对比攻击前后DNS信息 揭开百度被黑真相

日期: 2010-01-17 来源:TechTarget中国

  1月12日早上7点多开始,百度(baidu.com)出现了长时间无法访问故障,网民访问百度首页时发现,网页会被重定向到一个位于荷兰的IP地址。上午10点多,百度对大面积瘫痪事件进行了首次回应,称由于www.baidu.com的域名在美国域名注册商处被非法篡改,导致百度不能被正常访问。这一事件是自百度建立以来,所遭遇的持续时间最长、影响最严重的黑客攻击。下面我们就来对比分析百度被黑前后的DNS信息吧。

  百度被攻击前和攻击后的相关信息对比如下:

对比攻击前后DNS信息 揭开百度被黑真相1

  百度攻击事件前baidu.com最后修改的时间是2008年12月3号,到期日期是2014年8月11号。

  百度攻击事件后修改的时间变为是2010年的1月12号。

  有关涉及到域名解析的whois信息在此过程中曾被进行多次修改,其中可证实的包括:

对比攻击前后DNS信息 揭开百度被黑真相2

  根据有关whois信息查询,百度的域名注册服务商是register.com,是一家顶级域名注册机构。

  百度Whois 信息如下:

  对whois.register.com 与www.register.com 的IP获取如下:

  whois.register.com IP: 216.21.239.106

  www.register.com IP: 216.21.239.101

  两台IP服务器位于同一个网段。

  通过有关信息可以对有关网络传闻作出如下结论

1、百度域名到期日为2014年10月14日,可以明确排除百度因域名未续费导致异常的传闻。

2、百度域名异常期间,可以验证其主站及其他2级域名可以按照如下IP规则进行访问并获得正常搜索结果。

对比攻击前后DNS信息 揭开百度被黑真相3

  可以排除百度自身信息系统因遭遇故障导致问题的可能。

3、可以确认百度域名访问异常的核心原因是百度域名服务商register.com遭到攻击 ,导致其whois系统向全球DNS体系提供了错误的域名解析服务器导致。但攻击register.com的具体方法尚难推定。初步分析认为www.register.com有一定安全隐患,不能排除是攻击者入侵入口,并进一步攻击了whois.register.com的可能性。尽管whois.register.com采用的是SSL的加密交互方式,但SSL的脆弱性在过去1年内已经被很多公开资料所披露。有关攻击技巧的组合有可能严重威胁传统的域名注册机构、以及代理机构的安全。

  总结

  在相关历史案例中whois信息更多与非法获取域名所有权的有关纠纷相关,但以此为入口对主流互联网厂商进行域名劫持攻击并不是十分常见,过去安全业界更多的关注根DNS的安全性以及局部的类似DNS缓存感染类的威胁,而对域名业务体系的安全性关注不够。而从现有效果来看,这无疑是具有全局威胁、难以响应防范的一种攻击,因为攻击点位于域名所有者可以控范围之外,而由于DNS体系的特点、DNS管理权利的不均衡、地区时间差、缺少理性沟通机制等诸多因素,都可能导致国内互联网站点在自身信息系统完全正常的情况下遭到“灭顶之灾”,而鞭长莫及。

  从2000年的YAHOO等大型站点遭遇DoS,随后带动TFN2K等攻击工具和方法泛滥等案例来看,每一次 “非典型攻击”都会成为一个恶性的示范样板,有关事件必然诱使DNS业务体系成为未来一阶段攻击的重灾区。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐