上周二百度遭到黑客攻击大面积长时间宕机,百度CEO李彦宏称“前所未有啊,前所未有”。虽然百度遭黑事件已过一周,但业内一直缺乏对其发生过程以及防范详尽的解析。为此,网易科技专访了奥运安全专家、安天实验室首席架构师江海客,详解百度被黑事件的原委。
2010年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈,12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。” 内容来自实验室前沿网站
“此事件为通过whois信息篡改实施的DNS劫持类攻击,“江海客称安天百度被黑事件的报告对攻击者通过攻击百度进行域名中注册的顶级域名服务商register.com,并进一步通过whois信息篡改实施DNS劫持类攻击进行了详细解析并给出了清晰图示。
报告中声称安天CERT初步分析认为www.register.com节点有一定安全隐患,不能排除是攻击者入侵入口,并进一步攻击了whois.register.com的可能性。
copyright sysqy.com
并进一步推断,尽管whois.register.com采用的是SSL的加密交互方式,但SSL的脆弱性在过去1年内已经被很多公开资料所披露。有关攻击技巧的组合有可能严重威胁传统的域名注册机构、以及代理机构的安全,从而危害各大站点的安全。
copyright sysqy.com
报告认为,百度事件再度揭示了全球DNS体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,不足以快速应对全面而复杂的威胁。 sysqy.com
“过去安全业界更多的关注根DNS的安全性以及局部的类似DNS缓存感染类的威胁,而对域名业务体系的安全性关注不够,”报告称,由于DNS体系的特点、DNS管理权利的不均衡、地区时间差、缺少理性沟通机制等诸多因素,都可能导致国内互联网站点在自身信息系统完全正常的情况下遭到灭顶之灾。
内容来自实验室前沿网站
报告建议,普通网站运营者应为自身站点准备两套域名并同时使用,以保证公众知晓,且两个域名应该通过两个不同的服务商注册;大型网站的应急预案应进一步修正有关处理流程,强化对域名服务商的协调流程。此外,域名注册商和代理机构近期可能成为集中攻击目标,需要加以防范。
报告同时建议,国内有关机构应快速建立和强化与境外有关机构的协调能力,协助国内企业实现对有关事件的快速交涉处理。 sysqy.com