網(wǎng)站域名解析錯誤導致大規(guī)模斷網(wǎng);全球13臺根域名服務器10臺在美國���,中國無掌握權
2014年1月21日下午�����,全國DNS域名解析系統(tǒng)出現(xiàn)了大范圍的訪問故障�����,全國大半網(wǎng)站不同程度地出現(xiàn)了不同地區(qū)���、不同網(wǎng)絡環(huán)境下的訪問故障。此次故障是網(wǎng)絡技術故障��,還是黑客襲擊?網(wǎng)民訪問這些網(wǎng)站會遇到哪些風險��,該如何應對?
探因
目標網(wǎng)站曾有黑客攻擊行為
網(wǎng)絡安全專家表示�,此次網(wǎng)站無法訪問的原因是網(wǎng)站域名解析錯誤。
百度公司一名技術人員分析認為���,網(wǎng)站域名解析錯誤存在幾種可能��。一是黑客攻擊國外根服務器造成國內(nèi)服務器域名解析遭到污染�����。二是由于數(shù)據(jù)傳輸過程中網(wǎng)絡節(jié)點較多����,節(jié)點也可能成為攻擊目標。但如果是攻擊節(jié)點的話���,此次攻擊比較特殊����,“攻擊者既沒有圖名�����,也沒有圖利����,而是指向了一個沒有具體內(nèi)容的IP地址。”三是黑客在攻擊單個網(wǎng)站的時候��,因為節(jié)點較多�,導致節(jié)點污染從而影響了全網(wǎng)。
除此之外��,還存在黑客攻擊了國內(nèi)運營商和網(wǎng)絡防火墻,或者國內(nèi)網(wǎng)絡運營商由于某種失誤操作導致故障����。
360網(wǎng)站衛(wèi)士負責人董方解釋說,此次故障是由于13臺全球DNS中級別最高的根域名服務器當中的一兩臺出現(xiàn)問題�����,“很可能是人為因素���,不排除黑客攻擊”。
據(jù)報道����,此次故障大量網(wǎng)站被解析到的IP是美國北卡羅來納州卡里鎮(zhèn)Dynamic InternetTechnology公司。根據(jù)記錄��,該IP曾有過黑客攻擊行為��。
專有名詞解析
通用頂級根域名:供一些特定組織使用的頂級域���,以其代表組織英文名稱的頭幾個英文字母代表��,通用頂級域名包括以.com(商業(yè)機構)�����、.net(從事互聯(lián)網(wǎng)服務的機構)��、.org(非贏利性組織)結尾的常用域名�,還包括以.name(適用于個人注冊)、.aero(適用于航空運輸業(yè))為結尾的新通用頂級根域名�����。
根域名服務器:簡稱“根服務器”�����,主要用來管理互聯(lián)網(wǎng)的主目錄���,全世界只有13臺根服務器���,名字分別為“A”至“M”,其中10臺設置在美國�,另外的三臺設置于英國、瑞典和日本����。所有根服務器均由美國政府授權的互聯(lián)網(wǎng)域名與號碼分配機構ICANN統(tǒng)一管理,負責全球互聯(lián)網(wǎng)域名根服務器、域名體系和IP地址等的管理��。
DNS:域名解析服務的簡稱���,相當于網(wǎng)絡中的指路牌或地圖導航�����,網(wǎng)民在瀏覽器地址欄輸入域名�����,由DNS服務器將該域名解釋為網(wǎng)絡設備能聽懂的IP地址。如果DNS出現(xiàn)故障��,就會立刻不能上網(wǎng)�。
釋疑
為何手機上網(wǎng)未受影響?
訪問互聯(lián)網(wǎng)時,要經(jīng)過一個由網(wǎng)址到IP的轉(zhuǎn)換過程����,這個過程是通過訪問互聯(lián)網(wǎng)域名解析系統(tǒng)(DNS)實現(xiàn)的,也就是域名服務器來完成的���。
根域名服務器是DNS中最高級別的域名服務器����,全球僅有13臺根服務器。這13臺根服務器中���,主根服務器和9臺輔根服務器位于美國����,其余3臺里�����,2臺在歐洲�,1臺在日本。目前�����,由互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(ICANN)全面管理DNS�。
資深IT媒體人陽淼(微博)對新京報記者表示,在根域名服務器方面�����,ICANN起到協(xié)調(diào)管理的作用�����,各個機構分別管理根域名服務器,統(tǒng)一協(xié)調(diào)并進行商務化運營���。ICANN本身是互聯(lián)網(wǎng)域名的最終的裁決者�����。
雖然國內(nèi)多數(shù)網(wǎng)絡訪問出現(xiàn)故障�����,但大部分網(wǎng)站的手機客戶端在本次故障中并未受到影響���,包括新浪微博�����、支付寶等在內(nèi)的多個主流應用仍可正常使用�。對此,360網(wǎng)絡安全工程師趙武解釋說���,全球有13個根服務器��,假設這次有兩臺被“污染”了���,還有11臺是干凈的����。由于網(wǎng)絡訪問機制不同�,手機上網(wǎng)可能會訪問不同的根服務器,因此在訪問一些網(wǎng)頁時�����,在PC上無法登錄��,在手機上卻能正常登錄����。
預警
專家建議盡快建DNS監(jiān)控系統(tǒng)
DNS服務被攻擊劫持,正常訪問被解析到錯誤的服務器地址�,給網(wǎng)民造成的最直接影響就是大面積斷網(wǎng),風險是被釣魚網(wǎng)站欺詐�����。
黑客可能將正常網(wǎng)站的域名解析到錯誤的地址�,假如黑客在這個目標地址搭建一個釣魚網(wǎng)站�����,網(wǎng)民在釣魚網(wǎng)站輸入的賬號密碼信息就會被盜��。大規(guī)模的DNS劫持��,其結果往往是斷網(wǎng)����,因為大網(wǎng)站的訪問量實在太大了�,釣魚網(wǎng)站的服務器可能會扛不住大流量的訪問,瞬間就會癱瘓掉�����,網(wǎng)民看到的結果就是網(wǎng)頁打不開�����。
2013年�����,大量家用無線路由器的安全漏洞被發(fā)現(xiàn)���,訪問某個特定的攻擊網(wǎng)頁���,路由器的DNS配置會立刻被篡改。此后�,受害網(wǎng)民使用淘寶購物時,就會被強制瀏覽到某個淘寶客推廣站�����,攻擊者可因此獲得大量利益��。也有些區(qū)域運營商使用DNS強行在用戶電腦上網(wǎng)時彈出廣告�����。
360網(wǎng)站衛(wèi)士負責人董方解釋說���,“本次DNS故障���,導致國內(nèi)三分之二網(wǎng)站的DNS服務器解析失敗,全國多達數(shù)千萬網(wǎng)友無法正常訪問網(wǎng)站���。好在本次域名劫持的IP是一個無法訪問的地址���,如果是一個釣魚網(wǎng)站或者非法獲利網(wǎng)站�,可能造成用戶財產(chǎn)損失���、個人信息泄露等危害�。”
“如果我國沒有建立起完善的對DNS監(jiān)控及災備系統(tǒng)���,未來很可能還會受到此類故障的影響”�����,董方告訴新京報記者����,“由于根域名服務器全在美國以及日本和歐洲����,我國對根域名幾乎沒有掌控權,如果根域名出現(xiàn)問題����,將影響我國所有域名解析和網(wǎng)站訪問���,因此�����,需要建立一套完善的對DNS監(jiān)控及災備系統(tǒng)�����。同時��,最好盡快在國內(nèi)建立根域名目錄服務器”����。
