几分钟前还好好的,去了一趟洗手间,回来就发现 GMail 断线了,以后刷新都是 404。起初我以为又遇到 GMail 宕机事件了,去 Twitter 上搜了一下,一切正常。在终端中进行了一下检查,如下:
curl 返回的 HTTP response head 中,我好奇那个 ChinaCache ,怎么会与 China 有关呢?多年的墙内生活经验,让我有一种不详的预感,GMail DNS 被劫持了,而且把地址修改指向了中国。IP 地址的查询更加证明了这一点。结合近日 Google 官方报告中指认中国黑客的攻击,让我越来越相信这是一次有组织有预谋的攻击。老子,都半年没有遇到防火墙之内的事情了,今天居然敢到美帝国主义头上动土!
登录到学校的主机上做了检查,发现一切正常,证明这次攻击至少只是在 ISP ( 我这里用的是 Verizon ) 的范围之内。刷新了一下 DNS,再检查发现 IP 恢复正常了。
事后的结论:
- 其实只是一个小事件,只不过我小题大做了。和我在一个局域网内的有其它几名中国学生,他们的机器上可能有流氓软件篡改了路由器上的设置,就如同国内电信耍流氓时的 114 劫持原理相同,不过我很佩服,一个应用层软件居然可以浸染路由器的 DNS Cache。我们家的 Router 还是 linksys ( Cisco ) 的呢。如果是这种可能,我想国内遇到这种事情的人肯定不少,可是偏偏为什么选择 Gmail 作为攻击对象呢?
- 这是一个比较糟糕的结果,有组织,有预谋的一次跨国攻击。如果猜想是真的,希望 FBI / CIA 等尽快掌握相关证据,郑重与中方进行交涉。但愿我的猜想是错误的。阿弥陀佛 …
还好有墙内多年的生活经验,才能化险为夷。先看看再说,以后还有没有类似的事件,以此为记。
更新: 我后来想到了一种可能的攻击方案:ARP 欺骗,只要声称自己是 default gate,即可在局域网内污染 DNS,实现难度不大。看来第一种可能性要大一些。
