用户:百度在哪里啊?百度在哪里?
黑客:百度就在小朋友的心里!
用户:银行在哪里啊?银行在哪里?
黑客:银行就在我家里,
这里没有防盗门啦!这里没有监控啦。
只有那个会唱歌的小主页啦。
嘀哩哩嘀哩嘀哩哩嘀哩哩
嘀哩哩嘀哩哩嘀哩嘀哩哩嘀哩哩
嘀哩哩
这里没有门卫啦!这里没有保安啦。
快点输用户名啦、快点输密码啦。
合唱:¥¥$$¥$¥$$$$……
你认为这种银行钞票的保管方式可靠吗?
最先是指纹的方式确认身份
然后要通过18位的密码防护确认,双保险吧!而且加上几分米钢铁铸造的防盗门,的确很牢固吧?再加上外界的飞机、大炮伺候着,算是固若金汤了吧?
…… ……
…… ……
…… ……
但是,前提是你要确认你在银行之中。如果前提都不成立,就请看下面。
这个是《赌神大战拉斯维加斯》中的一段,阿King雇佣好莱坞的导演布置的一个局。他布置了一个和大老千Peter自己的金库完全一致的场景。通过各路人马配合的情况下,大老千Peter朱也未能识破,导致输入的用户名+密码被泄露。
当然戏剧中的事情,我们也未必当真,也未必引起注意。但是现实生活中未必就不会出现。
一、真假百度
2010年1月12日7点钟左右的时候,就有好多接入用户打电话反应百度不能访问了。要知道长沙的冬天,早上异常寒冷,要起床还真不容易。无奈被热情的网络用户催促着起床,随手打开浏览器,输入www.baidu.com,嘿!还真不能用了。我着实吓了一跳,心想不会是哪个施工队暴力施工把校园网出口光纤掐断了?随后一转念,施工队也不会这么早起啊。于是赶紧输入搜狐、educity、新浪这些网址,谢天谢地这些还能访问。
于是乎用代理、使用电话拨号也不能正常访问百度。
……
1个小时后,结果确定了,这不是演习,百度确实被黑了,而且还上演了若干真假李逵的场景剧。
再后来,情况地球人都知道了。
二、史无前例,史无前例呀!
8点20左右:百度域名被指向到一个黑页面上,由于百度的巨大访问量,该页面所在的主机随即被拖垮。
8点半左右:百度DNS数据被改回,但是WHOIS的查询结果数据照旧。
9点左右:百度的DNS服务器被更换为NS8.SAN.YAHOO.COM、NS9.SAN.YAHOO.COM、YNS1.YAHOO.COM和YNS2.YAHOO.COM。由于Yahoo的反向代理启动,百度可以正常访问。
10点左右:黑客发现了反向代理的存在,于是DNS服务器又被修改为NS2303.HOSTGATOR.COM和NS2304.HOSTGATOR.COM。这个时候,www.baidu.com彻底不能被访问。
之后,DNS信息被黑客和百度交替修改。大家的干劲都很足,比谁修改得快。而巨大网络访问量,变得躁动起来,所到之处的小网站均被down机。
期间百度域名服务提供商REGISTER.COM将禁止baidu.com这个域名的更新、删除、续费(即域名状态改为clientUpdateProhibited、 clientDeleteProhibited、clientRenewProhibited)。
12点51分,在李彦宏的i贴吧,李彦宏发出了一声长叹:“史无前例,史无前例呀!”。
三、百度,其实你很冤
说实在,这事吧还真不怪百度。百度也算是一流的互联网公司了。吸引的IT精英自然是不计其数;公司也不差钱,据说上市那会儿,前台都是百万富翁,上几十套硬件防御那自然是没什么问题,琢磨着那个什么防火墙、IDS、IPS、WPS该上的硬件统统都给上了;我推测什么蜜罐、陷阱之类的手段也没少使。估计就等着黑客、白客、花客们上套。
要怪就怪百度的域名服务提供商。服务商的系统有漏洞这很正常,但是反应也比较迟钝就说不过去了,竟然同一天被黑客攻击同一目标多次。
再说这个域名服务体系,域名服务器就好比是带路人,用户好比问路人。用户要去某地,完全靠这个带路人。攻击发生后,带路人拒绝指路了或者乱指路。
四、下一个目标,网上银行
这次的攻击给我们提了个醒,我们的网上银行还真那么安全么?这次是黑客个体的、无组织、无纪律的对百度进行攻击;如果是大规模的、有组织、有目的的入侵怎么办?
可以设想一下,将来某一天M国某组织攻击了某顶级域名服务器;然后,C国所有银行的域名指向一一被修改,而且M国针对C国的所有网上银行一一对应构建高仿真的网站;之后,凡是登录C国网上银行的用户的用户名和密码均被泄露了。这种情况下,C国的损失会小么?
图中,喜羊羊的密码不知不觉中就被灰太狼得到了,后果很严重。
五、国内网银该怎么办?
问题已经出现,目前就要开始补救。提几点补救办法:
1.所有网上银行、金融机构全部改。com域名为。cn域名。
所有网上银行、金融机构域名全部改为。cn结尾的域名方式。
由于,cn域名的根服务器完全在国内(感谢钱天白教授),全部使用CN域名,这种方式可以最大程度保证国内用户使用网上银行的安全,极大的避免了域名劫持情况的发生。从本次百度域名劫持事件中来看,只有www.baidu.com.cn,这种以cn结尾的域名,才免受攻击。
而且,根域名服务器在国内,遭受攻击后。各部门可以很方便的、协同从源头调查原因并解决问题。
2.所有网上支付与转账必须使用U盾
在日常生活中,在互联网浏览、游戏中也难免会出现用户名和密码泄露的情况。因此,强制要求使用U盾才能转账、交易的方式可以极大的避免用户名和密码丢失后,资金不被转移。这也是对付域名劫持的一个有效手段。
3.开发安全的DNS服务体系
从现有的DNS服务体系来看,域名劫持方式虽然不是新技术,但从破坏性和伪装性两个方面来看确实非常有效。因此开发一个安全的DNS服务体系势在必行。
远看忽忽悠悠,近看飘飘摇摇
远看忽忽悠悠,近看飘飘摇摇。
有人说是葫芦,有人说是瓢。
二人打赌河边瞧,但看网络攻防何时能了。
参考文献:
1. 月光博客。百度被伊朗黑客攻陷[EB/OL].月光博客。
http://www.williamlong.info/archives/2052.html
2. 李彦宏。李彦宏的i贴吧[EB/OL].百度网。
http://tieba.baidu.com/i/61000391/p/1793449?pn=1
3. 百度沦陷 DNS域名劫持问题再次凸现(多图) [EB/OL].51cto网。
http://netsecurity.51cto.com/art/201001/177401.htm
4. 中国、伊朗爆发民间网络战[EB/OL].金融时报网。
http://www.ftchinese.com/comments/index/001030769?page=1
5. 金山毒霸安全专家解析DNS劫持[EB/OL].csdn网。
http://safe.csdn.net/n/20100112/6080.html
6. 百度被攻击事件始末:折射域名安全工作薄弱[EB/OL]. csdn网。
http://news.csdn.net/a/20100113/216443.html
7. 百度换了奇怪的首页![EB/OL].通信人家园。
http://www.txrjy.com/viewthread.php?tid=374322&extra=&page=1
8. DNSPod详解百度故障:域名注册商程序存漏洞[EB/OL]. csdn网。
http://news.csdn.net/a/20100112/216439.html