從百度事件愛你看域名安全

2010年1月12日，由于美國域名注冊服務商 Register.com的重大疏忽，致使中國搜索引擎百度的域名解析遭到不法分子惡意篡改，故障長達5個多小時。這是自百度創建以來最大的斷網事故，使百度蒙受了巨大的經濟損失，百度CEO李彥宏更是在百度貼吧上連用多個“史無前例”表達感慨。

域名安全的問題常常易被企業忽視。就如同空氣、水是人類維持生命所必需的要素，當這些要素缺失的時候，將威脅到我們的生命安全。不過這些要素在我們看來是理所當然就應該存在的，所以常常被我們所忽略。下面讓我們來看一下目前域名安全是怎樣的一個局勢：

現狀：域名安全事件頻發

域名安全的現狀不容樂觀，針對各大網站的有目的性的攻擊一直沒有停止。

去年1月12日早晨7時左右，百度首頁出現大規模訪問故障，全球多處用戶無法訪問。故障的原因是由于www.baidu.com 的域名在美國域名注冊商處被非法篡改。經過與黑客幾個小時的持續激戰，百度技術人員最終奪回了域名解析控制權。據粗略推測，持續數小時的故障使百度直接經濟損失達700萬元。

知名互聯網公司不止百度域名出問題。今年5月30日下午18:00，騰訊網出現訪問故障，北京、上海、廣州等地均出現網頁無法打開的情況，持續長達40分鐘。騰訊宣稱斷網故障是因為出現了間斷的網絡波動異常現象。業內的一些專家則認為可能是騰訊的DNS出了問題從而導致了訪問故障。

除了知名的互聯網公司，發生域名安全事件比較多的就是域名注冊商了。最近比較大的一起事件發生在3月19日，華夏名網DNS出現了嚴重故障。華夏名網是一個域名注冊商，在該公司注冊并使用其域名解析服務的28萬域名解析異常。國內大部分企業在注冊了域名之后，域名注冊商會提供免費的域名解析服務，不過這種免費的解析服務質量無法保障，域名解析服務會經常出現一些問題，多數情況是受到了DDOS攻擊。

DDOS，即分布式拒絕服務攻擊（distributed denial of service ），就是用超出被攻擊目標處理能力的海量數據包消耗可用系統、帶寬源，致使網絡服務癱瘓的一種攻擊手段。因利益和商業競爭的驅使，黑客入侵形成了由產品、銷售到售后服務的黑色產業鏈。與早期的DOS攻擊由單臺攻擊主機發起，單兵作戰相比較，DDOS是借助數臺甚至數千臺被植入攻擊守護進程的攻擊主機同時發起的集團作戰行為。在這種幾百甚至幾千對一的較量中，被攻擊對象和網絡服務提供商所面對的破壞力空前巨大。

引起網站斷網的域名安全威脅主要分為兩類，一是來自于外部的，如針對域名服務器的DOS和DDOS攻擊、域名劫持、緩存中毒等，而其中比較常見的就是DOS和DDOS攻擊。第二類安全威脅來自于企業內部，主要是企業在管理方面存在的一些問題，如企業自身數據更新錯誤、域名解析服務系統的軟件漏洞、服務體系架構存在缺陷等等，也會給攻擊者提供可乘之機。

原因：域名服務體系存在薄弱環節

根據中網發布的《2011中國域名服務及安全現狀報告》中的數據顯示：對國內重要信息系統所涉及的域名抽樣統計發現，57%的域名解析服務處于有風險的狀態，其中11.8%的域名因配置不當而處于較高風險的狀態。

完整的域名服務體系由遞歸域名服務系統（即本地域名服務器）、根域名服務系統、頂級域名服務系統以及各級域名服務系統等四個層級構成。我們訪問一個網站需要在全球網絡中完成對應這四個層次的查詢。任何一個層級發生故障，都將導致相應范圍的網絡應用癱瘓，大到國家和某個地區的網絡全面癱瘓，小到單個網站無法訪問。

在這四個層級當中，根和頂級域名的服務情況良好，二級和二級以下域名服務狀態比較差。我們知道，域名服務體系最頂層是根，根下面是頂級域。根與頂級域是由ICANN（The Internet Corporation for Assigned Names and Numbers，互聯網名稱與數字地址分配機構）指定的一些專業機構或公司進行管理，如中國互聯網絡信息中心（CNNIC）負責管理.cn這個國家頂級域名，VeriSign公司負責管理.com域名，因此根與頂級域名一般不會出問題。不過瑞典也曾經因為數據出錯，而導致.se這個以瑞典國家為后綴的所有域名在互聯網上消失了，這種情況比較少見。

最容易出問題的就是二級和二級以下的域名，安全事故一般都是圍繞這一級的域名發生。擁有域名的企業常常采用兩種方式進行域名解析：一種方式是企業自己購置域名服務器進行域名解析，另一種方式是托管。在中國缺乏專業的第三方域名托管服務商，一般都使用由注冊商提供的、沒有安全保障的、免費的域名解析服務。

此外，遞歸域名解析環節也容易發生故障，這個環節一旦出現問題，損失與影響都很大。遞歸域名解析服務主要由ISP網絡接入服務商，如電信、聯通和移動，以及一些中小ISP提供。“519斷網事件”發生之后，運營商越來越重視這一環節的安全，這部分的服務狀態會好一些。

“519斷網事件”又被稱為“519暴風門事件”。5月19日21時起，南方六省出現嚴重網絡故障，成為自2006年海底光纜斷裂以來最嚴重的一次大規模網絡堵塞事件。事件起因源于暴風影音的域名托管在免費的域名注冊商那里，而這樣的域名服務商的服務器里可能為幾十萬域名提供解析服務。當時該服務商還托管著私服，游戲公司之間的攻擊非常頻繁，導致暴風影音的域名解析也因此受到了影響。

有1.2億的用戶電腦上裝有暴風影音的軟件，暴風影音軟件的部分在線服務功能必須基于baofeng.com域名的正常解析，這些電腦同時發出對暴風影音網站域名的解析請求的時候，卻找不到解析服務器。用戶電腦產生的巨量域名解析請求擁塞了為這些用戶提供服務的各地電信運營商的本地域名服務器，就會導致多個省份的本地域名服務器出現故障甚至無法提供正常服務。

而后，這些本地域名服務器的其他互聯網用戶也無法上網，其實際效果相當于DDoS攻擊。暴風影音稱其在此次事故中直接經濟損失達238萬元人民幣；電信運營商則損失更大，有文章推測六省加起來損失應該過億元。

域名安全的現狀分析以及目前頻發的域名安全事件的原因分析后，你是不是也覺得該采取一些對策呢？就請閱讀：域名安全該如何應對？

【編輯推薦】

1. 中國域名安全亟待“補鈣”
2. 域名安全聯盟專家表示應推廣域名安全防護標準
3. 騰訊網域名解析出故障 域名安全服務亟待提升
4. 百度嚴重網絡安全事件 解讀域名安全
5. 脆弱的域名安全 新網黑客事件觀察