“百度被黑”事件分析與對(duì)策研究報(bào)告

一、事件概述：2010年1月12日上午6點(diǎn)左右起，全球最大中文搜索引擎百度突然出現(xiàn)大規(guī)模無(wú)法訪問(wèn)，主要表現(xiàn)為跳轉(zhuǎn)到一雅虎出錯(cuò)頁(yè)面、伊朗網(wǎng)軍圖片，出現(xiàn)“天外符號(hào)”等，范圍涉及四川、福建、江蘇、吉林、浙江、北京、廣東等國(guó)內(nèi)絕大部分省市。這次百度大面積故障長(zhǎng)達(dá)5個(gè)小時(shí)，也是百度2006年9月來(lái)最大一次嚴(yán)重?cái)嗑W(wǎng)事故，在國(guó)內(nèi)外互聯(lián)網(wǎng)界造成了重大影響，后百度公告稱(chēng)域名在美注冊(cè)商處遭非法篡改，正在處理。二、事件過(guò)程：1、2010年1月12日上午約6點(diǎn)起，百度域名DNS服務(wù)器被劫持更換，同時(shí)主域名已經(jīng)被解析到一個(gè)荷蘭的IP；2、域名被更換后，訪問(wèn)百度時(shí)頁(yè)面自動(dòng)跳轉(zhuǎn)到一租用雅虎服務(wù)器的空間；該IP的網(wǎng)站實(shí)際使用英文yahoo下的租用空間，因此訪問(wèn)百度旗下網(wǎng)站時(shí)，會(huì)出現(xiàn)英文yahoo的出錯(cuò)信息頁(yè)面；3、由于頁(yè)面請(qǐng)求數(shù)量過(guò)于龐大導(dǎo)致雅虎服務(wù)器癱瘓或者流量超限，服務(wù)器癱瘓；4、服務(wù)器癱瘓后，訪問(wèn)百度的網(wǎng)民頁(yè)面自動(dòng)跳轉(zhuǎn)到雅虎的提示頁(yè)面；5、在超限之前，部分網(wǎng)民伊朗網(wǎng)軍的黑客頁(yè)面，攻擊者在百度首頁(yè)自稱(chēng)是“IranianCyberArmy”的組織承認(rèn)篡改了百度主頁(yè)，并留下阿拉伯文字；7、2010年1月12日上午近10點(diǎn)，百度相關(guān)人士出面表示，故障“還在查，目前原因不知”，此前均表示不知情或拒接電話；8、2010年1月12日上午約11點(diǎn)起，部分地區(qū)陸續(xù)恢復(fù)正常訪問(wèn)；9、下午起，百度正在陸續(xù)恢復(fù)域名解析，所以也出現(xiàn)了各地逐漸恢復(fù)訪問(wèn)的情況；10、根據(jù)解析速度，如不出意外，全世界將在48小時(shí)內(nèi)全部恢復(fù)訪問(wèn)。二、劫持過(guò)程：域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以范圍外的域名服務(wù)器(DNS)能還回正常IP地址。其一般步驟如下：1、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問(wèn)域名查詢(xún)站點(diǎn)，通過(guò)MAKECHANGES功能，輸入要查詢(xún)的域名以取得該域名注冊(cè)信息。2、控制該域名的E-MAIL帳號(hào)：此時(shí)攻擊者會(huì)利用社會(huì)工程學(xué)或暴力破解學(xué)進(jìn)行該E-MAIL密碼破解，有能力的攻擊者將直接對(duì)該E-MAIL進(jìn)行入侵行為，以獲取所需信息。3、修改注冊(cè)信息：當(dāng)攻擊者破獲了E-MAIL后，會(huì)利用相關(guān)的MAKECHANGES功能修改該域名的注冊(cè)信息，包括擁有者信息、DNS服務(wù)器信息等。4、使用E-MAIL收發(fā)確認(rèn)函：此時(shí)的攻擊者會(huì)在信件帳號(hào)的真正擁有者之前，截獲網(wǎng)絡(luò)公司回潰的網(wǎng)絡(luò)確認(rèn)注冊(cè)信息更改件，并進(jìn)行回件確認(rèn)，隨后網(wǎng)絡(luò)公司將再次回潰成功修改信件，此時(shí)攻擊者成功劫持域名。三、影響分析：(一)對(duì)百度自身影響分析“全球最大中文搜索網(wǎng)站”技術(shù)形象有損，該事件或?qū)⒁l(fā)進(jìn)一步的攻擊。百度作為中國(guó)代表性的互聯(lián)網(wǎng)企業(yè)，卻遭受多次被黑事件，且這次故障恢復(fù)時(shí)間長(zhǎng)達(dá)5小時(shí)，折射出百度對(duì)安全技術(shù)投入和應(yīng)急準(zhǔn)備明顯不足。而包括國(guó)外網(wǎng)絡(luò)軍隊(duì)在內(nèi)的各種黑客看到百度是如此的脆弱，可能會(huì)發(fā)起對(duì)國(guó)內(nèi)網(wǎng)絡(luò)更大規(guī)模的攻擊。(二)對(duì)其他搜索引擎影響分析百度無(wú)法訪問(wèn)后，谷歌、愛(ài)問(wèn)、有道、搜搜、中國(guó)雅虎等其他搜索引擎訪問(wèn)量都出現(xiàn)激增情況，而且“百度”成谷歌今日上升最快關(guān)鍵詞?！按讼碎L(zhǎng)”，這也從另一面說(shuō)明搜索市場(chǎng)整體競(jìng)爭(zhēng)劇烈。另?yè)?jù)權(quán)威“搜索榜”()數(shù)據(jù)監(jiān)測(cè)顯示，2010年1月11日各主流搜索引擎份額分別為，百度占55.65%，谷歌占17.93%，搜狗、搜搜、微軟bing和有道分別占7.72%，7.61%、7%和4.08%。對(duì)此，我們預(yù)計(jì)1月12日“搜索榜”份額甚至排名將出現(xiàn)重大變化，谷歌等其他搜索引擎的訪問(wèn)量與份額比例有望明顯上升。(三)對(duì)門(mén)戶網(wǎng)站影響分析調(diào)查顯示：目前搜索引擎給門(mén)戶網(wǎng)站帶來(lái)的流量占到20%左右，部分甚至占到40%，而其中百度帶來(lái)的流量要占70%，google大于20%。百度無(wú)法訪問(wèn)后，四大門(mén)戶、各大行業(yè)網(wǎng)站等均遭受不同程度的損失，流量受到一定影響，由于百度訪問(wèn)障礙時(shí)間較長(zhǎng)，從明天的alexa排名來(lái)看，國(guó)內(nèi)門(mén)戶網(wǎng)站將普遍會(huì)略有所下降。在此次百度被黑事件里，四大門(mén)戶中流量較大的騰訊、新浪受到影響較少，預(yù)計(jì)流量將下降大約在5%左右，而搜狐和網(wǎng)易受到的影響可能會(huì)稍大些，預(yù)計(jì)流量將會(huì)下降10%左右。(四)中小網(wǎng)站影響分析中小網(wǎng)站由于搜索引擎依賴(lài)度較高，遭受的直接影響最大，如音樂(lè)類(lèi)搜索方面，主要集中于百度(百度MP3)、搜狗、中搜等多家綜合搜索引擎帶來(lái)的下載量，而百度就占到80%左右。此外，這次百度被黑事件將明顯對(duì)數(shù)百萬(wàn)中小網(wǎng)站造成心理上的負(fù)面影響。(五)對(duì)網(wǎng)民影響分析百度等知名互聯(lián)網(wǎng)企業(yè)遭受域名劫持，使得普通用戶上網(wǎng)安全更難保障，黑客極容易將木馬等惡意程序植入。但同時(shí)，該事件對(duì)網(wǎng)民上網(wǎng)安意識(shí)與防范意識(shí)起到了警示作用。(六)對(duì)客戶影響分析百度盡管用“鳳巢”替代競(jìng)價(jià)排名，但其商業(yè)模式還是點(diǎn)擊產(chǎn)生付費(fèi)，在這次長(zhǎng)達(dá)5小時(shí)的被黑事件中，將會(huì)對(duì)數(shù)十萬(wàn)的百度企業(yè)客戶造成心理上的負(fù)面影響，若在線模式被黑客入侵，將會(huì)遭受慘重的損失，甚至在被黑客連續(xù)的攻擊下無(wú)法持續(xù)經(jīng)營(yíng)，破產(chǎn)關(guān)門(mén)。(七)對(duì)互聯(lián)網(wǎng)業(yè)界影響分析(1)DNS根服務(wù)器設(shè)置：因?yàn)镈NS服務(wù)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，不是個(gè)人或者小公司負(fù)責(zé)的業(yè)務(wù)，所以DNS被劫持再次說(shuō)明國(guó)內(nèi)的基礎(chǔ)服務(wù)安全防范意識(shí)不高。除了日常做好服務(wù)器基礎(chǔ)安全漏洞的跟進(jìn)和修復(fù)外，更需提高互聯(lián)網(wǎng)安全意識(shí)。(2)網(wǎng)絡(luò)安全警鐘：從現(xiàn)象上看，這次百度被黑這個(gè)域名在根域解析上被黑客控制(這個(gè)域名是美國(guó)管理的)，不只是國(guó)內(nèi)的互聯(lián)網(wǎng)廠商需要增強(qiáng)防范意識(shí)，而是整個(gè)國(guó)際互聯(lián)網(wǎng)社會(huì)同樣面臨著網(wǎng)絡(luò)安全威脅。(3)域名爭(zhēng)論：百度域名遭篡改本質(zhì)原因在于域名注冊(cè)商系統(tǒng)存在漏洞，域名注冊(cè)商是美國(guó)的REGISTER.COM。律師于國(guó)富認(rèn)為，百度應(yīng)該起訴位于美國(guó)的國(guó)際域名管理機(jī)構(gòu)。此前，另一家互聯(lián)網(wǎng)巨頭QQ已經(jīng)將域名從國(guó)外轉(zhuǎn)移到國(guó)內(nèi)。這次被攻擊事故發(fā)生后，百度方面是否會(huì)立即采取轉(zhuǎn)移行動(dòng)也成為了業(yè)界關(guān)注的焦點(diǎn)。四、相關(guān)案例：(一)2000年8月31日新浪網(wǎng)曾“被黑”；(二)2006年9月12日，百度遭黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國(guó)各地出現(xiàn)了近30分鐘的故障，在對(duì)百度服務(wù)器執(zhí)行“Ping”命令時(shí)發(fā)現(xiàn)域名丟包率達(dá)到100%；(三)2008年12月2日，中國(guó)中央電視臺(tái)的官方網(wǎng)站CCTV的音樂(lè)頻道被一名自稱(chēng)“小波”的黑客侵入并修改了頁(yè)面，并留下挑釁的字語(yǔ)。(四)2009年8月，Twitter和社交網(wǎng)站Facebook分別遭遇黑客攻擊，致使Twitter服務(wù)癱瘓，而Facebook也嚴(yán)重受創(chuàng)，服務(wù)速度大為減慢；(五)2009年5月，美國(guó)網(wǎng)絡(luò)搜索引擎巨頭Google遭遇黑客攻擊，其阿爾及利亞、波多黎各和摩洛哥、烏干達(dá)等地的域名主頁(yè)均發(fā)生過(guò)被黑客劫持的情況；五、分析師十大觀點(diǎn)：(1)暴露了國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)安全隱患?！鞍俣缺缓凇笔录旧肀┞读宋覈?guó)互聯(lián)網(wǎng)企業(yè)諸多問(wèn)題，不僅是事先安全防范意識(shí)和監(jiān)控措施，還有在出現(xiàn)突發(fā)性故障后的應(yīng)急反應(yīng)機(jī)制方面，所以互聯(lián)網(wǎng)企業(yè)需自身提高技術(shù)創(chuàng)新與突破，掌握核心技術(shù)；提高技術(shù)監(jiān)管與防范，設(shè)置預(yù)警方案，比如技術(shù)處理方案、設(shè)置備用域名、公關(guān)關(guān)系處理方案等；(2)互聯(lián)網(wǎng)域名服務(wù)器安全性未受到應(yīng)有重視。此次攻擊黑客利用了DNS記錄篡改的方式。根本原因在于目前互聯(lián)網(wǎng)域名的DNS管理服務(wù)器安全性未受到應(yīng)有的重視。并提醒稱(chēng)，目前絕大多數(shù)域名都存在類(lèi)似安全風(fēng)險(xiǎn)，使得DNS存在很多安全隱患。(3)搜索引擎市場(chǎng)競(jìng)爭(zhēng)機(jī)制有待進(jìn)一步完善。搜索引擎是互聯(lián)網(wǎng)的一個(gè)核心節(jié)點(diǎn)，是網(wǎng)民上網(wǎng)不可缺少的工具。在短時(shí)間內(nèi)，而百度作為中國(guó)搜索引擎的“旗艦”，被破壞后的替代品竟是谷歌，國(guó)內(nèi)其他搜索引擎有道等沒(méi)有扮演谷歌的角色。(4)互聯(lián)網(wǎng)產(chǎn)業(yè)網(wǎng)絡(luò)安全亟待進(jìn)一步加強(qiáng)?；ヂ?lián)網(wǎng)戰(zhàn)場(chǎng)是未來(lái)各國(guó)必爭(zhēng)之地，未來(lái)的“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)”也很有可能打響。互聯(lián)網(wǎng)產(chǎn)業(yè)直接影響該國(guó)的社會(huì)和經(jīng)濟(jì)等諸多領(lǐng)域，甚至造成大面積的行業(yè)癱瘓，這影響不亞于國(guó)家基礎(chǔ)產(chǎn)業(yè)和戰(zhàn)略產(chǎn)業(yè)被人牽制、乃至控制。(5)即使企業(yè)網(wǎng)站安全級(jí)別很高，技術(shù)精良，但仍存在薄弱環(huán)節(jié)，需進(jìn)一步調(diào)整、鞏固和加強(qiáng)互聯(lián)網(wǎng)結(jié)構(gòu)。(6)從該事件引發(fā)的種種“連鎖反應(yīng)”，也從側(cè)面反映了搜索引擎作為用戶使用全球互聯(lián)網(wǎng)的一“節(jié)點(diǎn)”的重要地位。而百度，無(wú)疑已深入中國(guó)網(wǎng)民的生活，與網(wǎng)友的生活密不可分。換句話說(shuō)，互聯(lián)網(wǎng)已經(jīng)深入到每個(gè)人的工作、學(xué)習(xí)、商務(wù)、休閑的每一個(gè)環(huán)節(jié)。(7)因?yàn)榘俣三嫶蟮挠脩羧后w、市場(chǎng)占有率等因素以及媒體關(guān)注度，使他具有很高的媒體關(guān)注度，若加之百度運(yùn)作合理，百度極有可能成為“2010十大網(wǎng)絡(luò)事件”，若百度運(yùn)作得到，力挽狂瀾，還有可能成為網(wǎng)絡(luò)營(yíng)銷(xiāo)的經(jīng)典案例。(8)面對(duì)當(dāng)前國(guó)際政治經(jīng)濟(jì)局勢(shì)的錯(cuò)綜復(fù)雜，部分極端分子通過(guò)攻擊一些具有全球影響力的大網(wǎng)站的手段來(lái)彰顯自己的影響力、開(kāi)展政治宣傳、甚至向異己示威并進(jìn)行要挾，其影響力效果，甚至可能不亞于制造一個(gè)類(lèi)似911的事件。(9)由于目前我國(guó)沒(méi)有DNS根服務(wù)器(全世界13臺(tái)DNS根服務(wù)器均設(shè)在美國(guó))，我國(guó)的DNS請(qǐng)求實(shí)際上由一臺(tái)臺(tái)鏡像服務(wù)器負(fù)責(zé)處理，鏡像服務(wù)器分布于世界各地，由國(guó)家專(zhuān)屬機(jī)構(gòu)負(fù)責(zé)維護(hù)。(10)眾所周知，國(guó)際互聯(lián)網(wǎng)技術(shù)和游戲規(guī)則都是美國(guó)人制定和把控的，我們沒(méi)有核心技術(shù)。與2009年5月30日轟動(dòng)一時(shí)的“微軟封殺五國(guó)MSN服務(wù)事件”(事件詳情：/zt/msn/)道理如出一轍，這次“百度事件”再次提醒并鞭策我們：落后與被動(dòng)只能處處挨打，中國(guó)的互聯(lián)網(wǎng)企業(yè)不僅需要不斷提高技術(shù)創(chuàng)新與監(jiān)管力度，還是牢牢把握互聯(lián)網(wǎng)話語(yǔ)權(quán)和規(guī)則制定權(quán)，爭(zhēng)取自主知識(shí)產(chǎn)權(quán)，才能加強(qiáng)信息安全，也才能使得我們的互聯(lián)網(wǎng)產(chǎn)業(yè)是真正自主可控，也才能長(zhǎng)期穩(wěn)定、持續(xù)與健康發(fā)展的。六、名詞解釋?zhuān)?、域名劫持：是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則直接返回假的IP地址或者什么也不做使得請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)址不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址。2、DNS：是“域名系統(tǒng)”(DomainNameSystem)的縮寫(xiě)，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。在Internet上域名與IP地址之間是一對(duì)一(或者多對(duì)一)的，域名雖然便于人們記憶，但機(jī)器之間只能互相認(rèn)識(shí)IP地址，它們之間的轉(zhuǎn)換工作稱(chēng)為域名解析，域名解析需要由專(zhuān)門(mén)的域名解析服務(wù)器來(lái)完成，DNS就是進(jìn)行域名解析的服務(wù)器。3、根服務(wù)器：要用來(lái)管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺(tái)。1個(gè)為主根服務(wù)器，放置在美國(guó)。其余12個(gè)均為輔根服務(wù)器，其中9個(gè)放置在美國(guó)，歐洲2個(gè)，位于英國(guó)和瑞典，亞洲1個(gè)，位于日本。所有根服務(wù)器均由美國(guó)政府授權(quán)的互聯(lián)網(wǎng)域名與號(hào)碼分配機(jī)構(gòu)ICANN統(tǒng)一管理，負(fù)責(zé)全球互聯(lián)網(wǎng)域名根服