2010年1月12日,星期二,對許多中國人來說,只是一個很普通的日子。然而,對於全球的百度搜尋用戶來講,卻是一個很傷心的日子:這一天,他們心中的信息庫,Baidu.com域名訪問不了,據網友介紹:“最早發現的是一個澳大利亞的哥們,早晨6點多在群組裡發訊息,說在他那訪問不了百度了。恢復正常。有網友用IP位址訪問則證實是成功的。顯然,這又是一次網域被挾持事件。
[域名資訊尋找蹤跡]
筆者從網路上調取了網域Baidu.com的資料庫(Whois)記錄:
WHOIS results for baidu.com
Registrant:
Domain Discreet
ATTN: baidu.com
Rua Dr. Brito Camara, n 20, 1
Funchal, Madeira 9000-039
PT
Phone: 1-902-7495331
Email: [email protected]
Registrar Name….: Register.com(註冊商)
Registrar Whois…: whois.register.com
Registrar Homepage: www.register.com
Domain Name: baidu.com
Created on…………..: 1999-10-11
Expires on…………..: 2014-10-11
Administrative Contact:
Domain Discreet
ATTN: baidu.com
Rua Dr. Brito Camara, n 20, 1
Funchal, Madeira 9000-039
PT
Phone: 1-902-7495331
Email: [email protected]
Technical Contact:
Domain Discreet
ATTN: baidu.com
Rua Dr. Brito Camara, n 20, 1
Funchal, Madeira 9000-039
PT
Phone: 1-902-7495331
Email: [email protected]
DNS Servers:
yns1.yahoo.com
yns2.yahoo.com
The previous information has been obtained either directly from the registrant or a registrar of the domain name other than Network Solutions. Network Solutions, therefore, does not guarantee its accuracy or completeness.
Show underlying registry data for this record
Current Registrar: REGISTER.COM, INC. (註冊商)
IP Address: 220.181.6.175 (ARIN & RIPE IP search)
IP 地點: CN(CHINA)-BEIJING-BEIJING
Record Type: Domain Name
Server Type: Other 1
Lock Status: clientTransferProhibited
WebSite Status: Active
DMOZ 1 listings
Y! Directory: see listings
Secure: Yes
Ecommerce: No
Traffic Ranking: 4
Data as of: 22-Apr-2008
發現幾個有趣問題:
1、管理信箱(Email): [email protected]這是註冊商REGISTER.COM, INC.所有的domaindiscreet.com 網域為後綴,即此網域全權交給註冊商。
2.它並沒有到了網域名稱刪除期,網域名稱狀態(Lock Status)是client Transfer Prohibited不准過戶、但是網域解析伺服器(DNS Servers)卻用Yahoo公司的二台伺服器:
yns1.yahoo.com
yns2.yahoo.com
有網友提供早上造訪網域Baidu.com時被跳到yahoo.com網頁,而且留下聲稱是伊朗駭客的字眼。
3.上述網域Baidu.com的資料庫(Whois)記錄資料最後一次更新時間是2年前的了(Data as of): 22-Apr-2008 ,然而事實上卻是今天才被改變、卻沒有留下任何資料更新記錄,顯然屬於非正常更新。
筆者進一步訪問也是屬於百度(上海)公司所有的Baidu.net域名Whois狀態記錄是正常的,域名baidu.cn,域名baidu.com.cn 也是正常的,但是訪問卻都沒有成功,似乎暗示百度公司並沒有對這三個重要網域做解析(?)。
[歷史都是相似的]
《中國網友報》( www.chinanetzen.com.cn )笫392期2008年8月4日笫一版有本人拙文:《太歲頭上也敢動土:ICANN被駭敲響網域安全警鐘》講的就是駭客攻擊了國際互聯網域名與地址管理機構ICANN的官方網站幾個備用域名,將其域名改變了原來指向,並在更改後指向的網頁上留下了囂張的字眼。這在很多人看來實在是件很諷刺的事。一直提供網路網域安全指引的ICANN這回居然自身難保。這次駭客攻擊事件是怎樣發生的?背後到底有著怎樣的隱情?對國內域名安全領域又有哪些啟示?帶著這些疑問,筆者獨家專訪了ICANN的技術總監約翰·克雷恩(John Crain)的故事( http://www.dnsnews.cn/1/2010-01-12/858.htm )。
「駭客從來都沒有進入到我們的網站,他們只是修改了icann.com等網域系統指向而已。」7月5日凌晨,ICANN技術總監約翰·克雷恩在接受本報記者採訪時表示,這是一起由於ICANN註冊商的註冊系統受到攻擊所致的網域劫持事件。駭客的手法很特別。他們從register.com這家註冊商的連接埠入侵資料庫,然後修改了與icann相關一些網域的導向。目前,這家註冊商已經向ICANN提供了一份有關這次攻擊的全面絕密的安全報告。
同時,約翰·克雷恩也指出,這些受到錯誤引導的網域只是ICANN和IANA主網站的鏡像指向而已,ICANN和IANA兩個機構的網站主域名www.icann.org和www.iana.org並未受到影響。一發現DNS(域名系統)重新被指向現象,ICANN在20分鐘之內便將其恢復正常,全球互聯網恢復正常訪問最長不超過48小時。
筆者有趣地發現:2008年7月發生的ICANN域名事件同2010年1月12日這次百度惟一啟用域名都是黑客從register.com這家註冊商的端口入侵數據庫,然後修改了相關一些域名的導向導致存取錯誤。換句話說:這家註冊商register.com 的後台資料庫漏洞一直未補好,二年多來一點也沒長進!
[百度域名事件幾點啟示]
1、百度域名步署不完善
主要是僅僅啟用一個baidu.com域名,對於baidu.cn 主域名的冷藏不用,導致用戶遇到這種狀態也無法使用。這一點應該學習Google公司,連g.cn也啟用了。
2、百度公司迷信.com嘗惡果
首先是不了解.cn域名在中國根伺服器步署遠比.com的根伺服器步署牢固N倍,錢華林教授在幾年前接受本人採訪時己經講過:即使中國出口電攬全部斷了,中國網路只要1小時內也能自成系統運作。
其次是據在CNNIC域名審核組工作了10年的筆者太太、王秀玉工程師介紹,象百度的baidu.cn 主域名狀態,CNNIC的技術後台是根本不允許更改的,必須由百度公司提供證明文件,人工修改。這是所有列入保護清單.cn網域網站的一道保障。
最後是百度公司把網域交給register.com這家註冊商,想讓對方馬上做技術支援在時差上有問題,況且百度公司還不知道register.com這家註冊商後台技術漏洞一直成為全球駭客攻擊入口。
3.域名安全步署任重道遠
域名安全問題是包括ICANN在內全域名註冊管理機構日益關注的問題。以ICANN為例,它在2010年的預算中就投入了約佔總預算10.3%(金額近300萬美元)加強根伺服器系統安全改造。
而從國際上電子商務網站的網域安全步署上,國外大多數入口網站也採用網域名稱伺服器代理機制,確保在更有安全保障環境下運作。
總的一句小結是:網路安全是道高一尺、魔高一丈。只有認真做好域名安全步署準備,才能避免造成損失。