最后的结论是，不了了之了，我们建议这个地方要升级线路，我们要用更大的设备。我经常讲这个例子，你升级之后，你30万的用户会不会变到300万？不会的，你升级之后能承担300万用户的设备容量，其实还是那30万，你这个升级是刚才的攻击给你带来的，另外你升级到多大？你升级到300万，其实攻击可以给你发生3000万。

    另外一个，路由器遭攻击。DNS这个案例是06年的，这个路由器遭攻击的案例是更早一点的。这其实是事件之后的一个日志，就是记录，我做了一些删减，因为不能说这是哪一个运营商的等等。

    我们看里面的要点，某月的9日，晚上8点多钟的时候，用户投诉网络延时太大。可是网管上去看的时候没有了，所以只能自己判断一下，可能是网络侧的故障或者是路由的收敛，导致了瞬间的延迟。10日下午的3点，这是自己发现的，发现某地的DNS很慢，跟网管联系说正常，但是很快又发现了网速很慢。这个时候立即察看路由，也没有发现异常，这个现象持续了10分钟左右，最后猜一下，可能是瞬间路由收敛。又到了12日，发现网速忽快忽慢，DNS不稳，远程不能登录了，只能是本地登录。而且发现路由表里面跟DNS的地址是正常的，这个时候可能判断是不是人为做路由变化的时候引起的故障？但是，向相关人士问，也没有这种情况。当12日的晚上的5点40多分，前面的原因一直还没有查明白的情况下，突然网速变慢。同时，两台核心路由器，到外地的两条骨干网的流量，忽然增加到了饱和。赶快打电话询问，这个时候说是有故障，是黑客攻击，现在是12日了。这个时候怎么办？赶快在被攻击的路由器上面加了网络策略，但是没有奏效，因为没有发现攻击源和地址。最后晚上的时候又没事了，黑客回家吃饭了。13日的早上又发现了，由于前一天晚上有做了一些网络监控策略，配置到路由器了，这个时候可以一直观察网络流的情况，直到中午的10点半左右，发现了被攻击的目标地址，就是受害者是谁。最后把这个地址封掉，故障解除。运营商叫做黑洞路由，黑的是受害者，帮的是攻击者。

    14日的下午，4点钟再次发生了大规模的黑客攻击，黑客分别从台湾的中华电信、韩国不同的公司等等进行大量的攻击，对另外一个地址造成了攻击，造成了网络质量下降。在断口上实行URPF，想要反查这个地址的时候，用户改用真实地址攻击，攻击的对象就是昨天的路由器，路由器换了地址，又攻击到这里来了。

    我们说的这个案例，最多补充一个，我们到现在的时候是有一点变化了，刚才用黑洞路由，这客观上来说是帮了黑客的忙了。但是运营商自己也知道，黑洞路由不可能一直用下去，如果人家攻的是你中央政府网站，你能把它断掉吗？你能说我要保护其他的网站，或者是VIP的客户，这也不行。怎么办呢？现在很多人在做流量清洗平台了。

    我们就说现在，不再总是用黑洞路由，有的时候也用骨干网上的清洗平台的能力，来应对攻击了。那么我不知道大家的感觉是怎么样的，反正我个人的感觉，是不是很被动啊？人家都攻了好几天的时候，你才判断出来是攻击，是不是有点晚了呢？另外，是不是有一点治标不治本的感觉？你最后的结论都是什么？除了你帮助攻击者把他的攻击对象弄死之外，剩下的都是人家停了你才停了，人家不停你没有办法。如果是这种情况下，我们把骨干网的奥运会时候的安全，你能保证吗？我们整个的大标题你可以做到吗？这就是一个感觉了。

    那么反思，我们只提问题，不做解答。

    第一个，我们刚才提到，我现在可能直接关注的，我平时看一下我的流量是不是正常，而不是等投诉。还有我要看一下域名是不是正常，我们去年底的案例是，一个攻击者可以在同一个省，劫持一个重要的域名网站的域名。其实是用某种方法篡改了好几个域名，也就是说，大家访问的这个域名都是假的，不是真的。你先不管这是不是运营商直接的责任，但是你肯定是相关的，但是如果这种情况发生的话，谁能够解决这样的问题呢？刚才是域名的解析能力受攻击，这个是域名里面的数据受攻击，并没有篡改权威数据库里面的数据，而篡改的是我们运营商给用户提供的直接解析地址。

    那么在这个背后有什么？我们在想，我们看到的这些东西就好像是人生病以后的症状而已。我今天感冒、发烧，明天没有食欲，你感冒发烧赶快降温，你没有食欲就吃个山楂片。你为什么发烧？是因为你那个地方老有一个细菌感染，你的伤口也不愈合，你也不管，那边病菌还在进，你总是在发烧，你总是持续这样的状况。那么，我们只是针对这样来做，觉得很被动，而且它可能不动。那么，我们需要关注这个病从哪里来，就是病源在哪里。换个角度讲，我们可能要超前做一步，那么怎么做？