La tarde del 21 de enero de 2014, Internet chino sufrió un fallo importante . La infraestructura DNS del país , que es responsable de traducir nombres de dominio en direcciones IP , comenzó a dirigir dominios no relacionados desde varios TLD a la dirección IP 65.49.2.178 que no responde en absoluto a las 15:10 (UTC+8). Como resultado, dos tercios de todos los sitios web nacionales dejaron de funcionar, [1] incluidos sitios de alto tráfico como Baidu y Sina . [2]
Se debate qué causó este incidente. Los funcionarios chinos señalan el hecho de que la dirección IP es propiedad de Dynamic Internet Technology, una corporación estadounidense afiliada a Falun Gong más conocida por desarrollar la herramienta de elusión del Gran Cortafuegos Freegate , y argumentan que fue causada por piratería externa. [3] Sin embargo, investigadores independientes sostienen que es más probable que el incidente sea causado por una mala configuración en el mecanismo de envenenamiento de DNS de Great Firewall . [2]
A las 09:00 horas del 21 de enero, muchos de los servicios en línea de Tencent fallaron. [4] [5] Tencent aclaró más tarde que este fracaso no tuvo nada que ver con el incidente nacional posterior. [6]
A las 15:15, [2] los servidores DNS de China comenzaron a funcionar mal. Muchos sitios que terminan en .com, .org y .net fueron resueltos con una dirección IP incorrecta, 65.49.2.178, lo que afectó a aproximadamente dos tercios de los sitios web del país, mientras que el dominio de nivel superior .cn no se vio afectado. [6] [7] GreatFire informa que el mal funcionamiento se detuvo a las 15:39, y a las 16:00 los diversos proveedores de servicios de Internet comenzaron a vaciar manualmente la caché de DNS para eliminar las entradas envenenadas. [2] A las 16:50, la mayoría de los sitios habían vuelto a la normalidad, aunque la caché DNS podría tardar hasta 12 horas en vaciarse por completo. [8]
Se descubrió que n.baidu.com, un subdominio de Baidu , mostraba "atrápame si puedes" cuando se visita a través de un navegador, aunque no está claro si esto estaba relacionado con el incidente. [7] Se descubrió que el código fuente en la página principal del sitio web oficial del proveedor de servicios DNS DNSPod incluía contenido sarcástico, pero DNSPod dijo a través del Weibo oficial que se trataba de un huevo de Pascua. [9]
La dirección IP 65.49.2.178 es propiedad de DIT, como se menciona al principio. WooYun , una plataforma de seguridad de Internet ahora desaparecida, afirmó en Weibo tener evidencia de que dicha dirección enviaba spam y llevaba a cabo otras operaciones de piratería por motivos políticos. [6] Los investigadores de Kingsoft Antivirus también creen que la IP ha llevado a cabo ataques. [10] Bill Xia del DIT negó cualquier acusación de piratería informática. [11] [12]
La teoría del hacking es ampliamente cuestionada. Dong Fang de Qihoo (China), [13] Ye Xuhui de la Asociación de ISP de Hong Kong, [14] y otros dos expertos chinos [15] señalan que cualquier ataque que cause una disfunción simultánea debe ser de enorme escala, ya que debe Cubre todos los servidores DNS de alto nivel en China. Un ataque de este tipo estaría más allá del alcance de la mayoría de los piratas informáticos. Sin embargo, el poder está disponible para los ISP y una mala configuración podría haber causado este problema. [14]
Reuters y Bloomberg informan que el ataque fue causado por una mala configuración del Gran Cortafuegos . [3] El profesor Xiao Qiang de UC Berkeley está de acuerdo. [3] GreatFire.org , que se especializa en monitorear el Gran Cortafuegos, muestra "evidencia decisiva" de que el incidente fue causado por dicho cortafuegos. GF.org sostiene que si tal problema fue realmente causado por un error de DNS ascendente, un DNS no chino debería devolver la dirección IP correcta. Sin embargo, durante el incidente, las consultas al servicio DNS 8.8.8.8 de Google fueron igualmente incorrectas, lo que indica una participación de GFW. [2]