设置注册局锁以及增加域名安全监控

【作者】：harite
【团队】：腾讯安全应急响应中心(TSRC)
【微博】：http://t.qq.com/harite
【日期】：2013年1月23日

------------------------------------------------------------

【目录】

一、引子

二、风险及应对

    2.1、域名注册商风险（案例、最佳实践）

    2.2、DNS攻击风险（案例、最佳实践）

三、腾讯的域名安全监控系统简介

四、后记

五、参考

------------------------------------------------------------

 

一、引子

 

 
    对于广大互联网公司来说，域名是入口，同时也是基石。一旦域名出现问题，对于普通用户来说，获取服务的大门封死，这“公司”便不复存在了。

    对于互联网公司来说，如此重要的域名，面临哪些安全风险？又会有哪些好的防护措施与安全实践呢？

 

二、风险及应对

 

2.1、域名注册商风险

 

【图2】

    我们获取域名，一般只能从“域名注册商”那里注册获取，并通过定时续费来持续的保持对域名的使用权。在信息化的今天，很多域名注册商都提供有非常友好的管理系统，来让你非常方便的去注册、管理自己的域名。图2可以看到，这类在线的域名申请管理系统非常多。从历史经验看，这些域名注册商的域名管理系统安全性并没有想象中的高，这里成为一个短板。恶意的攻击者利用域名注册商的系统漏洞或者社会工程学等方式，可以轻松变更你的域名指向，恶意修改相关信息。

 

案例：百度域名指向遭篡改

 

    2010年1月12日7点钟开始，国内最大搜索引擎百度遭到黑客攻击，长时间（6小时+）无法正常访问。这是自百度建立以来，所遭遇的持续时间最长、影响最严重的黑客攻击，网民访问百度时，会被定向到一个位于荷兰的IP地址，百度旗下所有子域名均无法正常访问。李彦宏在贴吧称“史无前例，史无前例呀！”。

    据了解，这次黑客事件给百度带来一定负面影响，但实际上百度网站本身的安全性并没有什么问题，黑客从百度域名注册商美国REGISTER.COM下手，通过一定的社会工程学手段获取了百度域名权限并非法修改DNS信息，实现了对百度网站的攻击效果。

 

案例：Wooyun域名指向遭篡改

 

 

 
    据了解，2012年底，有黑客发现了某域名注册商的管理系统存在漏洞，可通过暴力破解手机验证码以及一些逻辑漏洞，轻松获取指定域名的管理权限。从已公开的资讯看，国内著名的安全团体Wooyun等站点都因此受到攻击，站点超过24小时无法访问。

 

【最佳实践】  域名加注册局锁

    从腾讯经验来看，关键域名一旦申请，其核心指向等配置信息的变更周期非常长（数月），在线的这种实时管理系统基本不需要。腾讯会要求域名加注册局锁、禁止域名修改转让。如果需要修改时，一般以纸质书面证明+线下联系方式要求运营商实施。腾讯的所有根域都采用了这个安全加固设置，比如qq.com，你查看它的whois信息，可以看到域名状态相关的信息。

 

 

    其实早些年Google、Yahoo等国际互联网巨头也都遭受过类似的攻击，他们也都采取了这一安全措施。从结果看，确实极大的降低了因域名注册商自身管理系统的安全问题而导致的域名攻击风险。

 

    本章案例，如果百度、Wooyun等也采用了这种加固方式，完全可以避免此类攻击。百度在出事之后迅速增加了注册局锁，国内还有不少大中型互联网公司已开启了此防护方式。不过截至目前，笔者发现仍有相当多的公司并未注意到这一点，还请各大厂商注意。

 

2.2、DNS攻击风险

 

    在中国，由于全国各地区被各个网络运营商分割，并且考虑到互相之间的利益关系以及网络访问速度，DNS解析的流程其实相当“波澜壮阔”，路径非常之多。这里主要的风险是DNS拒绝服务攻击、DNS劫持两大部分。

 

案例：519六省断网事件

 

 
     "519断网事件"又被称为"519暴风门事件"。2009年5月19日晚19点左右，江苏、安徽、浙江、广西、海南、甘肃六省区出现严重网络故障，很多网民在登陆互联网时发现，新浪、搜狐、网易等各大门户网站均不能访问。5月20日，广东省也出现类似故障。连续两天，国内出现大面积网络故障。

    21日，工信部正式发表通报，初步解释此次事故的原因：由于暴风影音（影音播放软件）网站的域名解析系统受到网络故击，导致电信DNS服务器访问量突增，网络处理性能下降，继而影响到六省的域名解析服务，造成网站不能访问，影响到上亿人。

 

案例：DNS劫持

 

 
    2008年11月6日晚间消息，VeryCD发布公告称其遭到北京网通劫持，部分北京网通(联通)用户访问会直接跳转到百度首页的一段代码，同样遭遇上述情形的还有www.emule.org.cn、射手、btchina、mininova.org等P2P资源分享网站。实际上，此种有意或是无意的劫持攻击非常多，可自行百度、Google查找更多案例。

 

【最佳实践】

 

    1、选择稳定、安全性高的域名解析供应商。
    2、对于DNS服务器维护者来说，定时更新补丁，并且要有能够抵御针对DNS的DDOS攻击以及劫持攻击的防御技术和防御手段。
    3、采用分布式探测的方式，建立全国乃至全球的域名健康度监控系统，随时掌控域名安全性。部分云安全厂商已在提供类似服务，可考虑使用。

 

三、腾讯的域名安全监控系统简介

 

    1、监控系统大约覆盖全国80%的区域
    2、重点域名全国探测可以在分钟级别完成
    3、普通域名全国探测可以在小时级别完成
    4、监控系统发现域名持续性的劫持、故障、错误IP解析等异常，进行告警

    处理流程图

 

 
    系统告警截图

 

四、后记

 
    就在本文完成时，2月1号，某知名IDC服务商官网被黑，黑客留言告示注意安全防范。据悉是利用运营商的域名管理系统漏洞获取。

 

    域名是互联网公司的基石，其安全性关乎互联网公司的生死。设置注册局锁以及增加域名安全监控是两个不错的方式。当域名不靠谱时，也请记得IP地址，一个建议是PC及移动客户端加入备用IP机制，域名失效后有最后的稻草。

 

五、参考

 

域名_百度百科 http://baike.baidu.com/view/43.htm
519事件专题 http://net.chinabyte.com/zt/519DNSPod/
百度域名攻击事件始末 http://www.cnbeta.com/articles/101927.htm
Wooyun被攻击 http://e.weibo.com/1981622273/zfG5poGLd
域名状态详细参考 http://www.net.cn/service/faq/yuming/ymzc/200708/2462.html
设置域名注册局锁 http://www.xinnet.com/domain/domainRegistarLock.html
为何域名安全事件如此频繁发生？ http://www.enet.com.cn/article/2011/0818/A20110818898589.shtml