從百度事件愛你看域名安全

2010年1月12日，由于美國域名注冊服務商 Register.com的重大疏忽，致使中國搜索引擎百度的域名解析遭到不法分子惡意篡改，故障長達5個多小時。這是自百度創(chuàng)建以來最大的斷網(wǎng)事故，使百度蒙受了巨大的經(jīng)濟損失，百度CEO李彥宏更是在百度貼吧上連用多個“史無前例”表達感慨。

域名安全的問題常常易被企業(yè)忽視。就如同空氣、水是人類維持生命所必需的要素，當這些要素缺失的時候，將威脅到我們的生命安全。不過這些要素在我們看來是理所當然就應該存在的，所以常常被我們所忽略。下面讓我們來看一下目前域名安全是怎樣的一個局勢：

現(xiàn)狀：域名安全事件頻發(fā)

域名安全的現(xiàn)狀不容樂觀，針對各大網(wǎng)站的有目的性的攻擊一直沒有停止。

去年1月12日早晨7時左右，百度首頁出現(xiàn)大規(guī)模訪問故障，全球多處用戶無法訪問。故障的原因是由于www.baidu.com 的域名在美國域名注冊商處被非法篡改。經(jīng)過與黑客幾個小時的持續(xù)激戰(zhàn)，百度技術人員最終奪回了域名解析控制權。據(jù)粗略推測，持續(xù)數(shù)小時的故障使百度直接經(jīng)濟損失達700萬元。

知名互聯(lián)網(wǎng)公司不止百度域名出問題。今年5月30日下午18:00，騰訊網(wǎng)出現(xiàn)訪問故障，北京、上海、廣州等地均出現(xiàn)網(wǎng)頁無法打開的情況，持續(xù)長達40分鐘。騰訊宣稱斷網(wǎng)故障是因為出現(xiàn)了間斷的網(wǎng)絡波動異常現(xiàn)象。業(yè)內(nèi)的一些專家則認為可能是騰訊的DNS出了問題從而導致了訪問故障。

除了知名的互聯(lián)網(wǎng)公司，發(fā)生域名安全事件比較多的就是域名注冊商了。最近比較大的一起事件發(fā)生在3月19日，華夏名網(wǎng)DNS出現(xiàn)了嚴重故障。華夏名網(wǎng)是一個域名注冊商，在該公司注冊并使用其域名解析服務的28萬域名解析異常。國內(nèi)大部分企業(yè)在注冊了域名之后，域名注冊商會提供免費的域名解析服務，不過這種免費的解析服務質(zhì)量無法保障，域名解析服務會經(jīng)常出現(xiàn)一些問題，多數(shù)情況是受到了DDOS攻擊。

DDOS，即分布式拒絕服務攻擊（distributed denial of service ），就是用超出被攻擊目標處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬源，致使網(wǎng)絡服務癱瘓的一種攻擊手段。因利益和商業(yè)競爭的驅(qū)使，黑客入侵形成了由產(chǎn)品、銷售到售后服務的黑色產(chǎn)業(yè)鏈。與早期的DOS攻擊由單臺攻擊主機發(fā)起，單兵作戰(zhàn)相比較，DDOS是借助數(shù)臺甚至數(shù)千臺被植入攻擊守護進程的攻擊主機同時發(fā)起的集團作戰(zhàn)行為。在這種幾百甚至幾千對一的較量中，被攻擊對象和網(wǎng)絡服務提供商所面對的破壞力空前巨大。

引起網(wǎng)站斷網(wǎng)的域名安全威脅主要分為兩類，一是來自于外部的，如針對域名服務器的DOS和DDOS攻擊、域名劫持、緩存中毒等，而其中比較常見的就是DOS和DDOS攻擊。第二類安全威脅來自于企業(yè)內(nèi)部，主要是企業(yè)在管理方面存在的一些問題，如企業(yè)自身數(shù)據(jù)更新錯誤、域名解析服務系統(tǒng)的軟件漏洞、服務體系架構存在缺陷等等，也會給攻擊者提供可乘之機。

原因：域名服務體系存在薄弱環(huán)節(jié)

根據(jù)中網(wǎng)發(fā)布的《2011中國域名服務及安全現(xiàn)狀報告》中的數(shù)據(jù)顯示：對國內(nèi)重要信息系統(tǒng)所涉及的域名抽樣統(tǒng)計發(fā)現(xiàn)，57%的域名解析服務處于有風險的狀態(tài)，其中11.8%的域名因配置不當而處于較高風險的狀態(tài)。

完整的域名服務體系由遞歸域名服務系統(tǒng)（即本地域名服務器）、根域名服務系統(tǒng)、頂級域名服務系統(tǒng)以及各級域名服務系統(tǒng)等四個層級構成。我們訪問一個網(wǎng)站需要在全球網(wǎng)絡中完成對應這四個層次的查詢。任何一個層級發(fā)生故障，都將導致相應范圍的網(wǎng)絡應用癱瘓，大到國家和某個地區(qū)的網(wǎng)絡全面癱瘓，小到單個網(wǎng)站無法訪問。

在這四個層級當中，根和頂級域名的服務情況良好，二級和二級以下域名服務狀態(tài)比較差。我們知道，域名服務體系最頂層是根，根下面是頂級域。根與頂級域是由ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構）指定的一些專業(yè)機構或公司進行管理，如中國互聯(lián)網(wǎng)絡信息中心（CNNIC）負責管理.cn這個國家頂級域名，VeriSign公司負責管理.com域名，因此根與頂級域名一般不會出問題。不過瑞典也曾經(jīng)因為數(shù)據(jù)出錯，而導致.se這個以瑞典國家為后綴的所有域名在互聯(lián)網(wǎng)上消失了，這種情況比較少見。

最容易出問題的就是二級和二級以下的域名，安全事故一般都是圍繞這一級的域名發(fā)生。擁有域名的企業(yè)常常采用兩種方式進行域名解析：一種方式是企業(yè)自己購置域名服務器進行域名解析，另一種方式是托管。在中國缺乏專業(yè)的第三方域名托管服務商，一般都使用由注冊商提供的、沒有安全保障的、免費的域名解析服務。

此外，遞歸域名解析環(huán)節(jié)也容易發(fā)生故障，這個環(huán)節(jié)一旦出現(xiàn)問題，損失與影響都很大。遞歸域名解析服務主要由ISP網(wǎng)絡接入服務商，如電信、聯(lián)通和移動，以及一些中小ISP提供。“519斷網(wǎng)事件”發(fā)生之后，運營商越來越重視這一環(huán)節(jié)的安全，這部分的服務狀態(tài)會好一些。

“519斷網(wǎng)事件”又被稱為“519暴風門事件”。5月19日21時起，南方六省出現(xiàn)嚴重網(wǎng)絡故障，成為自2006年海底光纜斷裂以來最嚴重的一次大規(guī)模網(wǎng)絡堵塞事件。事件起因源于暴風影音的域名托管在免費的域名注冊商那里，而這樣的域名服務商的服務器里可能為幾十萬域名提供解析服務。當時該服務商還托管著私服，游戲公司之間的攻擊非常頻繁，導致暴風影音的域名解析也因此受到了影響。

有1.2億的用戶電腦上裝有暴風影音的軟件，暴風影音軟件的部分在線服務功能必須基于baofeng.com域名的正常解析，這些電腦同時發(fā)出對暴風影音網(wǎng)站域名的解析請求的時候，卻找不到解析服務器。用戶電腦產(chǎn)生的巨量域名解析請求擁塞了為這些用戶提供服務的各地電信運營商的本地域名服務器，就會導致多個省份的本地域名服務器出現(xiàn)故障甚至無法提供正常服務。

而后，這些本地域名服務器的其他互聯(lián)網(wǎng)用戶也無法上網(wǎng)，其實際效果相當于DDoS攻擊。暴風影音稱其在此次事故中直接經(jīng)濟損失達238萬元人民幣；電信運營商則損失更大，有文章推測六省加起來損失應該過億元。

域名安全的現(xiàn)狀分析以及目前頻發(fā)的域名安全事件的原因分析后，你是不是也覺得該采取一些對策呢？就請閱讀：域名安全該如何應對？

【編輯推薦】

1. 中國域名安全亟待“補鈣”
2. 域名安全聯(lián)盟專家表示應推廣域名安全防護標準
3. 騰訊網(wǎng)域名解析出故障 域名安全服務亟待提升
4. 百度嚴重網(wǎng)絡安全事件 解讀域名安全
5. 脆弱的域名安全 新網(wǎng)黑客事件觀察