從“百度事件”看DNS安全
全球最大的中文搜索引擎——百度遭遇“百度歷史”上“最黑暗”的一天。百度頁面出現大面積癱瘓現象,前后持續時間長達近六個小時。
李彥宏驚呼“史無前例”
1月12日早上6點多,一條消息在QQ群中快速傳播著,其內容是:百度頁面無法訪問。輸入百度的網址,你會發現,百度原本的簡潔主頁被替換成了黑底色的攻擊者頁面,攻擊者自稱是“IRANIAN CYBER ARMY(伊朗網軍)”,并留下抗議文字。后來,頁面信息變成了“IE無法顯示該頁面”。
原來,百度的DNS(Domain Name System)被劫持了。這是自百度建立以來,所遭遇的持續時間最長、影響最嚴重的黑客攻擊,網民訪問百度時,會被重定向到一個位于荷蘭的IP地址,百度旗下所有子域名均無法正常訪問。
幾個小時之后,百度頁面終于可以正常訪問了。12:51分,百度CEO李彥宏在百度貼吧上發言,連稱“史無前例,史無前例呀!”
Register.com害人不淺
從百度對本次事件所發表的聲明中,我們可以發現事件的起因是www.baidu.com的域名解析在美國域名注冊商處被非法篡改,導致全球用戶不能正常訪問百度。
這家美國的域名注冊商就是Register.com。它可能并不為廣大的中國網民所熟知,但是在兩年前,Register.com可是大大的出了一次“風頭”。
2008年7月,黑客攻擊了國際互聯網域名與地址管理機構ICANN的官方網站幾個備用域名,將其域名改變了原來指向,并在更改后指向的網頁上留下了囂張的字眼。這在很多人看來實在是件很諷刺的事情。一直提供網絡域名安全指引的ICANN這回居然自身難保。
這次黑客攻擊事件到底是怎樣發生的?ICANN的技術總監John Crain道出了原委。他說:“黑客從來都沒有進入到我們的網站,他們只是修改了icann.com等域名系統指向而已。”這是一起由于ICANN注冊商的注冊系統受到攻擊所導致的域名劫持事件。黑客采用的手法很特別,他們從Register.com這家域名注冊商的端口入侵數據庫,然后修改了與ICANN相關一些域名的導向。后來,這家域名注冊商向ICANN提供了一份有關這次攻擊的全面絕密的安全報告。
Crain指出,這些受到錯誤引導的域名僅僅是ICANN和IANA主網站的鏡像指向而已,ICANN和IANA兩個機構的網站主域名www.icann.org和www.iana.org并未受到影響。一發現DNS的指向被修改的現象,ICANN在20分鐘之內便能將其恢復正常,全球互聯網恢復正常訪問最長不超過48小時。
“ICANN事件”把Register.com弄得灰頭土臉,但令人驚訝的是,在這次“百度事件”中,黑客依然是從Register.com這家注冊商的端口入侵數據庫,然后修改了相關一些域名的導向導致訪問錯誤。可以說,Register.com根本沒有從上次的事件中吸取教訓,在遞交了所謂的“全面絕密的安全報告”后,Register.com的安全漏洞依然存在。
作為一家對于互聯網的安全如此重要的公司,Register.com居然兩次栽倒在“同一個地方”,并且引發嚴重后果,這樣的公司應該主動關門以謝客戶和天下網民。在事件發生之后,百度已經向法院起訴Register.com公司,而Register.com的態度強硬,聲稱百度的起訴“毫無依據”。
DNS安全問題一籮筐
DNS是域名系統的縮寫。我們在上網時,輸入的是URL,比如www.baidu.com,但實際上,互聯網是不能根據這串字符找到百度的,必須通過DNS服務器把URL轉化為IP地址,然后我們的PC使用這個IP地址才可以訪問百度。
DNS劫持是安全界常見的一個名詞,劫持DNS服務器的意思是通過某些手段取得某域名的解析記錄控制權,進而修改此域名的解析結果,導致對該域名的訪問由原IP地址轉入到修改后的指定IP,其結果就是對特定的網址不能訪問或訪問的是假網址,從而實現竊取資料或者破壞原有正常服務的目的。
在2009年12月,著名微博網站Twitter也遭到了幾乎和百度的情況一樣的黑客攻擊。其首頁一度被篡改,黑客也自稱來自伊朗網絡部隊。
DNS系統是所有互聯網應用的基礎,在網站運維中起著至關重要的作用。正是由于DNS管理系統對于網站異常重要,它也逐漸成為黑客的攻擊目標,常見的攻擊方式有三種
域名劫持。域名劫持在前面已經解釋過,值得注意的是:域名被劫持后,不僅網站內容會被改變,甚至可以導致域名所有權也旁落他人。如果是國內的CN域名被劫持,還可以通過和注冊服務商或注冊管理機構聯系,較快地拿回控制權。如果是國際域名被劫持,恰巧又是通過國際注冊商注冊,那么其復雜的解決流程,再加上非本地化的服務,會使得奪回域名變得異常復雜。
域名欺騙(緩存投毒)。域名欺騙的方式有多種多樣,但其攻擊現象就是利用控制DNS緩存服務器,把原本準備訪問某網站的用戶在不知不覺中帶到黑客指向的其他網站上,其實現方式可以通過利用網民ISP端的DNS緩存服務器的漏洞進行攻擊或控制,從而改變該ISP內的用戶訪問域名的響應結果。或者黑客通過利用用戶權威域名服務器上的漏洞,如當用戶權威域名服務器同時可以被當作緩存服務器使用,黑客可以實現緩存投毒,將錯誤的域名紀錄存入緩存中,從而使所有使用該緩存服務器的用戶得到錯誤的DNS解析結果。
DDoS攻擊。針對DNS服務器的拒絕服務攻擊有兩種,一種攻擊針對DNS服務器軟件本身,通常利用BIND軟件程序中的漏洞,導致DNS服務器崩潰或拒絕服務;另一種攻擊的目標不是DNS服務器,而是利用DNS服務器作為中間的“攻擊放大器”,去攻擊其他互聯網上的主機,導致被攻擊主機拒絕服務。
安全專家表示,很多用戶都認為DNS維護是很簡單的,只需要買一臺服務器,安裝一個軟件,就可以提供DNS服務功能,但實際上DNS的維護需要很多相關的專業知識,并不是一件輕松的事情。
對于百度說遭受的DNS劫持,來自殺毒軟件廠商的安全專家表示,發生此次攻擊的根本原因,在于目前互聯網域名的DNS管理服務器安全性未受到應有的重視。目前絕大多數域名都存在類似安全風險。在本次事件中,黑客繞開了百度本身的安全保護,而是去攻擊DNS管理服務器,并造成了嚴重后果。
百度方面也坦言,本次事件中不法分子沒有攻擊百度服務器,而是選取美國域名注冊商作為攻擊對象,這是值得互聯網企業警惕的攻擊方式。百度同時呼吁DNS廠商加強網絡安全方面的建設。
安全專家提醒各大網絡公司及相關域名管理機構,應該采取如下措施加以防范:
1、使用安全可靠的DNS服務器管理自己的域名,并且注意跟進DNS的相關漏洞信息,更新最新補丁,加固服務器。
2、保護自己的重要機密信息安全,避免域名管理權限被竊取。
【編輯推薦】
