|
关于2003年1月25日中国网络异常的原因 今天下午短短几分钟这个让很多人确定可以“赖以生存”互联网大范围崩塌,各媒体猜测不一,网上也流传了很多说法,对于其中出现的很多荒谬的言论和行为我们在这里用事实进行说明,以正视听。 |
| 根据调查,此次互联网崩塌事件是由于MS SQL Server的解析端口1434的缓冲区溢出漏洞被蠕虫病毒利用而引起的。凡使用MS SQL Server2000且未打过SP3补丁包的服务器均可能受到攻击。所有被攻击的服务器上都会发出相当于网卡极限带宽大小的数据包,(也就是说100兆网卡发送9X兆大小的数据包)。直接导致了电信机房的中枢交换机的瘫痪并且同时也造成了中国总出口的great router(超级路由器)的瘫痪。 |
| 换句话说,有人用worm引起sql server中的一个危险级(critical)漏洞爆发,利用DDoS的方式占据了大部分网络带宽,大量的数据包在网络间传送会引起线路的堵塞,同时也会使顶级域名服务器的访名发生困难(全球所有的域名服务器经过通过层层的树型结构最后会一直归溯到十多台顶级域名服务器中)。 |
| 此前微软已此安全漏洞作出过明确警告。然而,由于使用MS为操作平台的一部分网络技术人员,网络安全意识淡薄,对于漏洞的严重危害认识不够,专业素质良莠不齐,而且对重要突发事件没有处理能力,再加上MS平台一贯的不可靠性,就促成这次事件爆发的必然。 |
| 今日上海7大机房的服务器纷纷出现异常,其相关管理人员电话告急,电信下达指示,所有有嫌疑发出DDoS包的机器全部强行下线。并且重启了路由和交换机。由于电信那个时候还不知道发生了什么事情,只能把有大流量的所在的下级交换机端口全部封闭,造成了我们所说的大面积断网。 |
| 夹克是一位资深的网络人员,今日事发后凭着极高的专业素质和安全警觉醒立刻判定这次事故另有原因,于是紧急赶往机房。经过同机房管理人员沟通后,决定由其进行技术支持,试图找出问题所在,以减轻损失。 |
| 在后来的调查中夹克注意到有几台机器的MS SQL Server在断下网络且无资源请求的情况下CPU使用率仍达到了50%以上。所以初步判定为SQL引发的故障。为了让验证这个事实,管理员调来电信内的一台千兆级服务器作为试验机(系统使用双Xeon处理器),启动了SQL Server服务后,大约5分钟CPU占用率竟然达到了100% !接着上一级电信主干交换机就立即进入瘫痪状态。此时机房立刻联络相关单位,要求各单位立该把所有正在使用MS SQL Server的服务器断网,然后接上所有正常的服务器。至此上海地区的小部分服务器分得以恢复。让“无辜者”得以重返工作岗位。至此那些传言电信升级线路、电信线路交割传言已经不攻自破。 |
| 在整个事件中,所谓日本及以色列黑客对中国发动网络攻击的谣传不时传来。更有“红客”针对国外黑客对中国的“网络攻击”进行反击,“反攻”几个美国政府网站成功的消息不绝于耳。只是希望大家保持冷静,不要以为中国网络的异动都是黑客针对中国的攻击和挑衅,更不要为谣言所盅惑,以讹传讹。 |
2003年01月26日 |
|
盈盈、闪电 |