1月12日早上7点多开始,百度(baidu.com)出现了长时间无法访问故障,网民访问百度首页时发现,网页会被重定向到一个位于荷兰的IP地址。上午10点多,百度对大面积瘫痪事件进行了首次回应,称由于www.baidu.com的域名在美国域名注册商处被非法篡改,导致百度不能被正常访问。这一事件是自百度建立以来,所遭遇的持续时间最长、影响最严重的黑客攻击。下面我们就来对比分析百度被黑前后的DNS信息吧。
百度被攻击前和攻击后的相关信息对比如下:
百度攻击事件前baidu.com最后修改的时间是2008年12月3号,到期日期是2014年8月11号。
百度攻击事件后修改的时间变为是2010年的1月12号。
有关涉及到域名解析的whois信息在此过程中曾被进行多次修改,其中可证实的包括:
根据有关whois信息查询,百度的域名注册服务商是register.com,是一家顶级域名注册机构。
百度Whois 信息如下:
对whois.register.com 与www.register.com 的IP获取如下:
whois.register.com IP: 216.21.239.106
www.register.com IP: 216.21.239.101
两台IP服务器位于同一个网段。
通过有关信息可以对有关网络传闻作出如下结论
1、百度域名到期日为2014年10月14日,可以明确排除百度因域名未续费导致异常的传闻。
2、百度域名异常期间,可以验证其主站及其他2级域名可以按照如下IP规则进行访问并获得正常搜索结果。
可以排除百度自身信息系统因遭遇故障导致问题的可能。
3、可以确认百度域名访问异常的核心原因是百度域名服务商register.com遭到攻击 ,导致其whois系统向全球DNS体系提供了错误的域名解析服务器导致。但攻击register.com的具体方法尚难推定。初步分析认为www.register.com有一定安全隐患,不能排除是攻击者入侵入口,并进一步攻击了whois.register.com的可能性。尽管whois.register.com采用的是SSL的加密交互方式,但SSL的脆弱性在过去1年内已经被很多公开资料所披露。有关攻击技巧的组合有可能严重威胁传统的域名注册机构、以及代理机构的安全。
总结
在相关历史案例中whois信息更多与非法获取域名所有权的有关纠纷相关,但以此为入口对主流互联网厂商进行域名劫持攻击并不是十分常见,过去安全业界更多的关注根DNS的安全性以及局部的类似DNS缓存感染类的威胁,而对域名业务体系的安全性关注不够。而从现有效果来看,这无疑是具有全局威胁、难以响应防范的一种攻击,因为攻击点位于域名所有者可以控范围之外,而由于DNS体系的特点、DNS管理权利的不均衡、地区时间差、缺少理性沟通机制等诸多因素,都可能导致国内互联网站点在自身信息系统完全正常的情况下遭到“灭顶之灾”,而鞭长莫及。
从2000年的YAHOO等大型站点遭遇DoS,随后带动TFN2K等攻击工具和方法泛滥等案例来看,每一次 “非典型攻击”都会成为一个恶性的示范样板,有关事件必然诱使DNS业务体系成为未来一阶段攻击的重灾区。
【编辑推荐】