2010年1月12日,星期二,对于很多中国人来说,只是一个很普通的日子。然而,对于全球的百度搜索用户来讲,却是一个很伤心的日子:这一天,他们心中 的信息库,Baidu.com域名访问不了,据网友介绍:“最早发现的是一个澳大利亚的哥们,早晨6点多在群里发消息,说在他那访问不了百度了。”一直到笔者写此文的北京时间早上11时12分,百度网站的域名Baidu.com仍然访问不了,一直到12时多才恢复正常。有网友用IP地址访问则证实是成功的。显然,这又是一次域名被挟持事件。

[域名信息寻踪迹]

       笔者从网上调取了域名Baidu.com的数据库(Whois)记录:

       WHOIS results for baidu.com

  Registrant:
      Domain Discreet
      ATTN: baidu.com
      Rua Dr. Brito Camara, n 20, 1
      Funchal, Madeira 9000-039
      PT
      Phone: 1-902-7495331
      Email: 036f37850a14115101201f9483195f63@domaindiscreet.com


   Registrar Name....: Register.com(注册商)
   Registrar Whois...: whois.register.com
   Registrar Homepage:  www.register.com

   Domain Name: baidu.com
      Created on..............: 1999-10-11
      Expires on..............: 2014-10-11

   Administrative Contact:
      Domain Discreet
      ATTN: baidu.com
      Rua Dr. Brito Camara, n 20, 1
      Funchal, Madeira 9000-039
      PT
      Phone: 1-902-7495331
      Email: 036f376a0a14115100199c0316d64ebb@domaindiscreet.com


   Technical  Contact:
      Domain Discreet
      ATTN: baidu.com
      Rua Dr. Brito Camara, n 20, 1
      Funchal, Madeira 9000-039
      PT
      Phone: 1-902-7495331
      Email: 036f37860a14115101c8a6d69ced14a8@domaindiscreet.com


   DNS Servers:
      yns1.yahoo.com
      yns2.yahoo.com


     The previous information has been obtained either directly from the registrant or a registrar of the domain name other than Network Solutions. Network Solutions, therefore, does not guarantee its accuracy or completeness. 
  
     Show underlying registry data for this record    
 

     Current Registrar: REGISTER.COM, INC.  (注册商)
    IP Address: 220.181.6.175 (ARIN & RIPE IP search) 
    IP Location: CN(CHINA)-BEIJING-BEIJING 
    Record Type: Domain Name 
    Server Type: Other 1 
    Lock Status: clientTransferProhibited 
    WebSite Status: Active 
    DMOZ  1 listings 
    Y! Directory:  see listings 
    Secure: Yes 
    Ecommerce: No 
    Traffic Ranking: 4 
    Data as of: 22-Apr-2008 

      发现几个有趣问题:

       1、管理邮箱(Email): 036f37850a14115101201f9483195f63@domaindiscreet.com 这是注册商REGISTER.COM, INC.所有的domaindiscreet.com 域名为后缀,即此域名全权交给注册商管理。

       2、它并没有到了域名删除期,域名状态(Lock Status)是client Transfer Prohibited不许过户、但是域名解析服务器 (DNS Servers)却用Yahoo公司的二台服务器:
      yns1.yahoo.com
      yns2.yahoo.com
      有网友提供早上访问域名Baidu.com时被跳转到yahoo.com网页,而且留下声称是伊朗黑客的字眼。

      3、上述域名Baidu.com的数据库(Whois)记录数据最后一次更新时间是2年前的了(Data as of): 22-Apr-2008 ,然而事实上却是今天才被改变、却没有留下任何数据更新记录,显然属于非正常更新。

       笔者进一步访问也是属于百度(上海)公司所有的Baidu.net域名Whois状态记录是正常的,域名 baidu.cn,域名 baidu.com.cn 也是正常的,但是访问却都没有成功,似乎暗示百度公司并没有对这三个重要域名做解析(?)。

       [历史都是相似的]

       《中国网友报》(www.chinanetzen.com.cn)笫392期 2008年8月4日笫一版有本人拙文:《太岁头上也敢动土:ICANN被黑敲响网络域名安全警钟》讲的就是黑客攻击了国际互联网域名与地址管理机构ICANN的官方网站几个备用域名,将其域名改变了原来指向,并在更改后指向的网页上留下了嚣张的字眼。这在很多人看来实在是件很讽刺的事情。一直提供网络域名安全指引的ICANN这回居然自身难保。这次黑客攻击事件是怎样发生的?背后到底有着怎样的隐情?对国内域名安全领域又有哪些启示?带着这些疑问,笔者独家专访了ICANN的技术总监约翰·克雷恩(John Crain)的故事(http://www.dnsnews.cn/1/2010-01-12/858.htm)。

       “黑客从来都没有进入到我们的网站,他们只是修改了icann.com等域名系统指向而已。”7月5日凌晨,ICANN技术总监约翰·克雷恩在接受本报记者采访时表示,这是一起由于ICANN注册商的注册系统受到攻击所致的域名劫持事件。黑客的手法很特别。他们从register.com这家注册商的端口入侵数据库,然后修改了与icann相关一些域名的导向。目前,这家注册商已经向ICANN提供了一份有关这次攻击的全面绝密的安全报告。

      同时,约翰·克雷恩也指出,这些受到错误引导的域名仅仅是ICANN和IANA主网站的镜像指向而已,ICANN和IANA两个机构的网站主域名www.icann.orgwww.iana.org并未受到影响。一发现DNS(域名系统)重新被指向现象,ICANN在20分钟之内便将其恢复正常,全球互联网恢复正常访问最长不超过48小时。

       笔者有趣地发现:2008年7月发生的ICANN域名事件同2010年1月12日这次百度惟一启用域名都是黑客从register.com这家注册商的端口入侵数据库,然后修改了相关一些域名的导向导致访问错误。换句话说:这家注册商 register.com 的后台数据库漏洞一直未补好,二年多来一点也没有长进!

       [百度域名事件几点启示]

      1、百度域名步署不完善

       主要是仅仅启用一个baidu.com域名,对于baidu.cn 主域名的冷藏不用,导致用户遇到这种状态也无法使用。这一点应该学习谷歌公司,连g.cn也启用了。

      2、百度公司迷信.com尝恶果

       首先是不了解.cn域名在中国根服务器步署远比.com的根服务器步署牢固N倍,钱华林教授在几年前接受本人采访时己经讲过:即使中国出口电揽全部断了,中国互联网只要1小时内也能自成体系运行。

       其次是据在CNNIC域名审核组工作了10年的笔者太太、王秀玉工程师介绍,象百度的baidu.cn 主域名状态,CNNIC的技术后台是根本不允许更改的,必须由百度公司提供证明文件,人工修改。这是所有列入保护清单.cn域名网站的一道保障。

       最后是百度公司把域名交给register.com这家注册商,想让对方马上做技术支持在时差上存在问题,况且百度公司还不知道register.com这家注册商后台技术漏洞一直成为全球黑客攻击入口。

       3、域名安全步署任重道远

       域名安全问题是包括ICANN在内全域名注册管理机构日益关注的问题。以ICANN为例,它在2010年的预算中就投入了约占总预算10.3%(金额近300万美元)加强根服务器系统安全改造。

       而从国际上电子商务网站的域名安全步署上,国外大多数门户网站还采用域名服务器代理机制,确保在更加有安全保障环境下运行。

       总的一句小结是:网络安全是道高一尺、魔高一丈。只有认真做好域名安全步署准备,才能避免造成损失。

  • 相关文章

    • 无相关文章
最后修改:2010 年 02 月 16 日
卧槽,全是白嫖客,服务器不要钱吗?