20100112百度无法访问的简单分析
基于我们的判断,这次事情很有可能是REGISTER.COM的程序有漏洞,导致百度的DNS服务器和whois信息被强行修改。
最初是被改到了yahoo的DNS服务器,但yahoo反应比较快(或者百度公关做得好),给百度做了一个反向代理,所以在后来访问百度的时候,虽然DNS还是yahoo的,但好歹还能正常访问。之后黑客把DNS改到hostgator后,百度就没这么幸运了,直接被指向了127.0.0.1。
这件事情其实并不是外界所说的,百度的域名到期。要印证这个说法,很简单。国内知名的域名注册商万网的whois查询程序有一个缓存,具体缓存多长时间我不知道,但肯定不短。通过这个机制,我们可以查看百度出事前的whois缓存,baidu.com最后修改的时间是2008年12月3号,到期日期是2014年8月11号。而出事后最后修改的时间是2010年的1月11号(非CST)。
同时,REGISTER.COM为了避免事态扩大,还给baidu.com的域名加了几个状态,clientUpdateProhibited、clientDeleteProhibited、clientRenewProhibited,直白说这几个状态就是禁止更新这个域名、禁止删除这个域名、禁止这个域名续费。特别是clientUpdateProhibited,加上后这个域名别说DNS,连whois信息都不允许修改。对于通过漏洞来修改域名信息的,这个方法的确能起到一定的作用,至少黑客一时半刻是没法再改东西了。等REGISTER.COM自身的漏洞修复后,可以把这些状态再去掉。
截图说明如下
被黑客攻击前的whois信息
被黑客攻击后的whois信息
至于百度为什么被伊朗黑客盯上,这事还真不清楚。不过这次事情肯定会让国内的域名注册商们有话可说:看吧,域名放在国外就是不安全。百度也有可能因为这次事情把域名转回国内(QQ.COM已经转回国内了)。然后一批正在往国外转移域名的站长们又要开始犹豫了。转,还是不转?这是个问题。
... and 8 others are discussing.
百度遭遇让我们的网络缺乏安全感 - XJP的碎碎念 1:22 pm on January 12, 2010 Permalink
[...] 域名解析本身被人非法取得解析权将解析记录直接改为非法者需要的IP,已经不是简简单单的DNS欺骗或者劫持。我个人对技术细节不太了解,详情可参加奶罩官方的解释《百度无法访问的简单分析》。 [...]
kangzj 1:33 pm on January 12, 2010 Permalink
个别现象的吧,那些黑客要是来攻击国内域名注册商,估计会是更简单的事情
kangzj 1:35 pm on January 12, 2010 Permalink
blog换成了加拿大的主机?用FlagFox看到枫叶了,哈哈
BaiduXX.com 1:36 pm on January 12, 2010 Permalink
仅仅是个例,普通的域名放在国外还是很安全的
百度无法访问的简单分析 - 网来网去-http://www.webcomgo.com专注互联网分析、SEO、电子商务、管理营销、GTD、生活日志 爱皇冠 乐淘淘 1:40 pm on January 12, 2010 Permalink
[...] 作者/Sam@DNSPod [...]
百度无法访问的简单分析 « 每日IT新闻,最新IT资讯,聚合多站点消息,保证你与世界同步 1:42 pm on January 12, 2010 Permalink
[...] 作者/Sam@DNSPod [...]
福州seo 1:43 pm on January 12, 2010 Permalink
继续移民
春哥 1:44 pm on January 12, 2010 Permalink
百度挺冤枉。伊朗应该攻击Google,不知道MARKMONITOR能防住不?
百度无法访问的简单分析 | 米号 1:46 pm on January 12, 2010 Permalink
[...] 作者/Sam@DNSPod « 从Baidu.com域名被修改看百度公司域名步署 [...]
百度DNS被黑的简单分析 « Jason Zhao's Blog 2:00 pm on January 12, 2010 Permalink
[...] 好在yahoo反应比较快,或者是百度反应比较快,直接联系了yahoo,yahoo给百度做了个反向代理,所以尽管DNS还是指向yahoo,但是请求又再次被导向到了百度的页面,参考DNSPod的分析,后来黑客又把DNS改到hostgator,所以部分使用国外DNS服务的用户请求被直接指向了127.0.0.1。随后regester.com为了避免事态进一步扩大,给百度的域名加了几个状态:clientUpdateProhibited(禁止更新域名)、clientDeleteProhibited(禁止删除域名)、clientRenewProhibited(禁止域名续费),特别是clientUpdateProhibited,加上后这个域名别说DNS,连whois信息都不允许修改,有图有真相: [...]
百度无法访问的简单分析 2:03 pm on January 12, 2010 Permalink
[...] 阅读全文:百度无法访问的简单分析 [...]
大鱼儿@Live » 谁在跟百度过不去~ 2:16 pm on January 12, 2010 Permalink
[...] 按dnspod的分析《百度无法访问的简单分析》 [...]
可酷可乐 2:17 pm on January 12, 2010 Permalink
转个毛啊.QQ.com一直就在万网那放着.上星期我看的时候就是.
insocn 4:02 pm on January 12, 2010 Permalink
Yahoo的DNS也不行,至少我整个上午都没遇到.
Showfom 4:40 pm on January 12, 2010 Permalink
@kangzj 空间是iWeb的
创意无限 8:00 pm on January 12, 2010 Permalink
宁可移民!
... 8:20 pm on January 12, 2010 Permalink
百度是邪恶资本的代表 伊朗戳穿它伪民族的幌子是件好事
links for 2010-01-12 « dupola's Collections 12:04 am on January 13, 2010 Permalink
[...] 20100112百度无法访问的简单分析 « DNSPod Team Blog (tags: BaiDu HackEvent) [...]
» links for 2010-01-12 月光博客的网摘 12:07 am on January 13, 2010 Permalink
[...] 百度无法访问的简单分析 基于我们的判断,这次事情很有可能是REGISTER.COM的程序有漏洞,导致百度的DNS服务器和whois信息被强行修改。 (tags: dns) [...]
月光博客的网摘 » Blog Archive » links for 2010-01-12 5:03 am on January 13, 2010 Permalink
[...] 百度无法访问的简单分析 基于我们的判断,这次事情很有可能是REGISTER.COM的程序有漏洞,导致百度的DNS服务器和whois信息被强行修改。 (tags: dns) Explore posts in the same categories: 692 [...]
links for 2010-01-12 « williamlong’s blog 6:08 am on January 13, 2010 Permalink
[...] 百度无法访问的简单分析 基于我们的判断,这次事情很有可能是REGISTER.COM的程序有漏洞,导致百度的DNS服务器和whois信息被强行修改。 (tags: dns) [...]
Tweets that mention 20100112百度无法访问的简单分析 « DNSPod Team Blog -- Topsy.com 9:54 am on January 13, 2010 Permalink
[...] This post was mentioned on Twitter by 月光博客, Yuancheng, IGP Alert, 流水弦歌, ghSky and others. ghSky said: 20100112百度无法访问的简单分析 http://j.mp/5ybbUo [...]
WordPress Themes 3:23 am on January 17, 2010 Permalink
免费域名co.cc也遇过类似的事件,whois信息被改成国人的资料,不过后来改回原本的资料了