网络安全体系脆弱 “411”全国性断网事件调查

　　上网高峰时段，网络断了。习惯了在网上冲浪的上千万人突然在同一时间掉下了水——4月11日晚10时左右，一起全国性的网络断网事故发生，习惯于网络生存的网民们被生生地拽出虚拟世界。各地的电信报障电话“10000”很快接到大量的用户投诉。中国电信杭州市分公司工作人员称：“接到上级通知，说在晚上10时左右杭州发生了大规模的断线问题，但在10时57分已恢复正常。具体原因我们还不是很清楚。”广州电信的一位技术支持人员接受记者采访时称，当时广州电信正在进行网络系统的软硬件升级，所以导致广州出现了十几分钟到一个小时左右的网络中断。

　　当晚10时43分，中国著名网络论坛天涯社区里有一网名为“中国人民大团结”的网友发帖问：“太可怕了！刚才是全国性断网吗？”并希望其他各地的网友反映情况并留下所在地信息。跟帖意外热烈，据当晚统计，北京、广东、浙江、河北、江苏、湖北、陕西、湖南、福建、陕西、上海、江西、四川、河北、武汉、云南、浙江、河南、黑龙江、宁夏、西藏等省市区都有网友回帖称网络不通。网络运营商包括了中国电信、网通、长城宽带、联通、铁通等主要的几大互联网运营商。还有网友反映教育网也断了。所有的反映，时间几乎都指向同一点：4月11日晚10时左右。

　　中国电信：故障原因正在详查

　　广东省电信公司数据通信局副局长黎晓表示，没听说有全国性的断网事件，从网络结构上说，这样的事件几乎不可能发生。国家计算机网络应急技术处理协调中心广东负责人宋宛接受记者采访时证实，确有一次大规模的断网事件，主要是电信的骨干网出现问题，网通等其他运营商没事，之所以出现其他运营商的用户反映不能上网，一个是因为大部分运营商还是用的电信的骨干网，另一个，可能是其他运营商与电信之间互联互通时产生的问题。

　　中国电信集团综合部发言人李鲁滨4月12日表示，故障原因正在由技术部进行详查，目前尚无结论。中国电信会在有关结论得出之后，在新华网等处进行公告。

　　据记者从网通公司内部了解到的情况，网通全国数据交换中心显示，当时并未出现骨干网的断网。另据报道，中国网通网管中心IP网管理部经理岳玲和同事对11日的网络故障进行了热烈的讨论。当天进行的全网检查，中国网通没有发现网络流量等数据在11日当晚有异常现象。

　　故障分析：攻击手法可能是DDoS

　　天涯社区上一位来自浙江的网友“心不太圆”说，“向‘10000’咨询。得到的客服的回复是：遭受黑客攻击。”网友“重名有罪”于4月12日晚9时跟帖称，在QQ上有人告诉他“4月11日晚上10时开始，华中、华南、华北、华东等地区的网络通信均大面积地停止服务。在2005年4月11日22：10至22：30，时间长短不等，现在我国的网络通信出国口依然缓慢！！！！！“

　　12日的另一个消息，则声称是中国的黑客组织所为：“‘黑客城市’首次攻击电信成功！这次行动……其成果是造成各大城市的电信主网络掉线5分钟！”

　　搜狐广州分公司的技术工程师郭冉分析说，其实黑客要实现这样的攻击几乎是不可能的。互联网真的好像一张网，从一个点走向另一个点，其中一条线断了，另外还有很多条其他路线可以走通。这次全国几乎同时断网，很难判断到底是什么原因。

　　深圳金蝶软件公司的软件工程师彭璐在接受采访时认为，电信方面“统一升级”的说法实在可笑。如果网络运营商软硬件升级能导致全国性断网，那么，从理论上说，黑客也可以。“互联网上是不存在某个超级主机的，因此只能攻击某一防卫薄弱的主机，取得控制权，然后以此为宿主，通过木马程序传播自身，从而感染全网。”

　　木马程序得名于希腊神话特洛伊木马。分为服务器程序和控制器程序，服务器程序以图片、电子邮件、一般应用程序等伪装，让用户下载，自动安装后，木马里藏着的“伏兵”就在你的电脑上开个“后门”，使拥有控制器的人可以随意出入你的电脑存取文件，操纵你的电脑，监控你所有操作。

　　广州一名不愿透露身份的网络工程师分析，从故障症状上看，当晚网络用户不能上网站，也不能用即时通讯软件，但却能用BT、电驴等点对点传输软件，最大的可能是进行域名解析的DNS服务器出了问题。DNS(DomainNameService)即域名管理系统。域名是网络上用直观的字符地址来描述主机的一种方法。

　　比如，搜狐的域名是“www.sohu.com”，这个名字只是便于记忆与识别，计算机并不能识别，这就需要DNS服务器来进行翻译，转换成计算机可识别的“61.135.131.73”，方能正常访问这个网站。如果DNS不能正常工作，在网民这边看来，就是连不上网站，“上不了网”。

　　该网络工程师介绍说，一般各网络运营商在各省都有数台DNS服务器，如果是各公司的全国DNS服务器同时升级，也会事先预告，或有备份服务器持续提供服务，基本上不可能同时停机。但华南、华北等主要片区的DNS服务器同时出问题的话，就会出现大量用户无法访问网站的情况。要是黑客有足够的水平和耐心，理论上可以达到让国内主要的DNS服务器同时无法正常工作的效果。从攻击的手法上看，DDoS(DistributedDenialofService分布式拒绝服务)可能性会比较高。

　　据介绍，DDoS(分布式拒绝服务)攻击手法是，向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而筋疲力尽，合法的用户却由此无法享受到相应服务，实际上就是遭到服务器的拒绝服务。DDoS攻击的特点是先控制一些高带宽的服务器，然后在这些服务器上安装攻击软件，集数十台、数百台甚至上千台机器对目标服务器发动攻击，即使是高性能的商业网站，也难以逃脱瘫痪的命运。全世界对于该类型的攻击目前都没有完善的解决办法。