从“百度事件”看DNS安全

    2011年1月12日,全球最大的中文搜索引擎——百度遭遇“百度历史”上“最黑暗”的一天。百度页面出现大面积瘫痪现象,前后持续时间长达近六个小时。

    李彦宏惊呼“史无前例”

    1月12日早上6点多,一条消息在QQ群中快速传播着,其内容是:百度页面无法访问。输入百度的网址,你会发现,百度原本的简洁主页被替换成了黑底色的攻击者页面,攻击者自称是“IRANIAN CYBER ARMY(伊朗网军)”,并留下抗议文字。后来,页面信息变成了“IE无法显示该页面”。

    原来,百度的DNS(Domain Name System)被劫持了。这是自百度建立以来,所遭遇的持续时间最长、影响最严重的黑客攻击,网民访问百度时,会被重定向到一个位于荷兰的IP地址,百度旗下所有子域名均无法正常访问。

    几个小时之后,百度页面终于可以正常访问了。12:51分,百度CEO李彦宏在百度贴吧上发言,连称“史无前例,史无前例呀!”

    Register.com害人不浅

    从百度对本次事件所发表的声明中,我们可以发现事件的起因是www.baidu.com的域名解析在美国域名注册商处被非法篡改,导致全球用户不能正常访问百度。

    这家美国的域名注册商就是Register.com。它可能并不为广大的中国网民所熟知,但是在两年前,Register.com可是大大的出了一次“风头”。

    2008年7月,黑客攻击了国际互联网域名与地址管理机构ICANN的官方网站几个备用域名,将其域名改变了原来指向,并在更改后指向的网页上留下了嚣张的字眼。这在很多人看来实在是件很讽刺的事情。一直提供网络域名安全指引的ICANN这回居然自身难保。

    这次黑客攻击事件到底是怎样发生的?ICANN的技术总监John Crain道出了原委。他说:“黑客从来都没有进入到我们的网站,他们只是修改了icann.com等域名系统指向而已。”这是一起由于ICANN注册商的注册系统受到攻击所导致的域名劫持事件。黑客采用的手法很特别,他们从Register.com这家域名注册商的端口入侵数据库,然后修改了与ICANN相关一些域名的导向。后来,这家域名注册商向ICANN提供了一份有关这次攻击的全面绝密的安全报告。

    Crain指出,这些受到错误引导的域名仅仅是ICANN和IANA主网站的镜像指向而已,ICANN和IANA两个机构的网站主域名www.icann.org和www.iana.org并未受到影响。一发现DNS的指向被修改的现象,ICANN在20分钟之内便能将其恢复正常,全球互联网恢复正常访问最长不超过48小时。

    “ICANN事件”把Register.com弄得灰头土脸,但令人惊讶的是,在这次“百度事件”中,黑客依然是从Register.com这家注册商的端口入侵数据库,然后修改了相关一些域名的导向导致访问错误。可以说,Register.com根本没有从上次的事件中吸取教训,在递交了所谓的“全面绝密的安全报告”后,Register.com的安全漏洞依然存在。

    作为一家对于互联网的安全如此重要的公司,Register.com居然两次栽倒在“同一个地方”,并且引发严重后果,这样的公司应该主动关门以谢客户和天下网民。在事件发生之后,百度已经向法院起诉Register.com公司,而Register.com的态度强硬,声称百度的起诉“毫无依据”。

    DNS安全问题一箩筐

    DNS是域名系统的缩写。我们在上网时,输入的是URL,比如www.baidu.com,但实际上,互联网是不能根据这串字符找到百度的,必须通过DNS服务器把URL转化为IP地址,然后我们的PC使用这个IP地址才可以访问百度。

    DNS劫持是安全界常见的一个名词,劫持DNS服务器的意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。

    在2009年12月,著名微博网站Twitter也遭到了几乎和百度的情况一样的黑客攻击。其首页一度被篡改,黑客也自称来自伊朗网络部队。

    DNS系统是所有互联网应用的基础,在网站运维中起着至关重要的作用。正是由于DNS管理系统对于网站异常重要,它也逐渐成为黑客的攻击目标,常见的攻击方式有三种

    域名劫持。域名劫持在前面已经解释过,值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至可以导致域名所有权也旁落他人。如果是国内的CN域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。如果是国际域名被劫持,恰巧又是通过国际注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。

    域名欺骗(缓存投毒)。域名欺骗的方式有多种多样,但其攻击现象就是利用控制DNS缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上,其实现方式可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用户访问域名的响应结果。或者黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。

    DDoS攻击。针对DNS服务器的拒绝服务攻击有两种,一种攻击针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器,而是利用DNS服务器作为中间的“攻击放大器”,去攻击其他互联网上的主机,导致被攻击主机拒绝服务。

    安全专家表示,很多用户都认为DNS维护是很简单的,只需要买一台服务器,安装一个软件,就可以提供DNS服务功能,但实际上DNS的维护需要很多相关的专业知识,并不是一件轻松的事情。

    对于百度说遭受的DNS劫持,来自杀毒软件厂商的安全专家表示,发生此次攻击的根本原因,在于目前互联网域名的DNS管理服务器安全性未受到应有的重视。目前绝大多数域名都存在类似安全风险。在本次事件中,黑客绕开了百度本身的安全保护,而是去攻击DNS管理服务器,并造成了严重后果。

    百度方面也坦言,本次事件中不法分子没有攻击百度服务器,而是选取美国域名注册商作为攻击对象,这是值得互联网企业警惕的攻击方式。百度同时呼吁DNS厂商加强网络安全方面的建设。

    安全专家提醒各大网络公司及相关域名管理机构,应该采取如下措施加以防范:

    1、使用安全可靠的DNS服务器管理自己的域名,并且注意跟进DNS的相关漏洞信息,更新最新补丁,加固服务器。

    2、保护自己的重要机密信息安全,避免域名管理权限被窃取。

实易简介

  实易科技是一家专注于智能DNS解决方案的高新技术企业。多年来,实易科技一直秉承“技术为本,服务至上”宗旨,专注为客户提供高品质的智能DNS解决方案及服务。

关注我们