全球最大的中文搜索引擎——百度遭遇“百度歷史”上“最黑暗”的一天。百度頁面出現(xiàn)大面積癱瘓現(xiàn)象，前后持續(xù)時間長達近六個小時。

李彥宏驚呼“史無前例”

1月12日早上6點多，一條消息在QQ群中快速傳播著，其內(nèi)容是：百度頁面無法訪問。輸入百度的網(wǎng)址，你會發(fā)現(xiàn)，百度原本的簡潔主頁被替換成了黑底色的攻擊者頁面，攻擊者自稱是“IRANIAN CYBER ARMY(伊朗網(wǎng)軍)”，并留下抗議文字。后來，頁面信息變成了“IE無法顯示該頁面”。

原來，百度的DNS(Domain Name System)被劫持了。這是自百度建立以來，所遭遇的持續(xù)時間最長、影響最嚴重的黑客攻擊，網(wǎng)民訪問百度時，會被重定向到一個位于荷蘭的IP地址，百度旗下所有子域名均無法正常訪問。

幾個小時之后，百度頁面終于可以正常訪問了。12:51分，百度CEO李彥宏在百度貼吧上發(fā)言，連稱“史無前例，史無前例呀!”

Register.com害人不淺

從百度對本次事件所發(fā)表的聲明中，我們可以發(fā)現(xiàn)事件的起因是www.baidu.com的域名解析在美國域名注冊商處被非法篡改，導致全球用戶不能正常訪問百度。

這家美國的域名注冊商就是Register.com。它可能并不為廣大的中國網(wǎng)民所熟知，但是在兩年前，Register.com可是大大的出了一次“風頭”。

2008年7月，黑客攻擊了國際互聯(lián)網(wǎng)域名與地址管理機構(gòu)ICANN的官方網(wǎng)站幾個備用域名，將其域名改變了原來指向，并在更改后指向的網(wǎng)頁上留下了囂張的字眼。這在很多人看來實在是件很諷刺的事情。一直提供網(wǎng)絡(luò)域名安全指引的ICANN這回居然自身難保。

這次黑客攻擊事件到底是怎樣發(fā)生的?ICANN的技術(shù)總監(jiān)John Crain道出了原委。他說：“黑客從來都沒有進入到我們的網(wǎng)站，他們只是修改了icann.com等域名系統(tǒng)指向而已。”這是一起由于ICANN注冊商的注冊系統(tǒng)受到攻擊所導致的域名劫持事件。黑客采用的手法很特別，他們從Register.com這家域名注冊商的端口入侵數(shù)據(jù)庫，然后修改了與ICANN相關(guān)一些域名的導向。后來，這家域名注冊商向ICANN提供了一份有關(guān)這次攻擊的全面絕密的安全報告。

Crain指出，這些受到錯誤引導的域名僅僅是ICANN和IANA主網(wǎng)站的鏡像指向而已，ICANN和IANA兩個機構(gòu)的網(wǎng)站主域名www.icann.org和www.iana.org并未受到影響。一發(fā)現(xiàn)DNS的指向被修改的現(xiàn)象，ICANN在20分鐘之內(nèi)便能將其恢復正常，全球互聯(lián)網(wǎng)恢復正常訪問最長不超過48小時。

“ICANN事件”把Register.com弄得灰頭土臉，但令人驚訝的是，在這次“百度事件”中，黑客依然是從Register.com這家注冊商的端口入侵數(shù)據(jù)庫，然后修改了相關(guān)一些域名的導向?qū)е略L問錯誤?？梢哉f，Register.com根本沒有從上次的事件中吸取教訓，在遞交了所謂的“全面絕密的安全報告”后，Register.com的安全漏洞依然存在。

作為一家對于互聯(lián)網(wǎng)的安全如此重要的公司，Register.com居然兩次栽倒在“同一個地方”，并且引發(fā)嚴重后果，這樣的公司應(yīng)該主動關(guān)門以謝客戶和天下網(wǎng)民。在事件發(fā)生之后，百度已經(jīng)向法院起訴Register.com公司，而Register.com的態(tài)度強硬，聲稱百度的起訴“毫無依據(jù)”。

DNS安全問題一籮筐

DNS是域名系統(tǒng)的縮寫。我們在上網(wǎng)時，輸入的是URL，比如www.baidu.com，但實際上，互聯(lián)網(wǎng)是不能根據(jù)這串字符找到百度的，必須通過DNS服務(wù)器把URL轉(zhuǎn)化為IP地址，然后我們的PC使用這個IP地址才可以訪問百度。

DNS劫持是安全界常見的一個名詞，劫持DNS服務(wù)器的意思是通過某些手段取得某域名的解析記錄控制權(quán)，進而修改此域名的解析結(jié)果，導致對該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP，其結(jié)果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址，從而實現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的。

在2009年12月，著名微博網(wǎng)站Twitter也遭到了幾乎和百度的情況一樣的黑客攻擊。其首頁一度被篡改，黑客也自稱來自伊朗網(wǎng)絡(luò)部隊。

DNS系統(tǒng)是所有互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)，在網(wǎng)站運維中起著至關(guān)重要的作用。正是由于DNS管理系統(tǒng)對于網(wǎng)站異常重要，它也逐漸成為黑客的攻擊目標，常見的攻擊方式有三種

域名劫持。域名劫持在前面已經(jīng)解釋過，值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會被改變，甚至可以導致域名所有權(quán)也旁落他人。如果是國內(nèi)的CN域名被劫持，還可以通過和注冊服務(wù)商或注冊管理機構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國際域名被劫持，恰巧又是通過國際注冊商注冊，那么其復雜的解決流程，再加上非本地化的服務(wù)，會使得奪回域名變得異常復雜。

域名欺騙(緩存投毒)。域名欺騙的方式有多種多樣，但其攻擊現(xiàn)象就是利用控制DNS緩存服務(wù)器，把原本準備訪問某網(wǎng)站的用戶在不知不覺中帶到黑客指向的其他網(wǎng)站上，其實現(xiàn)方式可以通過利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進行攻擊或控制，從而改變該ISP內(nèi)的用戶訪問域名的響應(yīng)結(jié)果?；蛘吆诳屯ㄟ^利用用戶權(quán)威域名服務(wù)器上的漏洞，如當用戶權(quán)威域名服務(wù)器同時可以被當作緩存服務(wù)器使用，黑客可以實現(xiàn)緩存投毒，將錯誤的域名紀錄存入緩存中，從而使所有使用該緩存服務(wù)器的用戶得到錯誤的DNS解析結(jié)果。

DDoS攻擊。針對DNS服務(wù)器的拒絕服務(wù)攻擊有兩種，一種攻擊針對DNS服務(wù)器軟件本身，通常利用BIND軟件程序中的漏洞，導致DNS服務(wù)器崩潰或拒絕服務(wù);另一種攻擊的目標不是DNS服務(wù)器，而是利用DNS服務(wù)器作為中間的“攻擊放大器”，去攻擊其他互聯(lián)網(wǎng)上的主機，導致被攻擊主機拒絕服務(wù)。

安全專家表示，很多用戶都認為DNS維護是很簡單的，只需要買一臺服務(wù)器，安裝一個軟件，就可以提供DNS服務(wù)功能，但實際上DNS的維護需要很多相關(guān)的專業(yè)知識，并不是一件輕松的事情。

對于百度說遭受的DNS劫持，來自殺毒軟件廠商的安全專家表示，發(fā)生此次攻擊的根本原因，在于目前互聯(lián)網(wǎng)域名的DNS管理服務(wù)器安全性未受到應(yīng)有的重視。目前絕大多數(shù)域名都存在類似安全風險。在本次事件中，黑客繞開了百度本身的安全保護，而是去攻擊DNS管理服務(wù)器，并造成了嚴重后果。

百度方面也坦言，本次事件中不法分子沒有攻擊百度服務(wù)器，而是選取美國域名注冊商作為攻擊對象，這是值得互聯(lián)網(wǎng)企業(yè)警惕的攻擊方式。百度同時呼吁DNS廠商加強網(wǎng)絡(luò)安全方面的建設(shè)。

安全專家提醒各大網(wǎng)絡(luò)公司及相關(guān)域名管理機構(gòu)，應(yīng)該采取如下措施加以防范：

1、使用安全可靠的DNS服務(wù)器管理自己的域名，并且注意跟進DNS的相關(guān)漏洞信息，更新最新補丁，加固服務(wù)器。

2、保護自己的重要機密信息安全，避免域名管理權(quán)限被竊取。

【編輯推薦】

1. 加強DNS安全：可在Chroot下運行BIND
2. 系統(tǒng)安全Windows2000動態(tài)DNS安全考慮
3. 如何確保網(wǎng)絡(luò)DNS安全