百度DNS劫持事件_对比攻击前后DNS信息 揭开百度被黑真相

1月12日早上7点多起，百度遭遇持续性的访问难题，用户尝试打开百度主页后，页面被强制跳转至荷兰的一个IP地址。上午10点多，百度就此次大范围服务中断问题首次发声，解释称其在美国域名注册商那里注册的域名遭非法篡改，因此百度无法正常提供服务。这一事件，是百度创办至今，所经历的最久、后果最重的网络入侵。接下来，让我们看看百度遭黑前后，其DNS信息发生了哪些变化。

百度被攻击前和攻击后的相关信息对比如下：

百度遭受攻击事件最终更改的日期是2008年12月3日，截止日期为2014年8月11日。

百度攻击事件后修改的时间变为是2010年的1月12号。

涉及域名解析的whois信息在此期间多次发生变更，可以确认的改动包括：

经whois信息检索得知，百度网域名的登记代理单位，为一家权威的顶级域名注册服务商。

百度Whois 信息如下：

对 与 的IP获取如下：

IP: 216.21.239.106

IP: 216.21.239.101

两台IP服务器位于同一个网段。

通过有关信息可以对有关网络传闻作出如下结论

百度网名的终止日期是2014年10月14日，能够肯定地排除该平台因网名未续期引发问题的传言。

在百度网址出现异常状况时，可以确认其总部站点以及所有二级网址，依照下列IP准则实施访问，并且能够取得常规的搜索反馈。

可以排除百度自身信息系统因遭遇故障导致问题的可能。

百度域名的使用出现异常情况，主要在于其域名服务提供商遭受了攻击行为，因此其whois系统向全球DNS系统提供了不准确的域名解析服务器信息，这一点已经可以确定。不过，攻击的具体手段目前还难以判断清楚。根据初步的研究，认为存在一定的安全风险，不能排除攻击者通过这个途径进入系统，并进一步实施攻击的可能性。虽然运用了安全套接字的通讯加密技术，不过该技术的薄弱环节在最近十二个月里已通过众多公开文献揭示出来。若干攻击手段的搭配运用，能够对老式的域名登记单位及中介组织构成重大安全风险。

总结

相关历史事件表明，whois数据主要牵涉到非法夺取域名归属权的争议，不过借助这些信息对大型网络服务提供商实施域名篡改行为的情况并不普遍，以往安全领域更侧重于根DNS系统的稳固性，以及区域性诸如DNS缓存被污染等风险，对于域名服务架构的整体安全重视程度不足。从当前实际观察，这确实是一种具有广泛危害、难以有效应对的攻击方式，因为攻击目标涉及域名所有者无法掌控的部分，加之DNS系统固有属性、管理权分配不均、地域时差差异、缺乏合理协商渠道等多重原因，都可能造成国内网络平台即便自身系统无任何问题，也会遭受毁灭性打击，形成无力回天的情况。

2000年YAHOO等知名站点遭受DoS攻击后，TFN2K等攻击工具和方法随之蔓延，这些事件表明，每次“非典型攻击”都会形成有害的示范效应，相关情况必将导致DNS业务体系在下一时期面临严峻的攻击威胁。

【编辑推荐】

百度遭遇黑客攻击引发技术关注,IT安全领域就业前景广阔,谷歌因威胁撤离中国市场受到瞩目,安全专家针对DNS劫持事件进行解读