對比攻擊前后DNS信息 揭開百度被黑真相
1月12日早上7點多開始,百度(baidu.com)出現了長時間無法訪問故障,網民訪問百度首頁時發現,網頁會被重定向到一個位于荷蘭的IP地址。上午10點多,百度對大面積癱瘓事件進行了首次回應,稱由于www.baidu.com的域名在美國域名注冊商處被非法篡改,導致百度不能被正常訪問。這一事件是自百度建立以來,所遭遇的持續時間最長、影響最嚴重的黑客攻擊。下面我們就來對比分析百度被黑前后的DNS信息吧。
百度被攻擊前和攻擊后的相關信息對比如下:
百度攻擊事件前baidu.com最后修改的時間是2008年12月3號,到期日期是2014年8月11號。
百度攻擊事件后修改的時間變為是2010年的1月12號。
有關涉及到域名解析的whois信息在此過程中曾被進行多次修改,其中可證實的包括:
根據有關whois信息查詢,百度的域名注冊服務商是register.com,是一家頂級域名注冊機構。
百度Whois 信息如下:
對whois.register.com 與www.register.com 的IP獲取如下:
whois.register.com IP: 216.21.239.106
www.register.com IP: 216.21.239.101
兩臺IP服務器位于同一個網段。
通過有關信息可以對有關網絡傳聞作出如下結論
1、百度域名到期日為2014年10月14日,可以明確排除百度因域名未續費導致異常的傳聞。
2、百度域名異常期間,可以驗證其主站及其他2級域名可以按照如下IP規則進行訪問并獲得正常搜索結果。
可以排除百度自身信息系統因遭遇故障導致問題的可能。
3、可以確認百度域名訪問異常的核心原因是百度域名服務商register.com遭到攻擊 ,導致其whois系統向全球DNS體系提供了錯誤的域名解析服務器導致。但攻擊register.com的具體方法尚難推定。初步分析認為www.register.com有一定安全隱患,不能排除是攻擊者入侵入口,并進一步攻擊了whois.register.com的可能性。盡管whois.register.com采用的是SSL的加密交互方式,但SSL的脆弱性在過去1年內已經被很多公開資料所披露。有關攻擊技巧的組合有可能嚴重威脅傳統的域名注冊機構、以及代理機構的安全。
總結
在相關歷史案例中whois信息更多與非法獲取域名所有權的有關糾紛相關,但以此為入口對主流互聯網廠商進行域名劫持攻擊并不是十分常見,過去安全業界更多的關注根DNS的安全性以及局部的類似DNS緩存感染類的威脅,而對域名業務體系的安全性關注不夠。而從現有效果來看,這無疑是具有全局威脅、難以響應防范的一種攻擊,因為攻擊點位于域名所有者可以控范圍之外,而由于DNS體系的特點、DNS管理權利的不均衡、地區時間差、缺少理性溝通機制等諸多因素,都可能導致國內互聯網站點在自身信息系統完全正常的情況下遭到“滅頂之災”,而鞭長莫及。
從2000年的YAHOO等大型站點遭遇DoS,隨后帶動TFN2K等攻擊工具和方法泛濫等案例來看,每一次 “非典型攻擊”都會成為一個惡性的示范樣板,有關事件必然誘使DNS業務體系成為未來一階段攻擊的重災區。
【編輯推薦】
