5·19事故中，一些鸡鸣狗盗之徒的互掐和一个客户端软件的小Bug，就能够酿成大面积网络瘫痪，也让互联网 自身的脆弱再次显露无遗。

　　撰稿·张静(记者)

　　拉了下抽水马桶的绳子，整栋楼却倒了。

　　这则二战时期的黑色幽默，正如“5·19”多省网络瘫痪带给人们的错愕与荒诞感。

　　蝴蝶效应

　　“9点多开始上不了网了。又是杀毒，又是优化，又是修复IE，把路由开了又关，关了又开，后来才知道全国人民 都一样……”5月19日23：28，一位无锡网友在QQ群里反映自己的遭遇。

　　来自官方的说法，从21:50开始，江苏、安徽、广西、海南、甘肃、浙江等六省区用户申告访问网站速度变慢或 干脆断网。

　　“有感范围”似乎不限于此。就在同一时间，一头雾水的重庆网友正打算重装系统，湘潭、昆明网速极慢，唐山电信 用户连Google都打不开，辽宁地区终于可以访问网页了，但并不稳定……

　　难道是电信骨干网出故障了？这罕见的一幕让人们不由回想起3年前台湾7.2级地震破坏了十几条国际海底通信光 缆，曾造成大面积断网。

　　然而电信的技术人员排障时发现，在导致网络瘫痪的巨量域名解析诉求中，一款名为暴风影音的软件占据的流量居然 高达40%。

　　次日，工信部便发出通报：正是由于暴风影音客户端软件存在缺陷，导致安装该软件的上网终端在域名授权服务器工 作异常的情况下，频繁发起域名解析请求，引发中国电信DNS(域名管理系统)服务器拥塞，造成大量用户访问网站慢或网 页打不开。并对暴风影音提出了整改要求。

　　但随后关于“罪魁祸首”的追究，竟一度成为“罗生门”。

　　面对愤怒的声讨，暴风影音的CEO冯鑫不仅全然撇清，其官方网站更发布公告，声称“暴风也是受害者”，并将责 任推到了为自己提供域名解析服务的DNSpod身上——“5月20日，工业和信息化部通信保障局召集国家计算机应急处 理协调中心、电信研究院、中国电信集团、暴风影音等参加紧急会议，经查明，事故原因系DNS域名解析故障。”

　　于是，这家可怜的域名解析商便被钉在了十字架上，顿时成为众矢之的。

　　DNSPod是国内最大的免费智能DNS提供商。拥有16台服务器、近30万家网站借助其来解析域名，包括暴 风影音、VeryCd等知名网站。

　　“5月18日晚我在外面上网，有人反映21:17开始，我发现DNSpod服务器开始受到断断续续的大流量攻 击，大概有10G左右，最后导致服务器瘫痪。”站长吴洪声告诉《新民周刊》。事故发生后，这位24岁的小伙子担心主管 部门会将板子打在他身上，两天两夜没合眼，内心满是焦虑不安。

　　他断定这场恶意攻击的导火索为两家私服的火并。“电信一个省的出口带宽也就10个G这么大的流量，相当于把整 个‘高速公路’的出口都堵死。我昨晚还向一些私服打听，只有私服有这么大规模的攻击力。此前DNSpod也曾遭遇过攻 击，基本都查清是因为私服之间的恩怨而导致。”就在吴洪声说这话时，接到朋友来电：“新网的DNS服务器正被攻击！”

　　在吴洪声看来，这是“一个错误的时间，一个错误的事情，一个错误的人，做出了一个错误的处理方法。缺少一个环 节，都不会引发如此大规模的断网事件”。

　　起先不过是两家“绿林帮会”黑吃黑。其中一家在没法干掉对手的情况下，一怒之下干脆从对方域名下手，对DNS pod服务器进行了狂轰滥炸，从而推倒了第一块多米诺骨牌。

　　这要放在以往倒也罢了，偏巧吴洪声这台设在常州的服务器，在遭受黑客攻击的时候被当地电信部门检测到异常的网 间流量，从而启动应急机制，将IP一封了之。更不幸的是，这台被电信关闭的服务器恰好在为大约10万家网站提供域名解 析服务，其中就包括暴风影音。

　　当时，全国数以千万计的暴风客户端一直在持续地访问暴风网站。DNSpod已经是被江湖仇杀殃及的池鱼，暴风 客户端却像一个不懂事的孩子，在母亲奄奄一息的时候还不依不饶地闹着“要吃糖”，并在得不到满足的情况下疯狂地涌向上 一层的电信根DNS服务器，最终导致“老外婆”精神崩溃，“5·19”网络瘫痪重大事故由此爆发。

　　

　　金钱帝国

　　为还自己一个清白，吴洪声大揭私服黑幕。“一些比较大的私服每个月都会花两三百万元来黑对手，方式一般为，花 钱雇佣数万台甚至几十万台‘肉鸡’发送巨量数据集中攻击对手，让对手的服务器瘫痪，按照一些地下市面价格，1G的流量 打1个小时约四五万元。”

　　这一说法却召来了网友的哄笑。“你以为开私服的都是银行家啊？一个月都不知道能不能赚到10万，开口就是两三 百万找肉鸡？”

　　自从2002年10月，红极一时的网络游戏《传奇》的服务器源代码在韩国遭泄露，“私服”便进入人们的视野。 但业内普遍认为，“私服”本质上就是“盗版网络游戏”，本应该闷声大发财，“悄悄地进村，打枪的不要”。动辄肆无忌惮 地为抢地盘大打出手，岂不是自取灭亡？据记者所知，此次断网事件已导致全国网监都出动了。

　　面对“出事了就找私服顶缸”的质疑，吴洪声向记者解释说：“私服的确没有那么赚钱，但是私服的广告是最赚钱的 。私服想让大量玩家去玩，就需要有私服发布站。私服发布站最主要的流量来源是百度等搜索引擎。那些排名不高的发布站为 了卖出广告位，就会对排名高的网站发动DDOS攻击，打垮这些网站后再提出一个价格强行把被攻击的网站租下，发布自己 的信息。由于目前国内有不少机房在这方面的防护比较好，正常攻击不下就会转为攻击网站域名所使用的DNS服务器。DN SPod从2006年到现在，经历过好几次大规模的攻击，其中最大一次流量是24G。只不过这次受攻击影响比较大，外 界才开始关注。”

　　一位之前从事私服行业的人士则向记者揭开了这个地下“金钱帝国”的神秘面纱：“现在的私服产业，其实很简单。 一为机房，集中在广东、浙江、辽宁等省，二为发布站，集中在五六家网站。三为广告代理小组，集中在几个攻击小组。

　　在这些私服发布站里面，每条广告是100元—200元，每半个小时发布一次，每次发布20-40条。也就是说 每半个小时的广告收入在4000—8000元左右，一天的广告费都是十几二十万的级别。一个广告网站一个月的广告费就 高达五六百万。”

　　据这位人士所言，许多的搞攻击小组都是这些广告的代理。他们先打垮发布站，逼迫发布站妥协给他们最便宜的代理 广告价格，至少比市场价格要便宜40-50元，然后再打击开区的私服，逼迫他们必须从代理这里走广告，以此赚取差价。

　　机房有时候也会跟攻击小组合作，一方面提高自己的机房防护能力，一方面打击其他机房。

　　为了摆脱攻击小组的威胁，许多发布站会选择一些防护高的IDC机房，比如东莞、茂名、湛江、温州、绍兴等地， 都已经有了可以防护20G、30G甚至40G的机房。而随着机房给私服和发布站提供的防护越来越大，攻击小组就会搜集 更多的肉鸡，多余的肉鸡可以卖掉。这就是为什么现在木马、肉鸡这么横行的原因，就因为私服广告这块利润太大了。在私服 行业内，发动20G的攻击是毛毛雨，30G的攻击是家常便饭，60G、70G的攻击都不是难事。

　　这位人士说：“今天我看到新闻，说攻击小组发动1G的流量打1个小时需要四五万元，我都想笑。说实话，发动1 0G的攻击只需要不到20万成本。

　　为了获取更多的肉鸡，攻击小组往往跟发布站合作。由于私服发布站流量很大，攻击小组会要求在发布站上嵌套木马 ，这样无防护的玩家登陆后会中木马成为肉鸡。有些IDC公司，为了避免被攻击，会免费提供一些资源给攻击小组。攻击小 组还会要求一些色情网站嵌套木马，甚至会通过威逼的手段。这些网站为了安全不得不答应免费为其挂马，所以攻击小组在搜 集肉鸡上几乎成为一种不用花钱的‘良性循环’，你说他们的成本能有多大？而且攻击小组和做木马的有时候为了利益，也都 有合纵连横，已经发展成为一条庞大的地下产业链。”

　　早在2007年12月9日，江西遂川县法院曾公开宣判了一起新型网络犯罪案件。21岁的周某采取网络流量攻击 等手段，从“私服”传奇游戏广告发布网站获取广告代理权。但私服的“地下王国”，直至此次断网事件，才得以浮现冰山一 角。

　　

　　资本推手

　　

　　影响了大半个中国的断网事件居然只是一场江湖恩怨引发的“血案”，虽然这结论有点雷人，至少看起来已经是“冤 有头、债有主”。然而最先把自己撇清的暴风影音，其“受害者”的身份眼下却遭到舆论激烈的质疑与谴责，正遭遇创业以来 最高的用户卸载率。

　　正如吴洪声所言：“DNSPod只是蝴蝶扇了下翅膀，暴风影音则掀起了太平洋上的风暴。”暴风影音只是一款播 放软件，并不需要总是链接互联网。为什么在5月19日当晚，会有数以千万计的暴风用户要持续地发起联网请求？

　　原来所有只要安装暴风软件的用户，开机后不论是否启用，都会启动一项名为stormliv.exe的进程。这 种后门程序在用户并不知情的情况下在后台悄悄运行，不断连接暴风影音的网站，下载弹出广告。

　　也有人替暴风喊冤：“隐藏后台进程在行业内早已不是什么特例，只是这次事件让暴风影音摊上了。”“互联网没有 活雷锋。你要享用免费的午餐，就得允许人家打开你家的后门。”

　　暴风影音相关人士也颇有底气地宣称：“暴风影音的商业模式，其实一直在向老大哥迅雷学习。”

　　但一位同业人士表示并不认同：“客户端软件搜集数据有时候是为了给用户提供更好的体验，没有广告收入无法生存 ，也是一个客观的现实。但在实现自己的商业利益、提供一些用户不需要的功能时，至少应该给予用户知情权。只能说在同类 客户端软件中，暴风影音的后门进程更为大胆。”

　　2003年一名电脑经销商给自己的两个徒弟布置了个作业：“你们看能不能做个东西出来，兼容所有格式的视频。 ”这就是暴风影音的前身。由于重视用户反馈，不到1年的时间这个软件便风靡网络。

　　但一个曾因良好的口碑而积累下庞大用户基础的本地播放软件，为什么会不顾用户体验而变得如此激进?在业内看来 ，也许都是资本惹的祸。

　　2007年2月，暴风获得IDGVC300万美元的投资，2008年10月再度获得经纬创投和IDGVC20 00万美元的联合投资，随后诸多“新特性”粉墨登场。

　　在一位技术人员看来，无论是黑客攻击还是后门程序，都不足以触发如此大的“蝴蝶效应”。暴风影音客户端存在的 逻辑Bug，才是造成此次全国大规模断网的催化剂。“逻辑严密的客户端软件会在异常情况下考虑到外连强度，而暴风影音 似乎犯了一个低级错误。在DNS解析失败的情况下，会无限次无限速地进行域名解析。”

　　“上千台安装了暴风影音的电脑在断网后同时向DNS服务器潮水般地发送请求，其效果不亚于一次黑客攻击。而那 些电脑，也就成了实质上的‘肉鸡’。”

　　另一位业内人士认为暴风这一次遭遇“后门危机”，是在为过去的激进行为埋单。“难以卸载、自行启动、频繁弹出 广告已经惹了众怒。而对用户而言，谁也不希望自家的后门任别人任意出入，没完没了地占用自己的带宽和电脑。于是借着断 网事故，新账、老账一起算了。”

　　5月24日傍晚，不知是否是迫于舆论的压力，暴风影音官方终于正式发布公开信，承认“软件缺陷”并进行了修改 。

　　5·19事故中，一些鸡鸣狗盗之徒的互掐和一个客户端软件的小Bug，就能够酿成大面积网络瘫痪，也让互联网 自身的脆弱再次显露无遗。

　　“我相信此次事件会让更多电信服务商和公司关注到网络安全中的薄弱环节。并且我希望国家能对DDOS攻击等进 行一个立法，可以减少乃至杜绝互联网上的暴力行为。”吴洪声说。

　　“网络安全，网民有责！每一个接入互联网的电脑终端，一旦成为‘肉鸡’，不仅会危机用户自身的财产和隐私安全 ，而且也很可能成为不法分子作恶的工具，从而对互联网公共安全形成威胁。要避免成为‘肉鸡’，首先要封堵住木马入侵的 通道。”360安全专家石晓虹博士认为。

　　而据记者所知，一些客户端产品也已经在加强自律、自查，将客户端外联频率控制的逻辑加入到内部开发规范，以避 免再出现类似事故。-

     新浪独家稿件声明：该作品（文字、图片、图表及音视频）特供新浪使用，未经授权，任何媒体和个人不得全部或部分转载。