前天在 QQ 群接到 365.com 的一位叫 fm165 的消息，问我们 265.com 是否被人攻击了，流量都倒流到他们那里去了，仅发现当天没多久就已经有超过20万的流量过去了。

　　后经确认，除了 265.com 上网导航外，一些流量较大的网站也发生了此类现象，比如做统计的 51yes.com 还有一些做广告联盟的网站。我们厦门的同事使用厦门电信的 DNS 测试 265.com 达到了1/5的出错率。dodo 的机器上使用北京网通的 DNS 发生过 yok.com 解析错误。

　　此次 DNS 被篡改的现象和可能有以下几种情况：

　　1、当 DNS 解析过程中没有缓存而连接节点又失败时，返回默认 IP 地址，此类方式多见于搜索引擎、网络实名、通用网址、中文域名等合作项目；

　　2、根据当地法律法规和政策，某些域名和主机被禁止访问，解析过程中则得不到真正的 IP 地址，一般是返回访问不了的伪造 IP 地址；

　　3、域名运营商将过期但尚未进入删除期的域名的 DNS 修改成域名停放服务或催缴费页面，早年 NSI 甚至将没注册的域名也解析到他们的网站，后来被抗议而停止了服务；

　　4、机器被木马或病毒入侵，篡改 DNS 解析或修改 hosts 文件得到的效果，但这种和上面提到的不是一回事，也不是一个级别的；

　　5、某些黑客入侵了电信运营商的路由或 DNS 服务器或同一网段的机器，自行修改解析配置文件或篡改网络数据包等行为，已经属于严重的网络犯罪行为；

　　6、电信运营商的员工私底下收钱，偷偷修改了 DNS 配置，和第1种方法相似，但是影响范围能在这么多城市，有些不符合常理；

　　目前很难断定在哪个环节出了问题，第1种方法合作费用很高，谁会用来做损人不利已的事情？虽然说 365 是受益者，但是 365 自己没有此类合作，谁会把流量送给他们呢？也说 365 是受害者，因为像 265 这种流量过去后他们的服务器压力提升上来，从另一个角度他们应该偷着笑，为何又主动找到我们呢？第2种方法也不吻合，因为那种情况发生时，所有当地用户都无法访问，而不会只影响一小部分。第3种方法更不可能发生在流量这么大的 265 身上。第4种已经证实不是，因为在干净的机器或服务器上，使用 nslookup 查询证明确是 DNS 问题而非本机问题。第5种方法倒是能有想象空间，只是能影响厦门、上海、北京等城市，看来是一个不小的僵尸网络。第6种方法也是有可能，但并不符合常理。