域名百度被黑事件分析与对策研究报告

百度被黑事件分析与对策研究报告

目录

一、事件概述

二、事件过程

1、 2010年1月12日上午约6点起

2、域名被更换后访问百度时页面自动跳转到一租用雅虎服务器的空间

3、 由于页面请求数量过于庞大导致雅虎服务器瘫痪或者流量超限服务器瘫痪

4、服务器瘫痪后访问百度的网民页面自动跳转到雅虎的提示页面

5、在超限之前

6、 2010年1月12日上午

7、 2010年1月12日上午近10点

8、 2010年1月12日上午约11点起部分地区陆续恢复正常访问

9、下午起百度正在陆续恢复域名解析所以也出现了各地逐渐恢复访问的情况

10、根据解析速度如不出意外全世界将在48小时内全部恢复访问

二、劫持过程

1、获取劫持域名注册信息首先攻击者会访问域名查询站点

2、控制该域名的E-MAI L帐号此时攻击者会利用社会工程学或暴力破解学进行该E-MAI L密码破解

3、修改注册信息 当攻击者破获了E-MAI L后

4、使用E-MAI L收发确认函此时的攻击者会在信件帐号的真正拥有者之前

三、影响分析

(一)对百度自身影响分析

(二)对其他搜索引擎影响分析

(三)对门户网站影响分析

(四)中小网站影响分析

(五)对网民影响分析

(六)对客户影响分析

(七)对互联网业界影响分析

(1)D根服务器设置 因为D服务是互联网的基础服务

(2)网络安全警钟从现象上看

(3)域名争论百度域名遭篡改本质原因在于域名注册商系统存在漏洞

四、相关案例

(一)2000年8月31日新浪网曾“被黑”

(二)2006年9月12日

(三)2008年12月2日

(四)2009年8月

(五)2009年5月

五、分析师十大观点

(1)暴露了国内互联网企业安全隐患

(2)互联网域名服务器安全性未受到应有重视

(3)搜索引擎市场竞争机制有待进一步完善

(4)互联网产业网络安全亟待进一步加强

(5)即使企业网站安全级别很高

(6)从该事件引发的种种“连锁反应”

(7)因为百度庞大的用户群体、市场占有率等因素以及媒体关注度

(8)面对当前国际政治经济局势的错综复杂

(9)由于目前我国没有D根服务器(全世界13台D根服务器均设在美国)

(10)众所周知

六、名词解释

1、域名劫持是在劫持的网络范围内拦截域名解析的请求

2、 D是“域名系统” (Domain Name System)的缩写

3、根服务器要用来管理互联网的主目录全世界只有13台

4、 本报告编制机构

5、联系分析师 卜梓琴互联网分析师

6、相关报告 《中国互联网外资控制调查报告(2009版)出炉》 (点击全文下载)

正文

一、事件概述

2010年1月12日上午6点左右起全球最大中文搜索引擎百度突然出现大规模无法访问主要表现为跳转到一雅虎出错页面、伊朗网军图片 出现“天外符号”等范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。

这次百度大面积故障长达5个小时也是百度2006年9月来最大一次严重断网事故在国内外互联网界造成了重大影响后百度公告称域名在美注册商处遭非法篡改正在处理。

二、事件过程

透过百度“被黑”表象经搜索引擎分析师卜梓琴全程跟踪分析其大致攻击过程解剖如下

1、 2010年1月12日上午约6点起百度域名D服务器被劫持更换 同时主域名已经被解析到一个荷兰的IP

2、域名被更换后访问百度时页面自动跳转到一租用雅虎服务器的空间该IP的网站实际使用英文yahoo下的租用空间 因此访问百度旗下网站时会出现英文yahoo的出错信息页面

3、 由于页面请求数量过于庞大导致雅虎服务器瘫痪或者流量超限服务器瘫痪

4、服务器瘫痪后访问百度的网民页面自动跳转到雅虎的提示页面

5、在超限之前部分网民伊朗网军的黑客页面攻击者在百度首页自称是“Iranian Cyber Army”的组织承认篡改了百度主页并留下阿拉伯文字

6、 2010年1月12日上午 国内大部分城市用户和海外用户只能通过未被劫持的备

7、 2010年1月12日上午近10点百度相关人士出面表示故障“还在查 目前原因不知” 此前均表示不知情或拒接电话

8、 2010年1月12日上午约11点起部分地区陆续恢复正常访问

9、下午起百度正在陆续恢复域名解析所以也出现了各地逐渐恢复访问的情况

10、根据解析速度如不出意外全世界将在48小时内全部恢复访问。

二、劫持过程

域名劫持只能在特定的网络范围内进行所以范围外的域名服务器(D)能还回正常IP地址。

对此搜索引擎分析师卜梓琴认为攻击者正是利用此点在范围内封锁正常D的IP地址使用域名劫持技术通过冒充原域名以E-MAIL方式修改公司的注册域名记录或将域名转让到其他组织通过修改

注册信息后在所指定的D服务器加进该域名记录让原域名指向另一IP的服务器让多数网民无法正确访问从而使得某些用户直接访问到了恶意用户所指定的域名地址。

其一般步骤如下

1、获取劫持域名注册信息首先攻击者会访问域名查询站点通过MAKE CHANGES功能输入要查询的域名以取得该域名注册信息。

2、控制该域名的E-MAIL帐号此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解有能力的攻击者将直接对该E-MAIL进行入侵行为 以获取所需信息。

3、修改注册信息当攻击者破获了E-MAIL后会利用相关的MAKE CHANGES功能修改该域名的注册信息包括拥有者信息、 D服务器信息等。

4、使用E-MAIL收发确认函此时的攻击者会在信件帐号的真正拥有者之前截获网络公司回溃的网络确认注册信息更改件并进行回件确认随后网络公司将再次回溃成功修改信件此时攻击者成功劫持域名。

三、影响分析

(一)对百度自身影响分析

“全球最大中文搜索网站”技术形象有损该事件或将引发进一步的攻击。百度作为中国代表性的互联网企业却遭受多次被黑事件且这次故障恢复时间长达5小时折射出百度对安全技术投入和应急准备明显不足。而包括国外网络军队在内的各种黑客看到百度是如此的脆弱可能会发起对国内网络更大规模的攻击。

(二)对其他搜索引擎影响分析

百度无法访问后谷歌、爱问、有道、搜搜、中国雅虎等其他搜索引擎访问量都出现激增情况而且“百度”成谷歌今日上升最快关键词。 “此消彼长” 这也从另一面说明搜索市场整体竞争剧烈。另据权威“搜索榜” ()数据监测显示 2010年1月11日各主流搜索引擎份额分别为百度占55.65%谷歌占17.93%搜狗、搜搜、微软bing和有道分别占7. 72% 7.61%、 7%和4.08%。对此我们预计1月12日“搜索榜”份额甚至排名将出现重大变化谷歌等其他搜索引擎的访问量与份额比例有望明显上升。

(三)对门户网站影响分析

调查显示 目前搜索引擎给门户网站带来的流量占到20%左右部分甚至占到40%而其中百度带来的流量要占70% google大于20%

百度无法访问后 四大门户、各大行业网站等均遭受不同程度的损失流量受到一定影响 由于百度访问障碍时间较长从明天的alexa排名来看 国内门户网站将普遍会略有所下降。