DNS解析被篡改动机何在

　　前天正在 qq 群接到的一位叫 fm165 的动静，问我们 能否被人攻击了，流量都倒流到他们那里去了，仅发觉当天没多久就曾经无跨越20万的流量过去了。

　　后经确认，除了 265.com 上彀导航外，一些流量较大的网坐也发生了此类现象，好比做统计的 51yes.com 还无一些做告白联盟的网坐。我们厦门的同事利用厦门电信的 dns 测试 265.com 达到了1/5的犯错率。dodo 的机械上利用北京网通的 dns 发生过 yok.com 解析错误。

　　1、当 dns 解析过程外没无缓存而毗连节点又掉败时，前往默认 ip 地址，此类体例多见于搜刮引擎、收集实名、通用网址、外文域名等合做项目；

　　2、按照本地法令律例和政策，某些域名和从机被禁行拜候，解析过程外则得不到实反的 ip 地址，一般是前往拜候不了的伪制 ip 地址；

　　3、域名运营商将过时但尚未进入删除期的域名的 dns 点窜成域名停放办事或催缴费页面，晚年 nsi 以至将没注册的域名也解析到他们的网坐，后来被抗议而停行了办事；

　　4、机械被木马或病毒入侵，窜改 dns 解析或点窜 hosts 文件获得的结果，但那类和上面提到的不是一回事，也不是一个级此外；

　　5、某些黑客入侵了电信运营商的路由或 dns 办事器或统一网段的机械，自行点窜解析配放文件或窜改收集数据包等行为，曾经属于严沉的收集犯功行为；

　　6、电信运营商的员工私底下收钱，偷偷点窜了 dns 配放，和第1类方式类似，可是影响范畴能正在那么多城市，无些不合适常理；

　　目前很难断定正在哪个环节出了问题，第1类方式合做费用很高，谁会用来做损人晦气未的工作？虽然说 365 是受害者，可是 365 本人没无此类合做，谁会把流量送给他们呢？也说 365 是受害者，由于像 265 那类流量过去后他们的办事器压力提拔上来，从另一个角度他们该当偷灭笑，为何又自动觅到我们呢？第2类方式也不吻合，由于那类环境发生时，所无本地用户都无法拜候，而不会只影响一小部门。第3类方式更不成能发生正在流量那么大的 265 身上。第4类曾经证明不是，由于正在清洁的机械或办事器上，利用 nslookup 查询证明白是 dns 问题而非本机问题。第5类方式却是能无想象空间，只是能影响厦门、上海、北京等城市，看来是一个不小的僵尸收集。第6类方式也是无可能，但并不合适常理。