2010年1月12日,星期二,对于很多中国人来说,只是一个很普通的日子。然而,对于全球的百度搜索用户来讲,却是一个很伤心的日子:这一天,他们心中 的信息库,Baidu.com域名访问不了,据网友介绍:“最早发现的是一个澳大利亚的哥们,早晨6点多在群里发消息,说在他那访问不了百度了。” 一直到笔者写此文的北京时间早上11时12分,百度网站的域名Baidu.com仍然访问不了,一直到12时多才恢复正常。有网友用IP地址访问则证实是成功的。显然,这又是一次域名被挟持事件。
[域名信息寻踪迹]
笔者从网上调取了域名Baidu.com的数据库(Whois)记录:
WHOIS results for baidu.com
Registrant:
Domain Discreet
ATTN: baidu.com
Rua Dr. Brito Camara, n 20, 1
Funchal, Madeira 9000-039
PT
Phone: 1-902-7495331
Email: 036f37850a14115101201f9483195f63@domaindiscreet.com
Registrar Name….: Register.com(注册商)
Registrar Whois…: whois.register.com
Registrar Homepage: www.register.com
Domain Name: baidu.com
Created on…………..: 1999-10-11
Expires on…………..: 2014-10-11
Administrative Contact:
Domain Discreet
ATTN: baidu.com
Rua Dr. Brito Camara, n 20, 1
Funchal, Madeira 9000-039
PT
Phone: 1-902-7495331
Email: 036f376a0a14115100199c0316d64ebb@domaindiscreet.com
Technical Contact:
Domain Discreet
ATTN: baidu.com
Rua Dr. Brito Camara, n 20, 1
Funchal, Madeira 9000-039
PT
Phone: 1-902-7495331
Email: 036f37860a14115101c8a6d69ced14a8@domaindiscreet.com
DNS Servers:
yns1.yahoo.com
yns2.yahoo.com
The previous information has been obtained either directly from the registrant or a registrar of the domain name other than Network Solutions. Network Solutions, therefore, does not guarantee its accuracy or completeness.
Show underlying registry data for this record
Current Registrar: REGISTER.COM, INC. (注册商)
IP Address: 220.181.6.175 (ARIN & RIPE IP search)
IP Location: CN(CHINA)-BEIJING-BEIJING
Record Type: Domain Name
Server Type: Other 1
Lock Status: clientTransferProhibited
WebSite Status: Active
DMOZ 1 listings
Y! Directory: see listings
Secure: Yes
Ecommerce: No
Traffic Ranking: 4
Data as of: 22-Apr-2008
发现几个有趣问题:
1、管理邮箱(Email): 036f37850a14115101201f9483195f63@domaindiscreet.com 这是注册商REGISTER.COM, INC.所有的domaindiscreet.com 域名为后缀,即此域名全权交给注册商管理。
2、它并没有到了域名删除期,域名状态(Lock Status)是client Transfer Prohibited不许过户、但是域名解析服务器 (DNS Servers)却用Yahoo公司的二台服务器:
yns1.yahoo.com
yns2.yahoo.com
有网友提供早上访问域名Baidu.com时被跳转到yahoo.com网页,而且留下声称是伊朗黑客的字眼。
3、上述域名Baidu.com的数据库(Whois)记录数据最后一次更新时间是2年前的了(Data as of): 22-Apr-2008 ,然而事实上却是今天才被改变、却没有留下任何数据更新记录,显然属于非正常更新。
笔者进一步访问也是属于百度(上海)公司所有的Baidu.net域名Whois状态记录是正常的,域名 baidu.cn,域名 baidu.com.cn 也是正常的,但是访问却都没有成功,似乎暗示百度公司并没有对这三个重要域名做解析(?)。
[历史都是相似的]
《中国网友报》(www.chinanetzen.com.cn)笫392期 2008年8月4日笫一版有本人拙文:《太岁头上也敢动土:ICANN被黑敲响网络域名安全警钟》讲的就是黑客攻击了国际互联网域名与地址管理机构ICANN的官方网站几个备用域名,将其域名改变了原来指向,并在更改后指向的网页上留下了嚣张的字眼。这在很多人看来实在是件很讽刺的事情。一直提供网络域名安全指引的ICANN这回居然自身难保。这次黑客攻击事件是怎样发生的?背后到底有着怎样的隐情?对国内域名安全领域又有哪些启示?带着这些疑问,笔者独家专访了ICANN的技术总监约翰·克雷恩(John Crain)的故事(http://www.dnsnews.cn/1/2010-01-12/858.htm)。
“黑客从来都没有进入到我们的网站,他们只是修改了icann.com等域名系统指向而已。”7月5日凌晨,ICANN技术总监约翰·克雷恩在接受本报记者采访时表示,这是一起由于ICANN注册商的注册系统受到攻击所致的域名劫持事件。黑客的手法很特别。他们从register.com这家注册商的端口入侵数据库,然后修改了与icann相关一些域名的导向。目前,这家注册商已经向ICANN提供了一份有关这次攻击的全面绝密的安全报告。
同时,约翰·克雷恩也指出,这些受到错误引导的域名仅仅是ICANN和IANA主网站的镜像指向而已,ICANN和IANA两个机构的网站主域名www.icann.org和www.iana.org并未受到影响。一发现DNS(域名系统)重新被指向现象,ICANN在20分钟之内便将其恢复正常,全球互联网恢复正常访问最长不超过48小时。
笔者有趣地发现:2008年7月发生的ICANN域名事件同2010年1月12日这次百度惟一启用域名都是黑客从register.com这家注册商的端口入侵数据库,然后修改了相关一些域名的导向导致访问错误。换句话说:这家注册商 register.com 的后台数据库漏洞一直未补好,二年多来一点也没有长进!
[百度域名事件几点启示]
1、百度域名步署不完善
主要是仅仅启用一个baidu.com域名,对于baidu.cn 主域名的冷藏不用,导致用户遇到这种状态也无法使用。这一点应该学习谷歌公司,连g.cn也启用了。
2、百度公司迷信.com尝恶果
首先是不了解.cn域名在中国根服务器步署远比.com的根服务器步署牢固N倍,钱华林教授在几年前接受本人采访时己经讲过:即使中国出口电揽全部断了,中国互联网只要1小时内也能自成体系运行。
其次是据在CNNIC域名审核组工作了10年的笔者太太、王秀玉工程师介绍,象百度的baidu.cn 主域名状态,CNNIC的技术后台是根本不允许更改的,必须由百度公司提供证明文件,人工修改。这是所有列入保护清单.cn域名网站的一道保障。
最后是百度公司把域名交给register.com这家注册商,想让对方马上做技术支持在时差上存在问题,况且百度公司还不知道register.com这家注册商后台技术漏洞一直成为全球黑客攻击入口。
3、域名安全步署任重道远
域名安全问题是包括ICANN在内全域名注册管理机构日益关注的问题。以ICANN为例,它在2010年的预算中就投入了约占总预算10.3%(金额近300万美元)加强根服务器系统安全改造。
而从国际上电子商务网站的域名安全步署上,国外大多数门户网站还采用域名服务器代理机制,确保在更加有安全保障环境下运行。
总的一句小结是:网络安全是道高一尺、魔高一丈。只有认真做好域名安全步署准备,才能避免造成损失。