從百度事件愛(ài)你看域名安全

2010年1月12日，由于美國(guó)域名注冊(cè)服務(wù)商 Register.com的重大疏忽，致使中國(guó)搜索引擎百度的域名解析遭到不法分子惡意篡改，故障長(zhǎng)達(dá)5個(gè)多小時(shí)。這是自百度創(chuàng)建以來(lái)最大的斷網(wǎng)事故，使百度蒙受了巨大的經(jīng)濟(jì)損失，百度CEO李彥宏更是在百度貼吧上連用多個(gè)“史無(wú)前例”表達(dá)感慨。

域名安全的問(wèn)題常常易被企業(yè)忽視。就如同空氣、水是人類維持生命所必需的要素，當(dāng)這些要素缺失的時(shí)候，將威脅到我們的生命安全。不過(guò)這些要素在我們看來(lái)是理所當(dāng)然就應(yīng)該存在的，所以常常被我們所忽略。下面讓我們來(lái)看一下目前域名安全是怎樣的一個(gè)局勢(shì)：

現(xiàn)狀：域名安全事件頻發(fā)

域名安全的現(xiàn)狀不容樂(lè)觀，針對(duì)各大網(wǎng)站的有目的性的攻擊一直沒(méi)有停止。

去年1月12日早晨7時(shí)左右，百度首頁(yè)出現(xiàn)大規(guī)模訪問(wèn)故障，全球多處用戶無(wú)法訪問(wèn)。故障的原因是由于www.baidu.com 的域名在美國(guó)域名注冊(cè)商處被非法篡改。經(jīng)過(guò)與黑客幾個(gè)小時(shí)的持續(xù)激戰(zhàn)，百度技術(shù)人員最終奪回了域名解析控制權(quán)。據(jù)粗略推測(cè)，持續(xù)數(shù)小時(shí)的故障使百度直接經(jīng)濟(jì)損失達(dá)700萬(wàn)元。

知名互聯(lián)網(wǎng)公司不止百度域名出問(wèn)題。今年5月30日下午18:00，騰訊網(wǎng)出現(xiàn)訪問(wèn)故障，北京、上海、廣州等地均出現(xiàn)網(wǎng)頁(yè)無(wú)法打開(kāi)的情況，持續(xù)長(zhǎng)達(dá)40分鐘。騰訊宣稱斷網(wǎng)故障是因?yàn)槌霈F(xiàn)了間斷的網(wǎng)絡(luò)波動(dòng)異?，F(xiàn)象。業(yè)內(nèi)的一些專家則認(rèn)為可能是騰訊的DNS出了問(wèn)題從而導(dǎo)致了訪問(wèn)故障。

除了知名的互聯(lián)網(wǎng)公司，發(fā)生域名安全事件比較多的就是域名注冊(cè)商了。最近比較大的一起事件發(fā)生在3月19日，華夏名網(wǎng)DNS出現(xiàn)了嚴(yán)重故障。華夏名網(wǎng)是一個(gè)域名注冊(cè)商，在該公司注冊(cè)并使用其域名解析服務(wù)的28萬(wàn)域名解析異常。國(guó)內(nèi)大部分企業(yè)在注冊(cè)了域名之后，域名注冊(cè)商會(huì)提供免費(fèi)的域名解析服務(wù)，不過(guò)這種免費(fèi)的解析服務(wù)質(zhì)量無(wú)法保障，域名解析服務(wù)會(huì)經(jīng)常出現(xiàn)一些問(wèn)題，多數(shù)情況是受到了DDOS攻擊。

DDOS，即分布式拒絕服務(wù)攻擊（distributed denial of service ），就是用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬源，致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。因利益和商業(yè)競(jìng)爭(zhēng)的驅(qū)使，黑客入侵形成了由產(chǎn)品、銷售到售后服務(wù)的黑色產(chǎn)業(yè)鏈。與早期的DOS攻擊由單臺(tái)攻擊主機(jī)發(fā)起，單兵作戰(zhàn)相比較，DDOS是借助數(shù)臺(tái)甚至數(shù)千臺(tái)被植入攻擊守護(hù)進(jìn)程的攻擊主機(jī)同時(shí)發(fā)起的集團(tuán)作戰(zhàn)行為。在這種幾百甚至幾千對(duì)一的較量中，被攻擊對(duì)象和網(wǎng)絡(luò)服務(wù)提供商所面對(duì)的破壞力空前巨大。

引起網(wǎng)站斷網(wǎng)的域名安全威脅主要分為兩類，一是來(lái)自于外部的，如針對(duì)域名服務(wù)器的DOS和DDOS攻擊、域名劫持、緩存中毒等，而其中比較常見(jiàn)的就是DOS和DDOS攻擊。第二類安全威脅來(lái)自于企業(yè)內(nèi)部，主要是企業(yè)在管理方面存在的一些問(wèn)題，如企業(yè)自身數(shù)據(jù)更新錯(cuò)誤、域名解析服務(wù)系統(tǒng)的軟件漏洞、服務(wù)體系架構(gòu)存在缺陷等等，也會(huì)給攻擊者提供可乘之機(jī)。

原因：域名服務(wù)體系存在薄弱環(huán)節(jié)

根據(jù)中網(wǎng)發(fā)布的《2011中國(guó)域名服務(wù)及安全現(xiàn)狀報(bào)告》中的數(shù)據(jù)顯示：對(duì)國(guó)內(nèi)重要信息系統(tǒng)所涉及的域名抽樣統(tǒng)計(jì)發(fā)現(xiàn)，57%的域名解析服務(wù)處于有風(fēng)險(xiǎn)的狀態(tài)，其中11.8%的域名因配置不當(dāng)而處于較高風(fēng)險(xiǎn)的狀態(tài)。

完整的域名服務(wù)體系由遞歸域名服務(wù)系統(tǒng)（即本地域名服務(wù)器）、根域名服務(wù)系統(tǒng)、頂級(jí)域名服務(wù)系統(tǒng)以及各級(jí)域名服務(wù)系統(tǒng)等四個(gè)層級(jí)構(gòu)成。我們?cè)L問(wèn)一個(gè)網(wǎng)站需要在全球網(wǎng)絡(luò)中完成對(duì)應(yīng)這四個(gè)層次的查詢。任何一個(gè)層級(jí)發(fā)生故障，都將導(dǎo)致相應(yīng)范圍的網(wǎng)絡(luò)應(yīng)用癱瘓，大到國(guó)家和某個(gè)地區(qū)的網(wǎng)絡(luò)全面癱瘓，小到單個(gè)網(wǎng)站無(wú)法訪問(wèn)。

在這四個(gè)層級(jí)當(dāng)中，根和頂級(jí)域名的服務(wù)情況良好，二級(jí)和二級(jí)以下域名服務(wù)狀態(tài)比較差。我們知道，域名服務(wù)體系最頂層是根，根下面是頂級(jí)域。根與頂級(jí)域是由ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）指定的一些專業(yè)機(jī)構(gòu)或公司進(jìn)行管理，如中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）負(fù)責(zé)管理.cn這個(gè)國(guó)家頂級(jí)域名，VeriSign公司負(fù)責(zé)管理.com域名，因此根與頂級(jí)域名一般不會(huì)出問(wèn)題。不過(guò)瑞典也曾經(jīng)因?yàn)閿?shù)據(jù)出錯(cuò)，而導(dǎo)致.se這個(gè)以瑞典國(guó)家為后綴的所有域名在互聯(lián)網(wǎng)上消失了，這種情況比較少見(jiàn)。

最容易出問(wèn)題的就是二級(jí)和二級(jí)以下的域名，安全事故一般都是圍繞這一級(jí)的域名發(fā)生。擁有域名的企業(yè)常常采用兩種方式進(jìn)行域名解析：一種方式是企業(yè)自己購(gòu)置域名服務(wù)器進(jìn)行域名解析，另一種方式是托管。在中國(guó)缺乏專業(yè)的第三方域名托管服務(wù)商，一般都使用由注冊(cè)商提供的、沒(méi)有安全保障的、免費(fèi)的域名解析服務(wù)。

此外，遞歸域名解析環(huán)節(jié)也容易發(fā)生故障，這個(gè)環(huán)節(jié)一旦出現(xiàn)問(wèn)題，損失與影響都很大。遞歸域名解析服務(wù)主要由ISP網(wǎng)絡(luò)接入服務(wù)商，如電信、聯(lián)通和移動(dòng)，以及一些中小ISP提供。“519斷網(wǎng)事件”發(fā)生之后，運(yùn)營(yíng)商越來(lái)越重視這一環(huán)節(jié)的安全，這部分的服務(wù)狀態(tài)會(huì)好一些。

“519斷網(wǎng)事件”又被稱為“519暴風(fēng)門(mén)事件”。5月19日21時(shí)起，南方六省出現(xiàn)嚴(yán)重網(wǎng)絡(luò)故障，成為自2006年海底光纜斷裂以來(lái)最嚴(yán)重的一次大規(guī)模網(wǎng)絡(luò)堵塞事件。事件起因源于暴風(fēng)影音的域名托管在免費(fèi)的域名注冊(cè)商那里，而這樣的域名服務(wù)商的服務(wù)器里可能為幾十萬(wàn)域名提供解析服務(wù)。當(dāng)時(shí)該服務(wù)商還托管著私服，游戲公司之間的攻擊非常頻繁，導(dǎo)致暴風(fēng)影音的域名解析也因此受到了影響。

有1.2億的用戶電腦上裝有暴風(fēng)影音的軟件，暴風(fēng)影音軟件的部分在線服務(wù)功能必須基于baofeng.com域名的正常解析，這些電腦同時(shí)發(fā)出對(duì)暴風(fēng)影音網(wǎng)站域名的解析請(qǐng)求的時(shí)候，卻找不到解析服務(wù)器。用戶電腦產(chǎn)生的巨量域名解析請(qǐng)求擁塞了為這些用戶提供服務(wù)的各地電信運(yùn)營(yíng)商的本地域名服務(wù)器，就會(huì)導(dǎo)致多個(gè)省份的本地域名服務(wù)器出現(xiàn)故障甚至無(wú)法提供正常服務(wù)。

而后，這些本地域名服務(wù)器的其他互聯(lián)網(wǎng)用戶也無(wú)法上網(wǎng)，其實(shí)際效果相當(dāng)于DDoS攻擊。暴風(fēng)影音稱其在此次事故中直接經(jīng)濟(jì)損失達(dá)238萬(wàn)元人民幣；電信運(yùn)營(yíng)商則損失更大，有文章推測(cè)六省加起來(lái)?yè)p失應(yīng)該過(guò)億元。

域名安全的現(xiàn)狀分析以及目前頻發(fā)的域名安全事件的原因分析后，你是不是也覺(jué)得該采取一些對(duì)策呢？就請(qǐng)閱讀：域名安全該如何應(yīng)對(duì)？

【編輯推薦】

1. 中國(guó)域名安全亟待“補(bǔ)鈣”
2. 域名安全聯(lián)盟專家表示應(yīng)推廣域名安全防護(hù)標(biāo)準(zhǔn)
3. 騰訊網(wǎng)域名解析出故障 域名安全服務(wù)亟待提升
4. 百度嚴(yán)重網(wǎng)絡(luò)安全事件 解讀域名安全
5. 脆弱的域名安全 新網(wǎng)黑客事件觀察