65.49.2.178

65.49.2.178
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
两张图片告诉你为什么域名会被解析到65.49.2.178 佐拉认证作者2014-01-23共401389人围观，发现 30 个不明物体网络安全
2014年1月21日中国出现重大网络事故，大量域名被解析到一个65.49.2.178 这个IP了。

中国的一家DNS服务商DNSPOD于 2014 年 1 月 21 日 16:18 说：

2014年1月21日下午15：10左右，DNSPod发现国内所有通用顶级域的根出现异常，技术人员已联系相关机构协调处理。目前根已恢复正常，但是后续还会存在以下问题：
根虽已恢复，但还有返回错误IP地址，因为各地有缓存，所以部分地区可能会持续12小时。
正常的域名解析应该是这样的：

域名解析四步:

第一步先是找到最近的根域名，返回 f.root-servers.net. 这样的结果
第二步根域名返回gTLD地址，返回 a.gtld-servers.net. 这样的结果
第三步gTLD返回name server地址和IP，返回 ns1.dreamhost.com. 这样的结果
第四步name server返回域名的真实IP，返回 69.163.141.215 这样的结果
而事故发生时dig +trace 却不是上面四个步骤,如下图

上图来自知乎

上图中gTLD地址和name server地址都没有返回，看上去是通用顶级域的根出现问题了，所用延时极短就直接返回65.49.2.178这个假IP，这张图显示只用了27毫秒。

本来有四步才能得到答案，结果有人插嘴就得到答案了，省掉了两步，这就是DNS劫持造成的。就好比你在广州放只鸽子去北京，本来要路过长沙和郑州，来回要4天，结果鸽子只用了一天就回来了，它没有郑州和北京，只去了长沙。

结论是，机房有设备干扰了DNS查询过程，是一个DNS污染事故，是尝试在机房的GFW审查设备做网络封锁时无意中犯下的过错，可能是封锁IP时操作成封锁所有域名了。

附： 65.49.2.178 这个IP所在的IP段是 Dynamic Internet Technology公司的Anonymous Proxy的IP : http://bgp.he.net/net/65.49.2.0/24#_dns

如果你对任播这种一个IP对应多个服务器的技术细节不会头大，欢迎翻墙去http://www.zhoushuguang.com/2014/01/nslookup.html 查看详细分析。

PS：

国内的科技媒体上说“根服务器只有13台，亚洲唯一的一台在日本”，这样的说法过时了，亚洲有26台根服务器啦,F-Root有14台，I-Root有9台，K-Root有3台 http://www.apnic.net/community/support/root-servers/root-server-ma

全球有386台根服务器,被编号为A到M共13个标号。中国北京有两台编号为F的根服务器镜像，编号为I、J、L的各一，共5台镜像，在香港有A、F、I、J、L五台根服务器镜像，全部借由任播（Anycast）技术，所有编号相同的根服务器都是同一个IP，386台根服务器总共只使用了13个IP. 详情见 http://www.root-servers.org

[原文发表在 http://www.zhoushuguang.com/2014/01/nslookup.html

原创作者：佐拉 http://weibo.com/zuola]

佐拉
佐拉
3 篇文章
等级： 3级
||
上一篇：分析一个跨平台DDOS僵尸网络下一篇：DNS污染事件跟踪：为什么.cn和.org域名逃过一劫
这些评论亮了

test 回复
这才叫技术文章，前面那片解释这次事件的整个一个羊拉屎。
)34(亮了

佐拉 (3级)楚国人在台湾，网络工程师，网志作者回复
@Sh@doM 我出来混就没怕被别人知道过，我在公安局的知名度还蛮高的啊
)33(亮了

Sh@doM 回复
………………佐拉你现在在台湾发表这么屌的技术文章，长沙的警察蜀黍知道么？
)11(亮了

hehe 回复
呵呵，说对了一半
)9(亮了

虾 (1级)回复
你这么屌，JC知道吗？
)8(亮了
发表评论已有 30 条评论

test 2014-01-23回复 1楼
这才叫技术文章，前面那片解释这次事件的整个一个羊拉屎。

亮了(34)

Sh@doM 2014-01-23回复 2楼
………………佐拉你现在在台湾发表这么屌的技术文章，长沙的警察蜀黍知道么？

亮了(11)

佐拉认证作者(3级) 楚国人在台湾，网络工程师，网志作者 2014-01-23回复
@Sh@doM 我出来混就没怕被别人知道过，我在公安局的知名度还蛮高的啊

亮了(33)

Neal 2014-01-23回复 3楼
简单，直接，明了！赞！

亮了(7)

虾 (1级) 2014-01-23回复 4楼
你这么屌，JC知道吗？

亮了(8)

demon 2014-01-23回复 5楼
这才是好文！

亮了(7)

佐拉认证作者(3级) 楚国人在台湾，网络工程师，网志作者 2014-01-23回复 6楼
我是 http://weibo.com/zuola ，不是 http://weibo.com/zuol ，一个a 被你们编辑删除了

亮了(6)

FB客服认证作者(9级) FreeBuf官方客服 2014-01-23回复
@佐拉非常抱歉给您带来不便，已修改原文，微博上已重新声明。 :sad:

亮了(6)

佐拉认证作者(3级) 楚国人在台湾，网络工程师，网志作者 2014-01-23回复
@FB客服没关系，感谢你们重新排版：）

亮了(6)

路人甲 2014-01-23回复 7楼
弄了半天是周曙光大侠呀,咋跑台湾去了?

亮了(6)

佐拉认证作者(3级) 楚国人在台湾，网络工程师，网志作者 2014-01-23回复
@路人甲大侠不敢当，跑台湾是因为我膝盖中了一箭，台湾的箭

亮了(6)

hehe 2014-01-23回复 8楼
呵呵，说对了一半

亮了(9)

河蟹他爸 2014-01-24回复
@hehe 黑阔来指导你们了

亮了(7)

break386 (1级) 2014-01-23回复 9楼
原文吖~想

亮了(5)

ohninomi 2014-01-23回复 10楼
红包红包~如我心意！

亮了(6)

谷歌小王子 2014-01-23回复 11楼
快递在路上了。

亮了(7)

I-ru-k準博士ing 2014-01-23回复 12楼
你朋友名字太厉害了。

亮了(5)

陈SI兄 2014-01-23回复 13楼
他不但网名厉害，真名也很厉害。英文名就是音译的真名

亮了(6)

I-ru-k準博士ing 2014-01-23回复 14楼
好吧。。完全想象不出来。。

亮了(5)

您拨打的用户正在 2014-01-23回复 15楼
滑伦功？？？

亮了(3)

skysunii 2014-01-23回复 16楼
mark

亮了(4)

陈SI兄 2014-01-23回复 17楼
功夫王VS滑轮公

亮了(4)

LittleHann 认证作者(5级) 阿里巴巴安全工程师 2014-01-24回复 18楼
真是好文，牛逼

亮了(4)

netorgcom (4级) 2014-01-24回复 19楼
牛逼好文

亮了(2)

ovens (3级) 2014-01-24回复 20楼
牛b的好文一般都要翻墙才可以看到

亮了(1)

softbug 认证作者专栏作者(7级) i am here! 2014-01-24回复 21楼
好文！学习了

亮了(1)

郴州网址导航 2014-01-24回复 22楼
在北京是两台L编号的镜像根服务器。

亮了(1)

馬化騰 (3级) 做互联网必须要有创新思维！ 2014-01-26回复 23楼
好文！来我公司吧

亮了(2)

happyevile (1级) 2014-01-27回复 24楼
揭示得很彻底啊，怪不得这几天不再有人炒作美国威胁论了，原来是自己人干的。

亮了(3)

CHINNNKI 2014-01-23回复 25楼
功夫王VS滑轮公

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
佐拉
佐拉认证作者

楚国人在台湾，网络工程师，网志作者

3
文章数
18
评论数
最近文章
国内iCloud服务器遭遇中间人攻击，中国苹果用户隐私不保
2014.10.19

DNS污染事件跟踪：为什么.cn和.org域名逃过一劫
2014.01.24

两张图片告诉你为什么域名会被解析到65.49.2.178
2014.01.23

浏览更多
相关阅读
全球最大比特币钱包运营商Blockchain遭遇DNS劫持攻击继续追踪今日热点-国内互联网根域名服务器故障黑客两小时卷走13000美金，MyEtherWallet DNS劫持事件深度分析通过BGP劫持修改网络支付系统DNS记录DNS污染事件跟踪：为什么.cn和.org域名逃过一劫
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

65.49.2.178

文章评论