2010年1月12日晨7時(shí)起，網(wǎng)絡(luò)上開(kāi)始陸續(xù)出現(xiàn)百度出現(xiàn)無(wú)法訪問(wèn)的情況反饋， 12時(shí)左右基本恢復(fù)正常；18時(shí)許百度發(fā)布官方版本公告；對(duì)事故原因說(shuō)明為：“因www.baidu.com的域名在美國(guó)域名注冊(cè)商處被非法篡改，導(dǎo)致全球多處用戶不能正常訪問(wèn)百度。”
 

事件概述· 發(fā)生時(shí)間
2010年1月12日晨7時(shí)起，網(wǎng)絡(luò)上開(kāi)始陸續(xù)出現(xiàn)百度出現(xiàn)無(wú)法訪問(wèn)的情況反饋， 12時(shí)左右基本恢復(fù)正常；18時(shí)許百度發(fā)布官方版本公告；對(duì)事故原因說(shuō)明為：“因www.baidu.com的域名在美國(guó)域名注冊(cè)商處被非法篡改，導(dǎo)致全球多處用戶不能正常訪問(wèn)百度。”

[[8383]] 
· 相關(guān)現(xiàn)象
（1）在整個(gè)事件期間百度頂級(jí)域名baidu.com即旗下全部二級(jí)域名訪問(wèn)都出現(xiàn)異常，在較長(zhǎng)的時(shí)間全部被解析到位于荷蘭的IP地址188.95.49.6。但通過(guò)IP入口（如http://202.108.22.5/），其他頂級(jí)域下的域名入口如baidu.hk等可以正常訪問(wèn)。
在訪問(wèn)百度過(guò)程中先后出現(xiàn)過(guò)不同現(xiàn)象：
跳轉(zhuǎn)至伊朗網(wǎng)軍（IRANIAN CYBER ARMY）頁(yè)面；
跳轉(zhuǎn)至雅虎錯(cuò)誤頁(yè)面；
不能正常訪問(wèn)等。 
 

跳轉(zhuǎn)到雅虎錯(cuò)誤頁(yè)面： 
 

（2）在此期間查詢baidu whois信息可以發(fā)現(xiàn)異常，并有被不止一次修改的跡象。
· 事件的初步定性
安天CERT在今早九時(shí)對(duì)事件作出定性，此事件為通過(guò)whois信息篡改實(shí)施的DNS劫持類攻擊，并將有關(guān)初始分析報(bào)告和結(jié)論向關(guān)聯(lián)CERT機(jī)構(gòu)進(jìn)行了提交。

#p#

DNS原理及域名的管理· 什么是DNS

網(wǎng)絡(luò)節(jié)點(diǎn)能夠被尋址訪問(wèn)的原因，是由于網(wǎng)絡(luò)節(jié)點(diǎn)擁有一個(gè)獨(dú)立身份證，這是由網(wǎng)卡物理地址、IP地址和網(wǎng)絡(luò)端口組成的一個(gè)地址體系。對(duì)于以TCP/IP為基礎(chǔ)協(xié)議的Internet來(lái)說(shuō)，必須找到訪問(wèn)對(duì)象的IP地址，才能進(jìn)行訪問(wèn)，但由于IP地址難于記憶，也不夠靈活，Internet規(guī)則的制定者發(fā)明了一套域名體系與其對(duì)應(yīng)，這就是DNS（域名解析服務(wù)）的基礎(chǔ)體系。這時(shí)用戶無(wú)需記憶大量的IP地址數(shù)字（如202.108.22.5），而能通過(guò)域名訪問(wèn)豐富多彩的互聯(lián)網(wǎng)內(nèi)容（如www.baidu.com），這給用戶帶來(lái)了極大的方便，但也產(chǎn)生了相關(guān)的安全隱患。
· 國(guó)際域名的業(yè)務(wù)體系

域名體系管理是由ICANN組織進(jìn)行的，其下有多家頂級(jí)域名注冊(cè)商，而注冊(cè)商下又可能有多級(jí)代理商。
· DNS解析的基本原理
DNS服務(wù)的工作原理：

上圖是用戶訪問(wèn)一個(gè)域名后，通過(guò)本地DNS服務(wù)器發(fā)出遞歸查詢請(qǐng)求的流程圖，然而大多數(shù)DNS服務(wù)器都是可以處理遞歸查詢，通過(guò)詢問(wèn)其他服務(wù)器和提供響應(yīng)給發(fā)出請(qǐng)求的用戶，進(jìn)而利用遞歸式DNS來(lái)為客戶端提供域名解析的答案。以下為它的執(zhí)行流程：

• 一個(gè)用戶在瀏覽器中輸入www.antiy.com。首先計(jì)算機(jī)詢問(wèn)它的本地DNS服務(wù)器，以確定www.antiy.com的IP地址。
• 本地的DNS服務(wù)器首先在它的本地表（或緩存）中進(jìn)行查找“www.antiy.com”，如果找到那么將其返回客戶端，如果沒(méi)有發(fā)現(xiàn)，那么DNS服務(wù)器發(fā)送一個(gè)查詢給根服務(wù)器，來(lái)查詢“www.antiy.com”的IP地址。
• 根服務(wù)器收到信息后會(huì)回應(yīng)“www.antiy.com”頂級(jí)域（TLD）服務(wù)器的地址。
• 然后由本地的DNS服務(wù)器聯(lián)系頂級(jí)域名（TLD）服務(wù)器來(lái)確定“www.antiy.com”的IP地址。
• 頂級(jí)域（TLD）服務(wù)器會(huì)回應(yīng)針對(duì)“www.antiy.com”的名稱的服務(wù)器地址。
• 本地DNS服務(wù)器聯(lián)系得到的“www.antiy.com”的名稱服務(wù)器來(lái)確定它的IP地址。
• 本地DNS服務(wù)器發(fā)送這個(gè)響應(yīng)給最初的用戶：www.antiy.com=222.171.15.743.DNS相關(guān)的安全威脅和案例· 利用DNS服務(wù)器進(jìn)行DDOS攻擊

正常的DNS服務(wù)器遞歸詢問(wèn)過(guò)程可能被利用成DDOS攻擊的。假設(shè)攻擊者已知被攻擊機(jī)器的IP地址，然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后，DNS服務(wù)器響應(yīng)給最初用戶，而這個(gè)用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復(fù)的進(jìn)行如上操作，那么被攻擊者就會(huì)受到來(lái)自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊。下圖為攻擊原理：

1. 攻擊者發(fā)送控制信號(hào)給肉雞群機(jī)器。
2. 肉雞群機(jī)器針對(duì)這個(gè)遞歸DNS不斷的執(zhí)行這條記錄的查詢。
3. 本地的DNS服務(wù)器首先在它的本地表（或緩存）中進(jìn)行查找“www.antiy.com”，如果找到將其返回客戶端，如果沒(méi)有發(fā)現(xiàn)，那么DNS服務(wù)器發(fā)送一個(gè)查詢給根服務(wù)器，來(lái)查詢“www.antiy.com”的IP地址。
4. 根服務(wù)器收到訊息（信息）后會(huì)回應(yīng)“www.antiy.com”頂級(jí)域（TLD）服務(wù)器的地址。
5. 然后由本地的DNS服務(wù)器聯(lián)系頂級(jí)域名（TLD）服務(wù)器來(lái)確定“www.antiy.com”的IP地址。
6. 頂級(jí)域（TLD）服務(wù)器會(huì)回應(yīng)針對(duì)“www.antiy.com”的名稱的服務(wù)器地址。
7. 本地DNS服務(wù)器聯(lián)系得到的“www.antiy.com”的名稱服務(wù)器來(lái)確定它的IP地址。
8. 遞歸DNS獲得了某域名的IP地址后，把所有信息都回復(fù)給源地址，而此時(shí)的源地址就是被攻擊者的IP地址了。

如果攻擊者擁有著足夠多的肉雞群，那么就可以使被攻擊者的網(wǎng)絡(luò)被拖垮至發(fā)生中斷。利用DNS服務(wù)器攻擊的重要挑戰(zhàn)是，攻擊者由于沒(méi)有直接與被攻擊主機(jī)進(jìn)行通訊，隱匿了自己行蹤，讓受害者難以追查原始的攻擊來(lái)。相對(duì)比較好的解決辦法就是可取消DNS服務(wù)器中允許人人查詢網(wǎng)址的遞回(recursive)功能。
· DNS緩存感染

攻擊者使用DNS請(qǐng)求，將數(shù)據(jù)放入一個(gè)具有漏洞的的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問(wèn)時(shí)返回給用戶，從而把用戶客戶對(duì)正常域名的訪問(wèn)引導(dǎo)到入侵者所設(shè)置掛馬、釣魚(yú)等頁(yè)面上，或者通過(guò)偽造的郵件和其他的server服務(wù)獲取用戶口令信息，導(dǎo)致客戶遭遇進(jìn)一步的侵害。
· DNS信息劫持

原則上TCP/IP體系通過(guò)序列號(hào)等多種方式避免仿冒數(shù)據(jù)的插入，但入侵者如果通過(guò)監(jiān)聽(tīng)客戶端和DNS服務(wù)器的對(duì)話，就可以猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS查詢ID。每個(gè)DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID號(hào)，DNS服務(wù)器根據(jù)這個(gè)ID號(hào)獲取請(qǐng)求源位置。攻擊者在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問(wèn)惡意的網(wǎng)站。假設(shè)當(dāng)提交給某個(gè)域名服務(wù)器的域名解析請(qǐng)求的數(shù)據(jù)包被截獲，然后按截獲者的意圖將一個(gè)虛假的IP地址作為應(yīng)答信息返回給請(qǐng)求者。這時(shí)，原始請(qǐng)求者就會(huì)把這個(gè)虛假的IP地址作為它所要請(qǐng)求的域名而進(jìn)行連接，顯然它被欺騙到了別處而根本連接不上自己想要連接的那個(gè)域名。
 

· DNS重定向

  攻擊者如果將DNS名稱查詢重定向到惡意DNS服務(wù)器。那么被劫持域名的解析就完全至于攻擊者的控制之下。
· ARP欺騙

ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP 木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。
ARP欺騙通常是在用戶局網(wǎng)中，造成用戶訪問(wèn)域名的錯(cuò)誤指向，但在IDC機(jī)房被入侵后，則也可能出現(xiàn)攻擊者采用ARP包壓制正常主機(jī)、或者壓制DNS服務(wù)器，而李代桃僵，以使訪問(wèn)導(dǎo)向錯(cuò)誤指向的情況。
· 本機(jī)劫持

在計(jì)算機(jī)系統(tǒng)被木馬或流氓軟件感染后可能會(huì)出現(xiàn)部分域名的訪問(wèn)異常，如訪問(wèn)掛馬或者釣魚(yú)站點(diǎn)、無(wú)法訪問(wèn)等情況，本機(jī)劫持有hosts文件篡改、本機(jī)DNS劫持、SPI鏈注入、BHO插件等方式，雖然并非都通過(guò)DNS環(huán)節(jié)完成，但都會(huì)造成無(wú)法按照用戶意愿獲得正確的地址或者內(nèi)容的后果。

#p#

與DNS相關(guān)的一些攻擊案例

事件1：百度遇DDOS攻擊事件
2006年09月12日17點(diǎn)30分，有北京、重慶等地的網(wǎng)友反映百度無(wú)法正常使用，出現(xiàn)“請(qǐng)求超時(shí)”(Request timed out)的信息。這次攻擊造成了百度搜索服務(wù)在全國(guó)各地出現(xiàn)了近30分鐘的故障。隨后，百度技術(shù)部門(mén)的員工們快速反應(yīng)，將問(wèn)題解決并恢復(fù)百度服務(wù)。9月12日晚上11時(shí)37分，百度空間發(fā)表了針對(duì)不明攻擊事件的聲明。“今天下午，百度遭受有史以來(lái)最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國(guó)各地出現(xiàn)了近30分鐘的故障。”
2006年09月22日，新網(wǎng)對(duì)外做出證實(shí)DNS服務(wù)器遭到大規(guī)模黑客攻擊，從21日下午4點(diǎn)多開(kāi)始持續(xù)到凌晨12點(diǎn)。盡管目前服務(wù)已經(jīng)恢復(fù)正常，但是技術(shù)人員正在追蹤攻擊來(lái)源，并分析攻擊技術(shù)手段。新網(wǎng)是國(guó)內(nèi)最大域名服務(wù)商之一，黑客持續(xù)8小時(shí)的攻擊，導(dǎo)致在新網(wǎng)注冊(cè)30%的網(wǎng)站無(wú)法正常訪問(wèn)。其中包括天空軟件、艾瑞視點(diǎn)、中國(guó)網(wǎng)庫(kù)等知名網(wǎng)站。
事件3：暴風(fēng)影音事件
2009年5月18日晚上22點(diǎn)左右，DNSPod主站及多個(gè)DNS服務(wù)器遭受超過(guò)10G流量的惡意攻擊。耗盡了整個(gè)機(jī)房約三分之一的帶寬資源，為了不影響機(jī)房其他用戶，最終導(dǎo)致DNS服務(wù)器被迫離線。該事件關(guān)聯(lián)導(dǎo)致了使用DNSPod進(jìn)行解析的暴風(fēng)影音程序頻繁的發(fā)生域名重新申請(qǐng)，產(chǎn)生請(qǐng)求風(fēng)暴，大量積累的不斷訪問(wèn)申請(qǐng)導(dǎo)致各地電信網(wǎng)絡(luò)負(fù)擔(dān)成倍增加，網(wǎng)絡(luò)出現(xiàn)堵塞。于2009年5月19日晚21時(shí)左右開(kāi)始，江蘇、安徽、廣西、海南、甘肅、浙江六省陸續(xù)出現(xiàn)大規(guī)模網(wǎng)絡(luò)故障，很多互聯(lián)網(wǎng)用戶出現(xiàn)訪問(wèn)互聯(lián)網(wǎng)速度變慢或者無(wú)法訪問(wèn)網(wǎng)站等情況。在零點(diǎn)以前，部分地區(qū)運(yùn)營(yíng)商將暴風(fēng)影音服務(wù)器IP加入DNS緩存或者禁止其域名解析，網(wǎng)絡(luò)情況陸續(xù)開(kāi)始恢復(fù)。
百度攻擊事件分析百度被攻擊前和攻擊后的相關(guān)信息對(duì)比如下：

被攻擊前被攻擊后
Domain Name: BAIDU.COM
Registrar: REGISTER.COM, INC.
Whois Server: whois.register.com
Referral URL: http://www.register.com
Updated Date: 03-dec-2008
Creation Date: 11-oct-1999
Expiration Date: 11-oct-2014
Domain Name: BAIDU.COM
Registrar: REGISTER.COM, INC.
Whois Server: whois.register.com
Referral URL: http://www.register.com
Updated Date: 12-jan-2010
Creation Date: 11-oct-1999
Expiration Date: 11-oct-2014

      百度攻擊事件前baidu.com最后修改的時(shí)間是2008年12月3號(hào)，到期日期是2014年8月11號(hào)。
      百度攻擊事件后修改的時(shí)間變?yōu)槭?010年的1月12號(hào)。
      有關(guān)涉及到域名解析的whois信息在此過(guò)程中曾被進(jìn)行多次修改，其中可證實(shí)的包括。
Name ServerName Server: YNS1.YAHOO.COM
Name Server: YNS2.YAHOO.COM
Name Server: NS2303.HOSTGATOR.COM
Name Server: NS2304.HOSTGATOR.COM
      根據(jù)有關(guān)whois信息查詢，百度的域名注冊(cè)服務(wù)商是register.com，是一家頂級(jí)域名注冊(cè)機(jī)構(gòu)。
      百度Whois 信息如下：
      對(duì)whois.register.com 與www.register.com 的IP獲取如下：
      whois.register.com IP: 216.21.239.106
      www.register.com   IP: 216.21.239.101
      兩臺(tái)IP服務(wù)器位于同一個(gè)網(wǎng)段。
      通過(guò)有關(guān)信息可以對(duì)有關(guān)網(wǎng)絡(luò)傳聞作出如下結(jié)論
    （1）百度域名到期日為2014年10月14日，可以明確排除百度因域名未續(xù)費(fèi)導(dǎo)致異常的傳聞。
    （2）百度域名異常期間，可以驗(yàn)證其主站及其他2級(jí)域名可以按照如下IP規(guī)則進(jìn)行訪問(wèn)并獲得正常搜索結(jié)果。

內(nèi)容
異常域名
可以正常訪問(wèn)的IP地址
百度首頁(yè)
www.baidu.com
http://202.108.22.5
百度新聞
news.baidu.com
http://61.135.163.87
百度貼吧
tieba.baidu.com
http://61.135.163.220
百度知道
zhidao.baidu.com
http://61.135.163.85
百度mp3
mp3.baidu.com
http://61.135.163.89
百度圖片
image.baidu.com
http://61.135.163.93
百度視頻
video.baidu.com
http://61.135.163.91

可以排除百度自身信息系統(tǒng)因遭遇故障導(dǎo)致問(wèn)題的可能。
    （3）可以確認(rèn)百度域名訪問(wèn)異常的核心原因是百度域名服務(wù)商register.com遭到攻擊 ，導(dǎo)致其whois系統(tǒng)向全球DNS體系提供了錯(cuò)誤的域名解析服務(wù)器導(dǎo)致。但攻擊register.com的具體方法尚難推定。初步分析認(rèn)為www.register.com有一定安全隱患，不能排除是攻擊者入侵入口，并進(jìn)一步攻擊了whois.register.com的可能性。盡管whois.register.com采用的是SSL的加密交互方式，但SSL的脆弱性在過(guò)去1年內(nèi)已經(jīng)被很多公開(kāi)資料所披露。有關(guān)攻擊技巧的組合有可能?chē)?yán)重威脅傳統(tǒng)的域名注冊(cè)機(jī)構(gòu)、以及代理機(jī)構(gòu)的安全。
因此我們通過(guò)兩個(gè)圖示完整解析域名有關(guān)機(jī)制和百度受到攻擊的過(guò)程。

 
正常情況下的全球DNS體系、baidu和用戶三者的關(guān)系圖示
1、百度公司通過(guò)域名注冊(cè)機(jī)構(gòu)（本事件中為register.com）成功申請(qǐng)域名，并發(fā)布原始Whois信息。Whois信息中包含了域名解析服務(wù)器。
2、有關(guān)whois信息通過(guò)數(shù)據(jù)庫(kù)發(fā)布到全球DNS網(wǎng)絡(luò)中,baidu.com頂級(jí)域名下所有域名會(huì)被指向到百度的DNS體系查詢。
3、百度的DNS體系由DNS.baidu.com、NS2.baidu.com、NS3.baidu.com、NS4.baidu.com互為后備組成。
4、相關(guān)DNS體系向全球域名網(wǎng)絡(luò)提交有關(guān)站點(diǎn)的正確IP信息。
5、用戶訪問(wèn)時(shí)，向自身的DNS服務(wù)器查詢baidu.com的IP地址，并走正常的緩存和逐級(jí)查詢過(guò)程，獲取baidu.com的正確IP，訪問(wèn)baidu的網(wǎng)絡(luò)服務(wù)。

1、攻擊者入侵register有關(guān)站點(diǎn)。
2、攻擊者修改baidu.com有關(guān)whois信息，把baidu.com的域名解析服務(wù)修改成自身可控的DNS服務(wù)器。
3、有關(guān)DNS服務(wù)器在收到查詢時(shí)發(fā)布錯(cuò)誤的IP地址，指向攻擊者發(fā)布有關(guān)內(nèi)容的服務(wù)器。
4、用戶此時(shí)通過(guò)域名方式無(wú)法訪問(wèn)正常的百度，之恩只能訪到攻擊者預(yù)設(shè)的內(nèi)容，
5、百度此時(shí)除了協(xié)調(diào)register.com修改自己的whois信息外，沒(méi)有其他可以使域名正常訪問(wèn)的方法。
結(jié)論與建議本次事件再度揭示了全球DNS體系的脆弱性，并說(shuō)明互聯(lián)網(wǎng)廠商如果僅有針對(duì)自身信息系統(tǒng)的安全預(yù)案，不足以快速應(yīng)對(duì)全面而復(fù)雜的威脅。
安天從一個(gè)安全研究機(jī)構(gòu)自身的角度回溯：在相關(guān)歷史案例中whois信息更多與非法獲取域名所有權(quán)的有關(guān)糾紛相關(guān)，但以此為入口對(duì)主流互聯(lián)網(wǎng)廠商進(jìn)行域名劫持攻擊并不是十分常見(jiàn)，過(guò)去安全業(yè)界更多的關(guān)注根DNS的安全性以及局部的類似DNS緩存感染類的威脅，而對(duì)域名業(yè)務(wù)體系的安全性關(guān)注不夠。而從現(xiàn)有效果來(lái)看，這無(wú)疑是具有全局威脅、難以響應(yīng)防范的一種攻擊，因?yàn)楣酎c(diǎn)位于域名所有者可以控范圍之外，而由于DNS體系的特點(diǎn)、DNS管理權(quán)利的不均衡、地區(qū)時(shí)間差、缺少理性溝通機(jī)制等諸多因素，都可能導(dǎo)致國(guó)內(nèi)互聯(lián)網(wǎng)站點(diǎn)在自身信息系統(tǒng)完全正常的情況下遭到“滅頂之災(zāi)”，而鞭長(zhǎng)莫及。
從2000年的YAHOO等大型站點(diǎn)遭遇DoS，隨后帶動(dòng)TFN2K等攻擊工具和方法泛濫等案例來(lái)看，每一次“非典型攻擊”都會(huì)成為一個(gè)惡性的示范樣板，有關(guān)事件必然誘使DNS業(yè)務(wù)體系成為未來(lái)一階段攻擊的重災(zāi)區(qū)。
因此我們建議：
（1）針對(duì)網(wǎng)站運(yùn)營(yíng)者：原則上應(yīng)為自身站點(diǎn)準(zhǔn)備兩套域名，且兩個(gè)域名應(yīng)該通過(guò)兩個(gè)不同的服務(wù)商注冊(cè)。
（2）大型網(wǎng)站的應(yīng)急預(yù)案應(yīng)進(jìn)一步修正有關(guān)處理流程，強(qiáng)化對(duì)域名服務(wù)商的協(xié)調(diào)流程。
（3）域名注冊(cè)商和代理機(jī)構(gòu)近期可能成為集中攻擊目標(biāo)，需要加以防范。
（4）國(guó)內(nèi)有關(guān)機(jī)構(gòu)應(yīng)快速建立與境外有關(guān)機(jī)構(gòu)的協(xié)調(diào)能力，協(xié)助國(guó)內(nèi)企業(yè)實(shí)現(xiàn)對(duì)有關(guān)事件的快速交涉處理。 

【編輯推薦】

1. 對(duì)比攻擊前后DNS信息 揭開(kāi)百度被黑真相
2. 百度被黑客攻陷　安全專家解析DNS劫持
3. 百度被黑炒起技術(shù)熱 IT安全就業(yè)大好