65.49.2.178

2014年1月21日中国出现重大网络事故，大量域名被解析到一个65.49.2.178 这个IP了。

中国的一家DNS服务商DNSPOD于 2014 年 1 月 21 日 16:18 说：

 2014年1月21日下午15：10左右，DNSPod发现国内所有通用顶级域的根出现异常，技术人员已联系相关机构协调处理。目前根已恢复正常，但是后续还会存在以下问题：
根虽已恢复，但还有返回错误IP地址，因为各地有缓存，所以部分地区可能会持续12小时。

正常的域名解析应该是这样的：

域名解析四步:

第一步先是找到最近的根域名，返回 f.root-servers.net. 这样的结果
第二步根域名返回gTLD地址，返回 a.gtld-servers.net. 这样的结果
第三步gTLD返回name server地址和IP，返回 ns1.dreamhost.com. 这样的结果
第四步name server返回域名的真实IP，返回 69.163.141.215 这样的结果

而事故发生时dig +trace 却不是上面四个步骤,如下图

上图来自知乎

上图中gTLD地址和name server地址都没有返回，看上去是通用顶级域的根出现问题了，所用延时极短就直接返回65.49.2.178这个假IP，这张图显示只用了27毫秒。

本来有四步才能得到答案，结果有人插嘴就得到答案了，省掉了两步，这就是DNS劫持造成的。就好比你在广州放只鸽子去北京，本来要路过长沙和郑州，来回要4天，结果鸽子只用了一天就回来了，它没有郑州和北京，只去了长沙。

结论是，机房有设备干扰了DNS查询过程，是一个DNS污染事故，是尝试在机房的GFW审查设备做网络封锁时无意中犯下的过错，可能是封锁IP时操作成封锁所有域名了。

附： 65.49.2.178 这个IP所在的IP段是 Dynamic Internet Technology公司的Anonymous Proxy的IP : http://bgp.he.net/net/65.49.2.0/24#_dns

如果你对任播这种一个IP对应多个服务器的技术细节不会头大，欢迎翻墙去http://www.zhoushuguang.com/2014/01/nslookup.html 查看详细分析。

PS：

国内的科技媒体上说“根服务器只有13台，亚洲唯一的一台在日本”，这样的说法过时了，亚洲有26台根服务器啦,F-Root有14台，I-Root有9台，K-Root有3台 http://www.apnic.net/community/support/root-servers/root-server-ma

全球有386台根服务器,被编号为A到M共13个标号。中国北京有两台编号为F的根服务器镜像，编号为I、J、L的各一，共5台镜像，在香港有A、F、I、J、L五台根服务器镜像，全部借由任播（Anycast）技术，所有编号相同的根服务器都是同一个IP，386台根服务器总共只使用了13个IP. 详情见 http://www.root-servers.org

[原文发表在 http://www.zhoushuguang.com/2014/01/nslookup.html

原创作者：佐拉 http://weibo.com/zuola]