2010年1月12日早上7点后,陆续有网友发现百度出现无法访问的情况,有的网友还看到了伊朗国旗,直觉告诉我们,百度被黑客“占领”了。过了数个小时,百度才逐渐恢复正常,被网友形容为“众里寻他千百度,蓦然回首,他在日上三竿处”。百度堪称网络公司中的巨无霸,为何如此轻易地就被黑客攻击呢?想知道答案,请看下文。
同一个百度为何不一样
2010年1月12日,不计其数的网友发现百度出现异样,在网上闹得沸沸扬扬,可奇怪的是有的网友打不开百度页面,有的网友的页面跳转至雅虎报错页面(图1),有的网友看到了伊朗网络军(IRANIAN CYBER ARMY)页面。可以说,很多人都是在网上看到相关的截图才确信百度是被黑客阴了。
看到这里,大家可能会问,太深奥了,还是不明白。通俗地说就是,用户访问百度的首页时,被黑客引导进入了指定的页面,可该页面允许同时访问的人数是有限的,而百度的用户是庞大的,所以只有少数人能看到该页面。
看到这,大家又会问,为什么我们访问百度会进入黑客指定的页面呢?别急,听我们慢慢道来。
为什么有人能访问百度
百度被黑,严格来说是百度(www.baidu.com)在美国注册的域名信息被非法窜改,直接一点就是百度DNS被劫持了。百度顶级域名baidu.com和旗下全部二级域名在较长的时间内,全部被解析到位于荷兰的IP地址188.95.49.6处。
所以网友在输入www.baidu.com访问百度时,就会出现异常,但直接输入IP地址却可以正常访问百度(图2,数据来自安全实验室)。除了使用IP地址外,聪明的网友将www.baidu.com写成www.baidu.com.cn,也可以正常访问百度。
.cn域名是中国专用的,一般这样的域名都是在国内的服务器上解析,而.com域名大多都是在美国解析的。域名解析的服务器大多都在美国。全球共有13台域名根服务器,其中1台为主根服务器,在美国弗吉尼亚州的杜勒斯,其余12台为辅根服务器,有9台在美国,2台在欧洲,1台在亚洲。
什么是DNS
相信大家明白了,百度被黑的真相是DNS被劫持了,但什么是DNS,可能很多人都不知道。DNS 是域名系统 (Domain Name System) 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。
这样说,很难理解。通俗地说,DNS是一套规则,它将用户输入的域名,例如www.baidu.com,转换成IP地址202.108.22.5,这个过程自动完成。
有了DNS后,用户不需要知道每个网页的具体IP地址就可以访问,毕竟域名比IP地址好记多了。
安全小百科:DNS服务器是如何工作的
用户在浏览器中输入www.shudoo.com。计算机会询问本地DNS服务器,询问www.shudoo.com对应的IP地址。
本地的DNS服务器在它的本地表(或缓存)中查找www.shudoo.com,如果找到将它返回客户端,如果没有找到本地DNS服务器会向根服务器发送查询信息。
根服务器收到信息后会联系顶级域名服务器,顶级域名服务器会联系www.shudoo.com所在的名称服务器。
名称服务器将www.shudoo.com对应的IP地址发给本地DNS服务器,本地DNS服务器再将信息反馈给用户:www.shudoo.com=218.201.39.86(图3)。
百度的域名注册服务商是register.com,黑客攻击了该服务商,窜改了域名解析的相关信息,导致百度无法正常提供服务。在图4中,我们可以看到被攻击前“Updated Date”是03-dec-2008,被攻击后变成了12-jan-2010,说明攻击是2010年1月12号当天发动的。
此外,域名还被指向了YNS1.YAHOO.COM、YNS2.YAHOO.COM,这是为什么有人会看到雅虎出错页面的真正原因。要做到这一步,需要攻击提供域名服务的www.register.com。经过分析发现,www.register.com使用了SSL加密,有较强的安全防护意识。
SSL(Security Socket Layer),是一种浏览器和服务器之间的安全保密协议,运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,适用于商业信息的加密。
百度被黑技术的猜测
黑客用了哪种方式攻击DNS,造成百度被黑的呢?到截稿为止,还没有内幕被披露出来,我们不妨大胆地猜测一下黑客可能会用的相关技术。
入侵法
可能性:★★★★★
黑客寻找到了可以入侵该网站的漏洞,再进一步采取各种手段,进入网站的服务器。黑客在该服务器上的操作,要看开放的权限有多大,以及是不是可以成功提权。如果成功获得足够的权限,黑客就可以窜改域名信息、劫持DNS 了。该方法的优点是黑客掌握了主动权,缺点是难度相对较高。找到漏洞才是这种方法成功的关键。
窃取法
可能性:★★★★
管理www.register.com域名服务器的管理员,他的用户名和密码被盗取了,黑客利用盗取的管理员信息,远程登录了服务器,然后窜改了百度的域名注册信息。这个方法的优点是技术难度相对较小,缺点就是需要一定的运气。
负责看管域名服务器的管理员,都是有本事、可靠的人,要窃取他们的用户名和密码可不是一件简单的事情,既需要一定的运气,也需要耐心。黑客有可能是故意去认识管理员,然后慢慢摸清他的喜好,例如他喜好听歌,就时常推荐一些好听的歌曲。
当取得他的信任之后,再传给他夹带远程控制木马的歌曲或者诱使他访问挂有特制网页木马的网站——这个过程一定要在他在公司上网的时候进行,如果免杀过的木马成功运行了,就能暗中偷窥他的操作,盗取他的服务器控制权就是时间问题了,窜改域名信息、劫持DNS就很容易了。
中伊黑客干上了
就在1月12日百度被黑的当天上午,中国的红客联盟做出了反应,其成员开始攻击伊朗的网站,不断有网站被拿下,升起了中国国旗(图5)。参与攻击活动的,既有个人,也有黑客组织,声势浩大,甚至还有一份攻击目录在各大黑客QQ群中流传。
我们的建议>>
去年的暴风影音、今年的百度,都是在域名上吃到了苦头。它们的经验告诉我们,要重视自己网站的域名安全。网站可以与域名服务商建立紧急救助机制,一旦问题出现,以便及时解决,每拖一秒钟都是灾难。此外,网站还要有应急方案,一旦域名出现问题,就启动方案,例如更换域名服务器、启动备用域名等。
同一个百度为何不一样
2010年1月12日,不计其数的网友发现百度出现异样,在网上闹得沸沸扬扬,可奇怪的是有的网友打不开百度页面,有的网友的页面跳转至雅虎报错页面(图1),有的网友看到了伊朗网络军(IRANIAN CYBER ARMY)页面。可以说,很多人都是在网上看到相关的截图才确信百度是被黑客阴了。
图1
为什么同一个百度页面,网友看到的却不一样呢?其实,原因很简单,百度的流量如同黄河之水,凭一个黑客组织之力是无法驯服的,所以只有少数网友可以看到黑客组织制作的留言页面,更多的网友是看不到的或者看到雅虎的报错页面。
看到这里,大家可能会问,太深奥了,还是不明白。通俗地说就是,用户访问百度的首页时,被黑客引导进入了指定的页面,可该页面允许同时访问的人数是有限的,而百度的用户是庞大的,所以只有少数人能看到该页面。
看到这,大家又会问,为什么我们访问百度会进入黑客指定的页面呢?别急,听我们慢慢道来。
为什么有人能访问百度
百度被黑,严格来说是百度(www.baidu.com)在美国注册的域名信息被非法窜改,直接一点就是百度DNS被劫持了。百度顶级域名baidu.com和旗下全部二级域名在较长的时间内,全部被解析到位于荷兰的IP地址188.95.49.6处。
所以网友在输入www.baidu.com访问百度时,就会出现异常,但直接输入IP地址却可以正常访问百度(图2,数据来自安全实验室)。除了使用IP地址外,聪明的网友将www.baidu.com写成www.baidu.com.cn,也可以正常访问百度。
图2
安全小百科:www.baidu.com.cn为何能正常解析.cn域名是中国专用的,一般这样的域名都是在国内的服务器上解析,而.com域名大多都是在美国解析的。域名解析的服务器大多都在美国。全球共有13台域名根服务器,其中1台为主根服务器,在美国弗吉尼亚州的杜勒斯,其余12台为辅根服务器,有9台在美国,2台在欧洲,1台在亚洲。
什么是DNS
相信大家明白了,百度被黑的真相是DNS被劫持了,但什么是DNS,可能很多人都不知道。DNS 是域名系统 (Domain Name System) 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。
这样说,很难理解。通俗地说,DNS是一套规则,它将用户输入的域名,例如www.baidu.com,转换成IP地址202.108.22.5,这个过程自动完成。
有了DNS后,用户不需要知道每个网页的具体IP地址就可以访问,毕竟域名比IP地址好记多了。
安全小百科:DNS服务器是如何工作的
用户在浏览器中输入www.shudoo.com。计算机会询问本地DNS服务器,询问www.shudoo.com对应的IP地址。
本地的DNS服务器在它的本地表(或缓存)中查找www.shudoo.com,如果找到将它返回客户端,如果没有找到本地DNS服务器会向根服务器发送查询信息。
根服务器收到信息后会联系顶级域名服务器,顶级域名服务器会联系www.shudoo.com所在的名称服务器。
名称服务器将www.shudoo.com对应的IP地址发给本地DNS服务器,本地DNS服务器再将信息反馈给用户:www.shudoo.com=218.201.39.86(图3)。
图3
百度DNS劫持分析百度的域名注册服务商是register.com,黑客攻击了该服务商,窜改了域名解析的相关信息,导致百度无法正常提供服务。在图4中,我们可以看到被攻击前“Updated Date”是03-dec-2008,被攻击后变成了12-jan-2010,说明攻击是2010年1月12号当天发动的。
此外,域名还被指向了YNS1.YAHOO.COM、YNS2.YAHOO.COM,这是为什么有人会看到雅虎出错页面的真正原因。要做到这一步,需要攻击提供域名服务的www.register.com。经过分析发现,www.register.com使用了SSL加密,有较强的安全防护意识。
图4
安全小百科:什么是SSL加密SSL(Security Socket Layer),是一种浏览器和服务器之间的安全保密协议,运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,适用于商业信息的加密。
百度被黑技术的猜测
黑客用了哪种方式攻击DNS,造成百度被黑的呢?到截稿为止,还没有内幕被披露出来,我们不妨大胆地猜测一下黑客可能会用的相关技术。
入侵法
可能性:★★★★★
黑客寻找到了可以入侵该网站的漏洞,再进一步采取各种手段,进入网站的服务器。黑客在该服务器上的操作,要看开放的权限有多大,以及是不是可以成功提权。如果成功获得足够的权限,黑客就可以窜改域名信息、劫持DNS 了。该方法的优点是黑客掌握了主动权,缺点是难度相对较高。找到漏洞才是这种方法成功的关键。
窃取法
可能性:★★★★
管理www.register.com域名服务器的管理员,他的用户名和密码被盗取了,黑客利用盗取的管理员信息,远程登录了服务器,然后窜改了百度的域名注册信息。这个方法的优点是技术难度相对较小,缺点就是需要一定的运气。
负责看管域名服务器的管理员,都是有本事、可靠的人,要窃取他们的用户名和密码可不是一件简单的事情,既需要一定的运气,也需要耐心。黑客有可能是故意去认识管理员,然后慢慢摸清他的喜好,例如他喜好听歌,就时常推荐一些好听的歌曲。
当取得他的信任之后,再传给他夹带远程控制木马的歌曲或者诱使他访问挂有特制网页木马的网站——这个过程一定要在他在公司上网的时候进行,如果免杀过的木马成功运行了,就能暗中偷窥他的操作,盗取他的服务器控制权就是时间问题了,窜改域名信息、劫持DNS就很容易了。
中伊黑客干上了
就在1月12日百度被黑的当天上午,中国的红客联盟做出了反应,其成员开始攻击伊朗的网站,不断有网站被拿下,升起了中国国旗(图5)。参与攻击活动的,既有个人,也有黑客组织,声势浩大,甚至还有一份攻击目录在各大黑客QQ群中流传。
图5
从下午开始,伊朗的黑客做出了强烈的反弹,利用DDOS洪水攻击中国的网站,其中不少都是黑客网站。可以说从12日持续到截稿为止,双方黑客的火气都比较大,打得不可开交。有黑客回忆,仿佛回到了昔日中美黑客大战的情景。
我们的建议>>
去年的暴风影音、今年的百度,都是在域名上吃到了苦头。它们的经验告诉我们,要重视自己网站的域名安全。网站可以与域名服务商建立紧急救助机制,一旦问题出现,以便及时解决,每拖一秒钟都是灾难。此外,网站还要有应急方案,一旦域名出现问题,就启动方案,例如更换域名服务器、启动备用域名等。
140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
