《华盛顿邮报》发表了一篇文章,援引美国专家的分析讨论本周二中国发生的大规模域名解析故障,这件事基本确定是防火墙的一次操作失误。
中国政府屏蔽网站是利用了互联网架构的一个弱点。当用户在浏览器上输入一个域名如Facebook.com,请求会先发送到一个DNS服务器,服务器会将域名解析到一个正确的IP地址——计算机识别彼此的一串数字。防火墙使用的DNS污染方法会将域名解析到一个错误或伪造的IP地址。
周二的问题是所有的.com、.net和.org域名被解析到美国动态网的一个IP地址。加州伯克利国际计算机科学学会的研究员Nicholas Weaver认为,防火墙的工作人员在输入新的屏蔽规则时将“Block everything going to this IP address”错误输入为Block everything by referring to this IP address”。
网站性能跟踪顾问Heiko Specht的测试显示,事故发生时中国至少80%的常见域名不能正常工作。