4.11断网事件调查：脆弱的中国网络安全体系

　　相关新闻：4-11全国互联网故障谜团难解 网通自报平安
　　　　　　　昨晚10时全国互联网群发性故障 原因无定论

　　有专业人士认为此次事件虽至今未见网站被黑、信息被盗等报告，但足以体现中国网络安全体系的脆弱

　　上网高峰时段，网络断了。习惯了在网上冲浪的上千万人突然在同一时间掉下了水——4月11日晚10时左右，一起全国性的网络断网事故发生，习惯于网络生存的网民们被生生地拽出虚拟世界。各地的电信报障电话“10000”很快接到大量的用户投诉。中国电信杭州市分公司工作人员称：“接到上级通知，说在晚上10时左右杭州发生了大规模的断线问题，但在10时57分已恢复正常。具体原因我们还不是很清楚。”广州电信的一位技术支持人员接受采访时称，当时广州电信正在进行网络系统的软硬件升级，所以导致广州出现了十几分钟到一个小时左右的网络中断。

　　当晚10时43分，中国著名网络论坛天涯社区里有一网名为“中国人民大团结”的网友发帖问：“太可怕了！刚才是全国性断网吗？”并希望其他各地的网友反映情况并留下所在地信息。跟帖意外热烈，据当晚统计，北京、广东、浙江、河北、江苏、湖北、陕西、湖南、福建、陕西、上海、江西、四川、河北、武汉、云南、浙江、河南、黑龙江、宁夏、西藏等省市区都有网友回帖称网络不通。网络运营商包括了中国电信、网通、长城宽带、联通、铁通等主要的几大互联网运营商。还有网友反映教育网也断了。所有的反映，时间几乎都指向同一点：4月11日晚10时左右。

　　中国电信：故障原因正在详查

　　广东省电信公司数据通信局副局长黎晓表示，没听说有全国性的断网事件，从网络结构上说，这样的事件几乎不可能发生。国家计算机网络应急技术处理协调中心广东负责人宋宛接受本报记者采访时证实，确有一次大规模的断网事件，主要是电信的骨干网出现问题，网通等其他运营商没事，之所以出现其他运营商的用户反映不能上网，一个是因为大部分运营商还是用的电信的骨干网，另一个，可能是其他运营商与电信之间互联互通时产生的问题。

　　中国电信集团综合部发言人李鲁滨4月12日表示，故障原因正在由技术部进行详查，目前尚无结论。中国电信会在有关结论得出之后，在新华网等处进行公告。

　　据记者从网通公司内部了解到的情况，网通全国数据交换中心显示，当时并未出现骨干网的断网。另据报道，中国网通网管中心IP网管理部经理岳玲和同事对11日的网络故障进行了热烈的讨论。当天进行的全网检查，中国网通没有发现网络流量等数据在11日当晚有异常现象。

　　故障分析：攻击手法可能是DDoS

　　天涯社区上一位来自浙江的网友“心不太圆”说，“向‘10000’咨询。得到的客服的回复是：遭受黑客攻击。”网友“重名有罪”于4月12日晚9时跟帖称，在QQ上有人告诉他“4月11日晚上10时开始，华中、华南、华北、华东等地区的网络通信均大面积地停止服务。在2005年4月11日22：10至22：30，时间长短不等，现在我国的网络通信出国口依然缓慢！！！！！”

　　12日的另一个消息，则声称是中国的黑客组织所为：

　　“‘黑客城市’首次攻击电信成功！这次行动……其成果是造成各大城市的电信主网络掉线5分钟！”

　　搜狐广州分公司的技术工程师郭冉分析说，其实黑客要实现这样的攻击几乎是不可能的。互联网真的好像一张网，从一个点走向另一个点，其中一条线断了，另外还有很多条其他路线可以走通。这次全国几乎同时断网，很难判断到底是什么原因。

　　深圳金蝶软件公司的软件工程师彭璐在接受采访时认为，电信方面“统一升级”的说法实在可笑。如果网络运营商软硬件升级能导致全国性断网，那么，从理论上说，黑客也可以。“互联网上是不存在某个超级主机的，因此只能攻击某一防卫薄弱的主机，取得控制权，然后以此为宿主，通过木马程序传播自身，从而感染全网。”

　　木马程序得名于希腊神话特洛伊木马。分为服务器程序和控制器程序，服务器程序以图片、电子邮件、一般应用程序等伪装，让用户下载，自动安装后，木马里藏着的“伏兵”就在你的电脑上开个“后门”，使拥有控制器的人可以随意出入你的电脑存取文件，操纵你的电脑，监控你所有操作。

　　广州一名不愿透露身份的网络工程师分析，从故障症状上看，当晚网络用户不能上网站，也不能用即时通讯软件，但却能用BT、电驴等点对点传输软件，最大的可能是进行域名解析的DNS服务器出了问题。DNS(DomainNameService)即域名管理系统。域名是网络上用直观的字符地址来描述主机的一种方法。比如，搜狐的域名是“www.sohu.com”，这个名字只是便于记忆与识别，计算机并不能识别，这就需要DNS服务器来进行翻译，转换成计算机可识别的“61.135.131.73”，方能正常访问这个网站。如果DNS不能正常工作，在网民这边看来，就是连不上网站，“上不了网”。

　　该网络工程师介绍说，一般各网络运营商在各省都有数台DNS服务器，如果是各公司的全国DNS服务器同时升级，也会事先预告，或有备份服务器持续提供服务，基本上不可能同时停机。但华南、华北等主要片区的DNS服务器同时出问题的话，就会出现大量用户无法访问网站的情况。要是黑客有足够的水平和耐心，理论上可以达到让国内主要的DNS服务器同时无法正常工作的效果。从攻击的手法上看，DDoS(Distributed　Denial　of　Service分布式拒绝服务)可能性会比较高。

　　据介绍，DDoS(分布式拒绝服务)攻击手法是，向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而筋疲力尽，合法的用户却由此无法享受到相应服务，实际上就是遭到服务器的拒绝服务。DDoS攻击的特点是先控制一些高带宽的服务器，然后在这些服务器上安装攻击软件，集数十台、数百台甚至上千台机器对目标服务器发动攻击，即使是高性能的商业网站，也难以逃脱瘫痪的命运。全世界对于该类型的攻击目前都没有完善的解决办法。

　　中国红客：被攻击可能性很大

　　嫌疑很大的黑客自己怎么看这次断网事件？黑客在中国有另外一个名称“红客”。他们声称与黑客不同，不在国内进行恶意入侵计算机等活动。“中国红客大联盟”的站长SharpWinner接受本报采访时分析说，DNS服务器和主干网都出了问题会导致这样的事件。虽然我们是一个国家的网络，但是黑客攻击的不是我们整个网络，而是网络中比较重要的DNS服务器和核心路由器。只要让这些服务器瘫痪掉，那么网络自然就断掉了。很有可能是被人采取DDoS攻击而导致的。至于是何处黑客所为，他表示，很多消息都是在网络上传的，不能确定其真实性。黑客发动攻击前，都会通过很多不同的远程服务器来当跳板，隐藏自己的踪迹，没有电信运营商和公安部门的配合，仅凭个人之力，在这么短的时间内是不可能查到攻击源的。

　　瑞星公司一位专家认为，虽然通过黑客手段造成骨干网的故障而影响全国存在可行性，但是至今并没有网站被黑、信息被盗等安全事件的报告。中国互联网信息中心(CNNIC)也表示，该中心负责监控的域名解析没有发现异常，可以基本证实没有特定的网站发生故障。SharpWinner对记者表示，如果黑客的目标就是瘫痪中国的互联网，那么，不一定会有特定的网站被黑或信息被盗，被黑和网络瘫痪是两码事。

　　SharpWinner介绍说，现在DDoS有了更先进的手法。其中之一是Drdos——反射式服务拒绝攻击。基本原理是借用大流量的服务器的流量来阻塞目标服务器。它不需要控制“肉鸡”(攻击者控制的服务器，行话叫“肉鸡”)，只需要伪装成目标服务器来向大流量的服务器发送大量数据包就能达到目的。说得简单一点，跟武侠小说里说的神功“移花接木”类似，当内功高手的雄浑内力打来时，把压力转移到另外的人身上，这个“人”就是要攻击的目标服务器。

　　安全漏洞：脆弱的中国网络安全体系

　　国家计算机网络应急技术处理协调中心运行管理部副主任周勇林透露，自2001年“红色代码”病毒大规模爆发后，该中心和各运营商组建了一个国家公共互联网安全应急体系，10分钟之内就能掌握全网情况。另外，“公共互联网安全应急预案”已在拟定中。

　　但此次全国性断网事件却足以体现中国网络安全体系的脆弱。

　　软件工程师彭璐说：“主干网故障是很大的事故，如果真是被攻击的话是很恐怖的。意味着我国信息安全防卫能力还是很差。民用网可以被攻击，专用网一样也可能被攻击：军网、金融、政务……难以想象，这种情况通常只会在信息战一类的科幻小说中才会出现。”

　　据北京一名黑客透露，2001年他曾进入到武汉电信骨干交换网上，发现管理员口令竟是加密能力很差的弱口令(weak　passwurd)。只要动动手脚就可以切断南北主干联系。后来他向管理员报告了这一情况。

　　国家计算机网络应急技术处理协调中心(CNCERT／CC)今年3月24日发布的《2004年网络安全工作报告》表明，我国在网络安全漏洞的发现和研究方面与发达国家仍存在较大差距，至今还没有建立起系统化的安全漏洞发现与分析能力，2004年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件64686件。2003年这一数字仅是13000多。报告还显示，我国大陆地区6600多个IP地址的主机被植入木马，大陆地区以外4200多个主机地址和这些木马进行通信。

　　就在断网事件后的第二天，网上就出现一个帖子，声称中国19个政府网站被黑。其中大部分是各县级政府下属的网站，如晋江农业信息网、武隆公众信息网、桂林旅游专科学校网站等，另外上海市嘉定区对外经济委员会网站、北京东城区商务局网站、长江水利网也在这个名单之中。记者15日访问所列怀疑被黑网站时，发现大部分网站服务器都被黑客植入了一个页面，主页并未被修改。但到了15日，这些被植入的网页只有几个网站将其删除。在被黑页面上标明了是一个“Ashiyane”的黑客组织所为，这个页面上还有一句嘲笑网站的话：“How　Can　You　Hire　Somebody　That　Doesnt　Know　How　2　Setup　a　Public　Server？(你们怎么可以请一帮连公共服务器都不会建的人？)”

　　更富有戏剧性的是，4月16日，上海市嘉定区对外经济委员会网站被黑客植入的页面上，又有国内黑客在上面加了一段富有中国特色的英文留言：“Do　you　think　you’re　very　cool？I　want　to　say　to　you，you’re　a　very　stupid　pig。I’m　Chinese　hacker。why　had　you　hacked　my　government　web？(你是不是觉得你很酷？我要跟你说，你是头蠢猪。我是个中国黑客。你为什么要黑我们的政府网站？)”这个网站几乎成了黑客比试功力的留言板。

　　网上木马、间谍程序、恶意网站的出现并日趋泛滥；手机、掌上电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，针对这些无线终端的网络攻击已经开始出现，并将进一步发展；近来假银行网站窃取客户密码事件不断见诸报端，个人用户在网络上的安全状况非常令人担忧。SharpWinner说，网民要在网上保护自身的安全，重要的是要有网络安全意识。

　　断网事件症状解析

　　当晚网络用户不能上网站，也不能用即时通讯软件，但却能用BT、电驴等点对点传输软件。一名网络工程师分析，最大的可能是进行域名解析的DNS服务器出了问题。从攻击手法上看，DDoS可能性会比较高。网络安全事件一年翻了近5倍

　　2004年，国家计算机网络应急技术处理协调中心共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件64686件。2003年这一数字仅是13000多。

　　——据《2004年网络安全工作报告》