專家聊百度大面積故障實錄:企業應重視域名資產

※來源:北美新浪

新浪科技訊 1月13日上午消息,金山信息安全技術工程師李鐵軍、瑞星攻防實驗室經理劉思宇以及中國萬網產品副總裁宋瑛橋將做客新浪,聊國內最大中文搜索引擎百度baidu.com域名遭非法篡改致大面積故障問題。

以下為專訪實錄:

百度DNS遭到三次篡改

主持人權靜:各位新浪網友大家好,歡迎您做客新浪科技的視頻直播間,我是主持人權靜。

相信在昨天大家都跟我有一個共同的經歷,昨天早上百度的頁面就無法訪問,其實正式開始的時間是早上7:00左右,在北京、上海、天津、廣州、山東等地很多網友都發現無法訪問百度的網頁,隨後百度官方確認是由于www.baidu.com的域名在美國域名注冊商處被非法篡改導致了不能正常訪問,一直到昨天下午18:00百度才發布公告稱,用戶對于百度的訪問在大部分的國家和地區已經恢複了正常。

今天早上也是消息不斷,今天早上我們大家都發現有這樣一條消息,1月13日早間消息,根據國外媒體的報道Google在其官方博客上宣布考慮關閉中國的域名Google.cn,這條消息更聚焦了人們對百度這家公司的關注,今天請來三位這方面的專家跟大家共同討論一下昨天這件事情始末的原因及背後技術性的細節,跟大家做深入的解讀。

依次介紹做客新浪的嘉賓。右手邊第一位是金山信息安全技術工程師李鐵軍。

李鐵軍:各位網友大家好。

主持人:李總旁邊是瑞星攻防實驗室經理劉思宇,歡迎劉思宇。

劉思宇:各位網友大家好。

主持人:旁邊這位是中國萬網產品副總裁宋瑛橋,歡迎。

宋瑛橋:各位網友大家好,我是宋瑛橋。

主持人:今天我們首先跟大家說一說昨天這件事,網友看表面現象就是百度頁面打不開,背後到底是一個什麼樣的原因,百度的官方說法是它的域名在美國的域名注冊商處被非法篡改,這樣一件事情為什麼會發生?為什麼在國外發生的問題會影響到中國?您先給我們詳細解釋一下,您是域名方面的專家。

[NT:PAGE=$]

宋瑛橋:其實這個過程可能需要解釋一下,剛才跟幾位聊大家都覺得是首頁的問題,大家看到百度的首頁變化,其實這個過程有幾個環節,我在這里給大家介紹一下。說域名的時候大家可以看到訪問一個域名,我們平時知道這是這個網站的一個入口,訪問的內容關鍵是你看到的內容,內容和域名之間怎麼對應在一起,這是關鍵。內容放在一個服務器上,以百度為例,把內容放在百度的搜索服務器上,而百度域名放在一個美國注冊商那邊做管理,中間怎麼對應上?中間有一個關鍵的環節,就是DNS(域名解析服務器)。域名注冊服務機構把域名DNS做了一個記錄,讓這個域名使用哪個DNS來解析,這是一個鎖定關系。

DNS做什麼?DNS有點像指揮部,決定域名當訪問的時候指向哪個內容,或者通俗講是指向哪台服務器,現在的問題是原來百度在昨天之前它的DNS服務器是用百度的,DNS.baidu.com。但是昨天早上發生的事情有人在域名注冊服務上管理的環節把百度的DNS第一次篡改成雅虎,雅虎上面肯定指揮部不知道怎麼指揮百度的網站怎麼訪問,第二次又指到hostgator,第三次又指揮到liztor.com,最後才改成百度,這個環節被篡改,大家訪問百度的時候指揮部被換掉,不能訪問到百度的網頁,這個環節是這麼一個過程。

主持人:我們看到表面百度無法訪問,背後的一系列一原因是什麼。另外兩位專家給我們補充一下,黑客怎麼實現這一系列的動作?難道百度就沒有相關的防範措施嗎?

李鐵軍:這種防範措施在本地很難防護,作為百度本身很難防護,因為它攻擊的是百度的上一級別域名服務商,這個域名服務商的環節被攻破,這一層百度無法控制。當然受到影響之後,域名解析之間相互還有一個複制和緩存的機制,這種錯誤的信息會被傳染,造成所有網友訪問百度服務的時候發現找錯了路,我理解DNS把它簡單理解為指路牌的系統,當指路牌的系統出錯了,給你指錯了地方,就無法正常訪問。

主持人:黑客怎樣樣實現?

劉思宇:實現這樣一個攻擊過程有很多方法,以百度作為一個案例,它的域名托管在域名注冊商。實際上那個網站本身存在的問題是可以導致對百度域名信息包括它的名詞服務器記錄,包括記錄都是可以進行篡改的,這家網站本身就具備這樣的權限,如果黑客獲得了這家網站的權限就可以修百度的記錄。還有一種可能,因為每一個互聯網公司都有域名,域名都是可以管理的,誰持人的信息,比如管理這個域名登錄到什麼頁面什麼樣的用戶名密碼可以修改這個域名的記錄。如果掌握這些信息的人,他個人的機密信息被竊取也是可以達到相同的效果,兩個途徑都可能做到。

宋瑛橋:我稍微解釋一下,首先說一下域名本身是一個資產,本身是保管的一個地方,如果我們把它當做一個資產,我們萬網也強調互聯網資產,域名就是一個企業的無形互聯網資產,把一個域名放在一個地方去保管,放在域名注冊服務商管理,保管這套體系首先就是要有一套很強的安全體系。既然保管就像到銀行保管箱一樣需要有要鑰匙,你有鑰匙,銀行的保管箱有怎樣的保護措施。其實還有一個環節這里沒有涉及到,域名的注冊局是一個更大的保管箱,比如這次是保管所有.com域名保管箱,百度所在的注冊商又是一個保管箱,百度拿著一個鑰匙,這個鑰匙會不會被攻擊或者被其它方式竊取,還有保管箱被破壞,這都是黑客能操作的地方。這是域名本身的安全,這是這次的原因。相當于有人把保管箱打開了,把域名應該指向百度的指示部的記錄,導致改成別人的指揮部,這是我們經常稱作為域名劫持。這次事件主要是這樣一個過程。

[NT:PAGE=$]

DNS緩存導致百度恢複時間較長

主持人:幾位專家的介紹之後,我們大概了解了這次百度被黑背後的原因跟操作原理到底是什麼,但是大家還注意到一個現象,頁面無法開始訪問一直到最後恢複正常其實用了11個小時的時間,為什麼會用這麼長時間?一般來說出了問題需要多長時間可以修複?

宋瑛橋:我解釋一下,因為DNS指揮部在域名注冊機構做了一個登記,baidu.com的指揮部就是由DNS.baidu.com來做。這個記錄本身有一個緩存或者有一個生效時間,.com域名是48小時,當你把揮變更了之後,全球全部生效需要48個小時,這是提高效率的問題,整個互聯網不可能說所有變化全都整個互聯網跟著變,而是說有一個緩存機制,這樣就是說在全球訪問百度的時候,48小時之內都不需要看要不要改DNS。事實上這個過程就比較長。

第一長的原因,一個是說會發現一個現象,當別人篡改了百度的DNS第一次記錄的時候不會全球都無法訪問,這是一個原因,反過來恢複的時候也不會全球馬上恢複,都有一個緩衝的時候,也就是全球各地作為您電腦的訪問者他用的DNS有一個緩存,這是一個原因導致恢複時間比較長。

另外一個原因,我看整個記錄的過程,百度的DND被改了三次,最早7點這個事情發生,作為百度來講,跟它的注冊商之間肯定要去溝通,怎麼樣盡快恢複這個記錄。但是如果看到這個過程相當于最先改成時候的沒有發現,第二次改也沒有發現,或者沒有阻止。如果第一時間發現,第一時間跟它的注冊商聯系,進行阻止,就不應該出現第二次、第三次。這個時間可能是和海外注冊商溝通的效率,時間差也好,溝通方式上有問題,還有注冊商對baidu.com的重視程度,百度是在中國第一的訪問量,這個時間上我相信有一定的影響。

劉思宇:實際上如果保持正常溝通,域名這條機構的修改是有保護機制,恢複信息,都是可以鎖定的。但是由于這種溝通的不順暢導致一直沒有做這個工作,一直到最後才發現信息被鎖定了。整個時間段里,鎖定之前這種現象都一直在持續,被各種各樣的修改所影響,這種情況下也是導致時間會拉長。

主持人:我再問一個比較通俗的問題,一旦網站發現網站被篡改域名,正常情況下如果溝通通暢多長時間可以恢複?

宋瑛橋:國際域名.com域名全球完全百分之百恢複是48小時。

劉思宇:但有時會快一些。

[NT:PAGE=$]

宋瑛橋:不同的地區正常是48小時,全球全部恢複。

主持人:基本上大面不造成很大影響快速的處理完這件事情?

宋瑛橋:對,但是這個里邊其實也是有一些快速的過程的,要看注冊局、注冊商的影響力能不能做到。我還知道國內域名.cn,全球生效時間現在是6小時,在國內如果是跟CNNIC溝通一下,你認為baidu.com或者baidu.cn,處理時間可以更快,可以做一些主動的處理,不用等正常的72小時才能夠實現。

主要如果讓三位做一個評價,百度在面對這件突發事件的時候應急的反應,如果從技術角度來看技術角度怎麼樣?

李鐵軍:比較慢。

劉思宇:一家公司的域名是比較重要的資產,至少事先的保護應該做得完善,不至于到時出了問題修複的時候需要很長時間。從這件事情上來看,可以看出本身這個域名保護措施是不足的,一方面所存在的域名注冊完全托管在那里,這就是一不安全的地方。這間公司之前一兩年也出現過同樣的問題,也是導致一個網站的內容被篡改,說明以前就存在漏洞。但是在出現了漏洞之後,比如一個銀行已經被人搶過了,你還敢把自己的錢放在那兒嗎?肯定覺得錢不安全,肯定放在別的地方或者挪在自己更有控制權地方。如果有了前期的保障,萬一再出問題,處理問題就會快捷得多。這件事情上顯而易見這件事情措手不及,這種情況下就會導致處理起來比較耗時間。

國內域名注冊商更重視本土企業

主持人:這里兩位提到非常關鍵的問題,其實百度的這件事不光是跟百度一家公司有關,也暴露了國內互聯網行業在域名管理存在著潛在的風險。很多網友給我們提問,為什麼百度是一家在中國市場份額很大很有影響力的公司,為什麼域名會在國內那兒,而且別人攻擊海外公司我們本土受到影響,難道我們自己就不能做這件事嗎?

宋瑛橋:自己做這件事分兩條來看,第一百度現在用的主域名是baidu.com,.com域名本身發展比較早,在美國那邊開始起動,雖然是國際通用域名,不屬于任何一個國家,但是辦的比較早,在美國那邊起家,域名第一層是注冊局,這個注冊局運營整個.com。第二層是注冊商,包括萬網都是注冊商。第三才是客戶這個層面。相當于現在如果用baidu.com,注冊局在美國,不用說,但是現在注冊商也選擇了一個美國的公司。注冊局負責對整個體系運營,不直接跟客戶打交道,下面的這一層注冊商是為客戶服務,注冊商現在國內有很多,國內域名經歷14年,國內注冊商也有很多了,這一點上,如果說針對baidu.com來講可以選擇一個國內注冊商,在出現問題的時候,響應速度,會把百度當成一個最重要的客戶來看待。

主持人:可以選擇萬網。

宋瑛橋:對。

[NT:PAGE=$]

主持人:是因為他們覺得國外的注冊商水准更高,或是因為國內注冊商整體發展沒有達到一個很高的程度?

宋瑛橋:這里邊肯定有兩個原因,一個是有很多知名的域名是從國際上買過來的,有這種情況,所以買過來的時候,當時就在國外。

主持人:能搬嗎?

宋瑛橋:可以搬。這是一個原因。第二個原因,是不是覺得國外專業一點。其實國際市場對域名商業化的管理,國內已經有14年了,應該說沒有什麼差距。

主持人:宋總是做這個的。

宋瑛橋:我是感覺在萬網這一邊其實有很多重要的網站.com域名都轉到國內。

主持人:因為宋總做這個,我不能光聽你說,還要聽這兩位評價一下,對于這個現象兩位怎麼看?

李鐵軍:百度選擇海外的注冊商肯定是有它自己的道路,但是對于國內來講,它應該考慮一下可以多幾個選擇,DNS本身這非常重要個服務應該有備份和容錯的機制,當發生問題應該比較短的時間可以很快解決問題。

劉思宇:實際上它的以後選擇國外域名跟它成立之初本身就從美國回來成立的公司,跟這個有很大關系,當時就選擇了國外的域名,我也是支持這種觀點,域名如果在國內管理至少有一個好處,溝通上,別人對你重視程度肯定遠遠比國外一個大型注冊機構好得多。萬一出現事故事後的修複這種操作肯定是會更方便一些。

宋瑛橋:補充一點,其實如果是從在國內運營的角度來講,有一個思路可以供百度參考,你在運營的時候能夠多域名的品牌戰略,不能只用一個域名。這次其實它已經很明顯,說已經通過它的方法告訴大家用baidu.com.cn訪問,那種服務器沒有問題,隨時都能訪問到,只不過現在指揮部被換掉,到不了這個服務器,換一個域名就可以了。

主持人:國內有多少網站是有多域名服務?

宋瑛橋:現在第一個方式,現在很多互聯網公司或者大的公司都是多域名的,會宣傳一個為主。

主持人:比如哪幾個?

[NT:PAGE=$]

李鐵軍:新浪就是,有.com,也有.cn。

劉思宇:有一個很明顯的例子,比如Google,Google.cn,Google.com,Google.com.cn,都可以。

宋瑛橋:因為Google跟百度是競爭對手,Google相當于在面向中國市場後來就改成cn為主,一是考慮面向中國市場的口碑,另外,在國內域名響應服務更有保障一些。

主持人:最新有一個網友的留言,未必專業,但是代表很多中國人的心聲。中文的域名什麼時候出來?如果有中文的域名,我們就不用個英文了?

宋瑛橋:中文的域名是兩個狀態,一個是大家現在已經看到現在市場上已經有很多中文域名,已經存在,比如說中文。中國,還有中文.com已經有。中國有自己的中文域名,中文.com,2001、2003年已經開始注冊,但是有第二個階段,真正能使用現在還沒有完全達到跟英文域名一樣的使用。

李鐵軍:要看網民的習慣。

宋瑛橋:技術方面的准備工作大家也有一些關注,包括去年中國互聯網信息中心已經宣布正式提出申請,我們正在拭目以待,今年第一季度有望會批准,這樣大家訪問中文。中國跟以前是一樣的。

主持人:請兩位病毒防範專家更多給我們介紹一下防範方面的內容。大家都在說劫持域名這樣的攻擊方式並不算非常高明,這是一種常見的方式嗎?除了這之外還有哪些攻擊的方式?

李鐵軍:引用一些黑客程序能夠劫持用戶的會話,會有各種各樣的手段。因為用戶需要訪問某一個域名到目標訪問正確的結果中間要經過很多路,中間的過程當中就有可能發生DNS劫持,有好幾個環節。比如說在本地,可能有一個VE軟件直接修改了本地HOSTS文件,把用戶引入錯誤的地址。我們曾經接到不少投訴,某些地區的用戶當他訪問某些網站總是指錯,這種情況挺多見。輸入的是baidu.com,結果打開發現訪問的是Google,還有輸入Google域名發現訪問的是百度。中間這個環節很有可能被黑客控制。

劉思宇:剛才說的是地區DNS劫持,還有一種可能DNS服務器本身,DNS解析本身在服務器運行也是一個軟件,軟件本身可能就會產生漏洞,如果軟件本身產生安全漏洞,被攻擊者發現,同樣是可以達到同樣DNS劫持的效果,也是以前曾經有過案例的。