为何域名安全事件如此频发?

从百度事件爱你看域名安全

2010年1月12日,由于美国域名注册服务商 Register.com的重大疏忽,致使中国搜索引擎百度的域名解析遭到不法分子恶意篡改,故障长达5个多小时。这是自百度创建以来最大的断网事故,使百度蒙受了巨大的经济损失,百度CEO李彦宏更是在百度贴吧上连用多个“史无前例”表达感慨。

域名安全的问题常常易被企业忽视。就如同空气、水是人类维持生命所必需的要素,当这些要素缺失的时候,将威胁到我们的生命安全。不过这些要素在我们看来是理所当然就应该存在的,所以常常被我们所忽略。下面让我们来看一下目前域名安全是怎样的一个局势:

现状:域名安全事件频发

域名安全的现状不容乐观,针对各大网站的有目的性的攻击一直没有停止。

去年1月12日早晨7时左右,百度首页出现大规模访问故障,全球多处用户无法访问。故障的原因是由于www.baidu.com 的域名在美国域名注册商处被非法篡改。经过与黑客几个小时的持续激战,百度技术人员最终夺回了域名解析控制权。据粗略推测,持续数小时的故障使百度直接经济损失达700万元。

知名互联网公司不止百度域名出问题。今年5月30日下午18:00,腾讯网出现访问故障,北京、上海、广州等地均出现网页无法打开的情况,持续长达40分钟。腾讯宣称断网故障是因为出现了间断的网络波动异常现象。业内的一些专家则认为可能是腾讯的DNS出了问题从而导致了访问故障。

除了知名的互联网公司,发生域名安全事件比较多的就是域名注册商了。最近比较大的一起事件发生在3月19日,华夏名网DNS出现了严重故障。华夏名网是一个域名注册商,在该公司注册并使用其域名解析服务的28万域名解析异常。国内大部分企业在注册了域名之后,域名注册商会提供免费的域名解析服务,不过这种免费的解析服务质量无法保障,域名解析服务会经常出现一些问题,多数情况是受到了DDOS攻击。

DDOS,即分布式拒绝服务攻击(distributed denial of service ),就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽源,致使网络服务瘫痪的一种攻击手段。因利益和商业竞争的驱使,黑客入侵形成了由产品、销售到售后服务的黑色产业链。与早期的DOS攻击由单台攻击主机发起,单兵作战相比较,DDOS是借助数台甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为。在这种几百甚至几千对一的较量中,被攻击对象和网络服务提供商所面对的破坏力空前巨大。

引起网站断网的域名安全威胁主要分为两类,一是来自于外部的,如针对域名服务器的DOS和DDOS攻击、域名劫持、缓存中毒等,而其中比较常见的就是DOS和DDOS攻击。第二类安全威胁来自于企业内部,主要是企业在管理方面存在的一些问题,如企业自身数据更新错误、域名解析服务系统的软件漏洞、服务体系架构存在缺陷等等,也会给攻击者提供可乘之机。

原因:域名服务体系存在薄弱环节

根据中网发布的《2011中国域名服务及安全现状报告》中的数据显示:对国内重要信息系统所涉及的域名抽样统计发现,57%的域名解析服务处于有风险的状态,其中11.8%的域名因配置不当而处于较高风险的状态。

完整的域名服务体系由递归域名服务系统(即本地域名服务器)、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。我们访问一个网站需要在全球网络中完成对应这四个层次的查询。任何一个层级发生故障,都将导致相应范围的网络应用瘫痪,大到国家和某个地区的网络全面瘫痪,小到单个网站无法访问。

在这四个层级当中,根和顶级域名的服务情况良好,二级和二级以下域名服务状态比较差。我们知道,域名服务体系最顶层是根,根下面是顶级域。根与顶级域是由ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)指定的一些专业机构或公司进行管理,如中国互联网络信息中心(CNNIC)负责管理.cn这个国家顶级域名,VeriSign公司负责管理.com域名,因此根与顶级域名一般不会出问题。不过瑞典也曾经因为数据出错,而导致.se这个以瑞典国家为后缀的所有域名在互联网上消失了,这种情况比较少见。

最容易出问题的就是二级和二级以下的域名,安全事故一般都是围绕这一级的域名发生。拥有域名的企业常常采用两种方式进行域名解析:一种方式是企业自己购置域名服务器进行域名解析,另一种方式是托管。在中国缺乏专业的第三方域名托管服务商,一般都使用由注册商提供的、没有安全保障的、免费的域名解析服务。

此外,递归域名解析环节也容易发生故障,这个环节一旦出现问题,损失与影响都很大。递归域名解析服务主要由ISP网络接入服务商,如电信、联通和移动,以及一些中小ISP提供。“519断网事件”发生之后,运营商越来越重视这一环节的安全,这部分的服务状态会好一些。

“519断网事件”又被称为“519暴风门事件”。5月19日21时起,南方六省出现严重网络故障,成为自2006年海底光缆断裂以来最严重的一次大规模网络堵塞事件。事件起因源于暴风影音的域名托管在免费的域名注册商那里,而这样的域名服务商的服务器里可能为几十万域名提供解析服务。当时该服务商还托管着私服,游戏公司之间的攻击非常频繁,导致暴风影音的域名解析也因此受到了影响。

有1.2亿的用户电脑上装有暴风影音的软件,暴风影音软件的部分在线服务功能必须基于baofeng.com域名的正常解析,这些电脑同时发出对暴风影音网站域名的解析请求的时候,却找不到解析服务器。用户电脑产生的巨量域名解析请求拥塞了为这些用户提供服务的各地电信运营商的本地域名服务器,就会导致多个省份的本地域名服务器出现故障甚至无法提供正常服务。

而后,这些本地域名服务器的其他互联网用户也无法上网,其实际效果相当于DDoS攻击。暴风影音称其在此次事故中直接经济损失达238万元人民币;电信运营商则损失更大,有文章推测六省加起来损失应该过亿元。