一、DNS应用系统的重要性

DNS是负责将互联网的域名解析成计算机容易识别的IP地址。DNS系统出现故障，将使互联网的通信无法进行，因此其在互联网通信中的作用举足轻重。互联网上的域名系统的安全防御能力其实较为脆弱，破坏者乘机蓄意攻击并非难事（譬如：2009年巴西最大银行遭遇DNS攻击；2010年百度域名被劫持；2014年腾讯DNS故障）。

DNS系统出现故障，通常比较隐秘，不易觉察；因此排查这类故障，往往比较棘手。不过，倘若借助专业的可视化回溯分析系统进行故障排查，将起到事半功倍的作用。

以下案例分享，阐述了通过迪思分析系统，排查某大型网络中心DNS故障的详细流程。

二、故障基本描述

发生故障后，访问网站时，多数网页打不开；有的网页虽然能打开，但是并非想要访问的网页，而是几个不知名的信息杂乱的网页。而登录QQ，则没有问题。

三、旁路部署设备

旁路方式接入网络，对原有架构无影响。通过交换机的镜像口，将网络中心所有的数据流量捕获；进行全面的网络应用性能分析，发现性能瓶颈，定位故障源。

故障分析

1.总览分析

根据故障描述，初步判断是DNS服务器出现问题，于是对DNS应用做详细分析。如图所示，抓包10分钟，DNS服务器执行了389次域名解析，解析成功数是389个，解析失败数是0个。从域名解析的结果来看，是很正常的。

2.对比分析

多数网页打不开，即使少部分能够打开的网页也是不知名的网页，那么所有解析出来的域名，应该是错误的。回溯解析成功的域名与IP地址的对应列表，选择几个常见的域名与IP的对应关系，与正确的对应关系进行对比。发现这几个域名所对应的IP地址和实际IP地址不符。在一个主机中安装一个临时的DNS服务，用其解析域名，结果就可以正常访问网页了。显然，该网络中心DNS服务器确实存在故障。

3.深入分析

考察其他所解析出来的IP，发现绝大多数IP是广播地址；试问访问广播地址，又岂能打开互联网中的网页呢？而QQ之所以可以正常登陆，是因为它并不依赖该DNS服务器解析域名。分析到这里，基本可以判断该DNS服务器被劫持了；DNS服务器中的数据库缓存数据很可能被黑客串改。查询DNS服务器数据库缓存，发现数据库中的正常数据的确被串改。

这种情况，当机立断应该先把被劫持的DNS服务器的缓存数据删除，并对系统进行彻底杀毒处理。其次，应当全面检查有关DNS的业务。

四、小结

DNS劫持是黑客攻击DNS服务器的常用方式，其造成的危害往往是非常严重的。上述案例中，通过迪思分析系统的可视化分析，迅速发现了问题的症结所在，找出问题根本原因，大幅度提升了排障效率。因此，在实际运维当中，能起到明显的辅助作用。