從“百度事件”看DNS安全
全球最大的中文搜索引擎——百度遭遇“百度歷史”上“最黑暗”的一天。百度頁面出現(xiàn)大面積癱瘓現(xiàn)象,前后持續(xù)時(shí)間長達(dá)近六個(gè)小時(shí)。
李彥宏驚呼“史無前例”
1月12日早上6點(diǎn)多,一條消息在QQ群中快速傳播著,其內(nèi)容是:百度頁面無法訪問。輸入百度的網(wǎng)址,你會(huì)發(fā)現(xiàn),百度原本的簡潔主頁被替換成了黑底色的攻擊者頁面,攻擊者自稱是“IRANIAN CYBER ARMY(伊朗網(wǎng)軍)”,并留下抗議文字。后來,頁面信息變成了“IE無法顯示該頁面”。
原來,百度的DNS(Domain Name System)被劫持了。這是自百度建立以來,所遭遇的持續(xù)時(shí)間最長、影響最嚴(yán)重的黑客攻擊,網(wǎng)民訪問百度時(shí),會(huì)被重定向到一個(gè)位于荷蘭的IP地址,百度旗下所有子域名均無法正常訪問。
幾個(gè)小時(shí)之后,百度頁面終于可以正常訪問了。12:51分,百度CEO李彥宏在百度貼吧上發(fā)言,連稱“史無前例,史無前例呀!”
Register.com害人不淺
從百度對(duì)本次事件所發(fā)表的聲明中,我們可以發(fā)現(xiàn)事件的起因是www.baidu.com的域名解析在美國域名注冊(cè)商處被非法篡改,導(dǎo)致全球用戶不能正常訪問百度。
這家美國的域名注冊(cè)商就是Register.com。它可能并不為廣大的中國網(wǎng)民所熟知,但是在兩年前,Register.com可是大大的出了一次“風(fēng)頭”。
2008年7月,黑客攻擊了國際互聯(lián)網(wǎng)域名與地址管理機(jī)構(gòu)ICANN的官方網(wǎng)站幾個(gè)備用域名,將其域名改變了原來指向,并在更改后指向的網(wǎng)頁上留下了囂張的字眼。這在很多人看來實(shí)在是件很諷刺的事情。一直提供網(wǎng)絡(luò)域名安全指引的ICANN這回居然自身難保。
這次黑客攻擊事件到底是怎樣發(fā)生的?ICANN的技術(shù)總監(jiān)John Crain道出了原委。他說:“黑客從來都沒有進(jìn)入到我們的網(wǎng)站,他們只是修改了icann.com等域名系統(tǒng)指向而已。”這是一起由于ICANN注冊(cè)商的注冊(cè)系統(tǒng)受到攻擊所導(dǎo)致的域名劫持事件。黑客采用的手法很特別,他們從Register.com這家域名注冊(cè)商的端口入侵?jǐn)?shù)據(jù)庫,然后修改了與ICANN相關(guān)一些域名的導(dǎo)向。后來,這家域名注冊(cè)商向ICANN提供了一份有關(guān)這次攻擊的全面絕密的安全報(bào)告。
Crain指出,這些受到錯(cuò)誤引導(dǎo)的域名僅僅是ICANN和IANA主網(wǎng)站的鏡像指向而已,ICANN和IANA兩個(gè)機(jī)構(gòu)的網(wǎng)站主域名www.icann.org和www.iana.org并未受到影響。一發(fā)現(xiàn)DNS的指向被修改的現(xiàn)象,ICANN在20分鐘之內(nèi)便能將其恢復(fù)正常,全球互聯(lián)網(wǎng)恢復(fù)正常訪問最長不超過48小時(shí)。
“ICANN事件”把Register.com弄得灰頭土臉,但令人驚訝的是,在這次“百度事件”中,黑客依然是從Register.com這家注冊(cè)商的端口入侵?jǐn)?shù)據(jù)庫,然后修改了相關(guān)一些域名的導(dǎo)向?qū)е略L問錯(cuò)誤。可以說,Register.com根本沒有從上次的事件中吸取教訓(xùn),在遞交了所謂的“全面絕密的安全報(bào)告”后,Register.com的安全漏洞依然存在。
作為一家對(duì)于互聯(lián)網(wǎng)的安全如此重要的公司,Register.com居然兩次栽倒在“同一個(gè)地方”,并且引發(fā)嚴(yán)重后果,這樣的公司應(yīng)該主動(dòng)關(guān)門以謝客戶和天下網(wǎng)民。在事件發(fā)生之后,百度已經(jīng)向法院起訴Register.com公司,而Register.com的態(tài)度強(qiáng)硬,聲稱百度的起訴“毫無依據(jù)”。
DNS安全問題一籮筐
DNS是域名系統(tǒng)的縮寫。我們?cè)谏暇W(wǎng)時(shí),輸入的是URL,比如www.baidu.com,但實(shí)際上,互聯(lián)網(wǎng)是不能根據(jù)這串字符找到百度的,必須通過DNS服務(wù)器把URL轉(zhuǎn)化為IP地址,然后我們的PC使用這個(gè)IP地址才可以訪問百度。
DNS劫持是安全界常見的一個(gè)名詞,劫持DNS服務(wù)器的意思是通過某些手段取得某域名的解析記錄控制權(quán),進(jìn)而修改此域名的解析結(jié)果,導(dǎo)致對(duì)該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP,其結(jié)果就是對(duì)特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址,從而實(shí)現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的。
在2009年12月,著名微博網(wǎng)站Twitter也遭到了幾乎和百度的情況一樣的黑客攻擊。其首頁一度被篡改,黑客也自稱來自伊朗網(wǎng)絡(luò)部隊(duì)。
DNS系統(tǒng)是所有互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ),在網(wǎng)站運(yùn)維中起著至關(guān)重要的作用。正是由于DNS管理系統(tǒng)對(duì)于網(wǎng)站異常重要,它也逐漸成為黑客的攻擊目標(biāo),常見的攻擊方式有三種
域名劫持。域名劫持在前面已經(jīng)解釋過,值得注意的是:域名被劫持后,不僅網(wǎng)站內(nèi)容會(huì)被改變,甚至可以導(dǎo)致域名所有權(quán)也旁落他人。如果是國內(nèi)的CN域名被劫持,還可以通過和注冊(cè)服務(wù)商或注冊(cè)管理機(jī)構(gòu)聯(lián)系,較快地拿回控制權(quán)。如果是國際域名被劫持,恰巧又是通過國際注冊(cè)商注冊(cè),那么其復(fù)雜的解決流程,再加上非本地化的服務(wù),會(huì)使得奪回域名變得異常復(fù)雜。
域名欺騙(緩存投毒)。域名欺騙的方式有多種多樣,但其攻擊現(xiàn)象就是利用控制DNS緩存服務(wù)器,把原本準(zhǔn)備訪問某網(wǎng)站的用戶在不知不覺中帶到黑客指向的其他網(wǎng)站上,其實(shí)現(xiàn)方式可以通過利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進(jìn)行攻擊或控制,從而改變?cè)揑SP內(nèi)的用戶訪問域名的響應(yīng)結(jié)果。或者黑客通過利用用戶權(quán)威域名服務(wù)器上的漏洞,如當(dāng)用戶權(quán)威域名服務(wù)器同時(shí)可以被當(dāng)作緩存服務(wù)器使用,黑客可以實(shí)現(xiàn)緩存投毒,將錯(cuò)誤的域名紀(jì)錄存入緩存中,從而使所有使用該緩存服務(wù)器的用戶得到錯(cuò)誤的DNS解析結(jié)果。
DDoS攻擊。針對(duì)DNS服務(wù)器的拒絕服務(wù)攻擊有兩種,一種攻擊針對(duì)DNS服務(wù)器軟件本身,通常利用BIND軟件程序中的漏洞,導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù);另一種攻擊的目標(biāo)不是DNS服務(wù)器,而是利用DNS服務(wù)器作為中間的“攻擊放大器”,去攻擊其他互聯(lián)網(wǎng)上的主機(jī),導(dǎo)致被攻擊主機(jī)拒絕服務(wù)。
安全專家表示,很多用戶都認(rèn)為DNS維護(hù)是很簡單的,只需要買一臺(tái)服務(wù)器,安裝一個(gè)軟件,就可以提供DNS服務(wù)功能,但實(shí)際上DNS的維護(hù)需要很多相關(guān)的專業(yè)知識(shí),并不是一件輕松的事情。
對(duì)于百度說遭受的DNS劫持,來自殺毒軟件廠商的安全專家表示,發(fā)生此次攻擊的根本原因,在于目前互聯(lián)網(wǎng)域名的DNS管理服務(wù)器安全性未受到應(yīng)有的重視。目前絕大多數(shù)域名都存在類似安全風(fēng)險(xiǎn)。在本次事件中,黑客繞開了百度本身的安全保護(hù),而是去攻擊DNS管理服務(wù)器,并造成了嚴(yán)重后果。
百度方面也坦言,本次事件中不法分子沒有攻擊百度服務(wù)器,而是選取美國域名注冊(cè)商作為攻擊對(duì)象,這是值得互聯(lián)網(wǎng)企業(yè)警惕的攻擊方式。百度同時(shí)呼吁DNS廠商加強(qiáng)網(wǎng)絡(luò)安全方面的建設(shè)。
安全專家提醒各大網(wǎng)絡(luò)公司及相關(guān)域名管理機(jī)構(gòu),應(yīng)該采取如下措施加以防范:
1、使用安全可靠的DNS服務(wù)器管理自己的域名,并且注意跟進(jìn)DNS的相關(guān)漏洞信息,更新最新補(bǔ)丁,加固服務(wù)器。
2、保護(hù)自己的重要機(jī)密信息安全,避免域名管理權(quán)限被竊取。
【編輯推薦】
