攻擊的結果。據報道，一些流量被轉向美國公司Dynamic Internet Technology（DIT）的網站。該公司向中國用戶出售使他們能夠規避審查的網路服務。分析人士稱，尚不清楚此次癱瘓是由黑客引起的，還是某個故障所致。

23日，一些中國黑客指出，中國的「防火長城」（用於屏蔽大量境外網站的龐大互聯網審查設施）可能發生了故障。他們表示，政府很可能本來想要屏蔽DIT公司的網站，但某個技術人員可能不小心將中國很大一部分互聯網流量轉向了該網站。DIT的網站22日面對巨大流量難以招架。這家美國公司表示，它與中國互聯網的大面積癱瘓沒有關係。

新加坡《聯合早報》23日援引中國媒體的報道說，這家名為Dynamic Internet Technology的公司正是「自由門」翻牆軟體的開發者，該公司的服務對象包括美國之音、自由亞洲電台等媒體，為中國的互聯網用戶提供被屏蔽網頁的訪問服務。但據《南華早報》報道，該公司負責人表示與中國部分網路癱瘓無關，這次事件是政府自身的網路審查系統出現故障所致。

域名解析故障是因為根伺服器遭攻擊嗎？

實際上，環球時報自己也在文章中說了，全球13個根伺服器大部分都放置在美國，其餘在英國、瑞典、日本各一個。如果攻擊根伺服器，應該攻擊美國才對，而不是攻擊中國，而且，如果是根伺服器遭到攻擊，意味著全球網路的域名解析都會出問題，全球網民上網都會出現故障，而不會只是中國一個國家發生問題。從這個角度來看，最大的可能是中國境內提供域名解析的伺服器出了問題，才導致只有中國網民的上網出現了故障。

此外，「網路攻擊論」的另幾個理由是，百度某二級域名和DNSPod源代碼出現奇怪文字的情況，經過分析，這和此次域名解析故障無關，百度該子域名並不涉及任何百度業務，從Internet Archive網站顯示，從2010年到2012年，該頁面一直只有一行英文，因此應該是百度開發人員自己調試時候隨便寫的，並沒有證據表明該網站曾經被黑。DNSPod源代碼的奇怪文字也是其自己惡搞，並且很久以前就已經存在了，和這次事件無關。

總之，目前互聯網所有根伺服器均由美國政府授權的互聯網域名與號碼分配機構ICANN統一管理，負責全球互聯網域名根伺服器、域名體系和IP地址等的管理，這種管理方式目前看來是安全可靠的，中國的這次網路域名解析的大規模故障，其實資深的網友都明白原因是什麼，因此還是先找找中國自己的問題吧。

原文鏈接: 2014.01.21天朝DNS故障讓我們記住了65.49.2.178

我試著說個普通話版：
首先DNS是負責把域名解析成IP的一個協議，比如你輸入的http://www.baidu.com其實是去訪問一個伺服器比如123.123.123.123，把http://WWW.BAIDU.COM和123.123.123.123關聯在一起就靠DNS協議。你在計算機瀏覽器上輸入http://WWW.BAIDU.COM，你的計算機首先會向DNS伺服器請求解析以得到123.123.123.123這個結果，這是正常情況
昨天的異常，按答主的分析，是有人挾持了DNS解析過程，把幾乎所有以.COM為結尾的DNS解析請求全部返回為一個米國的IP，這個米國的IP地址其實對應了一個米國的伺服器，上面是某些個網站。
這麼做的結果，咱們中國所有訪問以.COM結尾的網站其實最後都去訪問了那個米國的伺服器。
那個米國的伺服器累死了，訪問量太大。

這是zealer的解釋我直接搬運了……

2014年1月21日下午15時左右開始，全球大量互聯網域名的DNS解析出現問題，國內所有的頂級根域無法解析，全國三分之二的DNS伺服器也處於癱瘓狀態，直接後果就是大量網站域名解析不正常。一些知名網站及所有不存在的域名，均被錯誤的解析指向65.49.2.178，導致大量網站無法訪問，預計此次事件影響超過幾十萬個網站。
根伺服器主要用來管理互聯網的主目錄。全世界只有13台，這13台根域名伺服器中名字分別為「A」至「M」，其中10台設置在美國，另外各有一台設置於英國、瑞典和日本。
簡單的說，如果我們要訪問http://baidu.com這個網站，先要指向根伺服器，根服務再將用戶指向.com伺服器，.com的解析伺服器再把用戶指向http://baidu.com。
目前，國內訪問根伺服器已恢復正常，但是由於各地DNS伺服器還有緩存，部分地區可能會持續12小時。

2014年1月21日下午三點全國網路dns癱瘓。我這麼說吧，有一個境外資產曝光的組織，叫icji，總部在華盛頓，他們準備在美國東部時間21號下午發布一個消息，是什麼我就不能說了。得到消息的國內高層相關人士下令對各大網站相關可能出現的內容的網頁就行和諧，而且必須是徹底的，半天就執行完的，網路封鎖行動，有如h1n1撲殺預防大範圍宰雞。。技術問題大家都懂，這次絕對是監管部門人為操作，是不是所謂的失誤，我就說這麼多。我必須匿名了。。

當時感覺有問題的時候第一個念頭就是：電信怎麼這麼可恥！！然後換成8.8.8.8.了。電信我錯怪你了。

當很多不可能短時間集中反饋。isp/公共遞歸日誌線索是最清楚不過的，公用權威日誌其次。

域名污染和域名劫持可不是一回事！！