事件分析

黑客攻击国际互联网域名与ICANN 官网备用域名事件：黑客攻击国际互联网域名与地址管理机构ICANN 的官方网站几个备用域名时间：2008年7月摘要：黑客攻击了国际互联网域名与地址管理机构ICANN

黑客攻击国际互联网域名与ICANN 官网备用域名

事件：黑客攻击国际互联网域名与地址管理机构ICANN 的官方网站几个备用域名

时间：2008年7月

摘要：黑客攻击了国际互联网域名与地址管理机构ICANN 的官方网站几个备用域名，将其域名改变了原来指向，并在更改后指向的网页上留下了嚣张的字眼。 影响：黑客没有进入网站，只是修改了icann.com 等域名系统指向，并没能成功击破ICANN 和IANA 的数据库以及主域名网站，因此并没有产生大范围的影响。

但这次事件暴露了ICANN 注册商安全管理的漏洞，ICANN 将汲取这次事件的经验教训，采取新的安全措施确保今后不再出现同样情况。促使ICANN 的“安全与稳定咨询委员会（SSAC ）”研究，将这次（黑客）通过注册商进入域名的注册系统攻击事件列入优先研究课题，把研究成果遵循正常途径加以利用。

ICANN 被黑敲响网络域名安全警钟

易名中国DNS 服务器遭到黑客攻击

事件：易名中国6台DNS 服务器遭到黑客攻击

时间：2009年5月8日

摘要: 2009年5月8日12点到1点半这1个半小时内，一直有超过15G 以上的流量针对性的攻击易名中国的6台DNS 。导致所有dns 瘫痪，上万个网站无法打开。

影响:导致所有dns 瘫痪，上万个网站无法打开。

dnspod 解析服务器遭攻击，暴风影音客户软件引发风暴

事件：dnspod 解析服务器遭攻击，暴风影音客户软件引发风暴

时间：2009年5月19日

摘要：2009年5月19日晚间，我国互联网发生大面积网络故障：包括江苏、河北、山西、广西、浙江等在内的23个省陆续出现互联网访问变慢、网站无法访问等现象。该事件被称为“5·19网络瘫痪重大事故”，又称“暴风影音事件”。 经过调查，事情起因如下：由于私人服务器互斗，DNSPod 被攻击(据称攻击流量达10G) 。随后DNSPod 所在的IDC 将DNSPod 的服务器断网，即网络上无法访问到DNSPod 服务器。

暴风影音随后出场，其域名解析服务托管在DNSPod 上，在此事件中，暴风扮演了绝对的主角——为了有更高的广告点击率，暴风在后台暗藏机关，装了暴风软件的用户一开机会自动链接至暴风网站。随着递归域名服务器中缓存内容逐渐过期被删除，刚开机的用户，其暴风影音会试图访问相关服务器，但是由于DNSPod 被断网得不到回答而超时。此时，暴风影音的客户端不断重复发送域名解析请求(据称每分钟约100次) ，这些请求以及等待超时的查询不断在递归域名服务器上堆积，最终网络故障产生。

影响：我国互联网发生大面积网络故障：包括江苏、河北、山西、广西、浙江等在内的23个省陆续出现互联网访问变慢、网站无法访问等现象。

该事件发生之后，在互联网界引起了不小的震动。带给互联网的警醒是：一个攻击、一个软件能导致五省断网，可见软件的重要性；在用户越来越多的今天，终端安全反过来可以影响主干网的安全，这提醒用户注重终端安全；一些省市受到的波及很严重源于在DNS 服务器部署方面没有很好的机制，提醒运营商在网络设计上采取好的策略。

5.19断网风暴 http://www.edu.cn/xin_xi_zi_xun_1625/20090821/t20090821_401364.shtml

新网互联DNS 瘫痪二十万个域名集体罢工

事件：新网互联DNS 瘫痪 二十万个域名集体罢工

时间：09年6月19日

摘要：09年6月19日19：30分左右，新网互联DNS 服务器解析发生问题，大批域名解析不了，包括我在新网互联注册的N 个域名，均无法解析！（所在域名解析服务器为：ns1.dns.com.cn,ns2.dns.com.cn ，在万网注册过一个，暂没发现解析故障。）有一段时间内新网互联自己所在的域名管理控制面板的域名都无法解析，疑为黑客再次发起的大面积攻击。

用户透露，晚上19：30分左右，照例看看自己的通尧电脑商城网站有无客户下订单，但结果发现自己的网站无法访问，随后查看了新网互联的DNS 服务器是否出现问题，发现ns1.dns.com.cn 、ns2.dns.com.cn 两台DNS 服务器瘫痪。并告诉Chinaz ，有236124个域名可能无法访问。

新网互联于20日发表公告，确认DNS 解析服务器遭受恶意攻击。 影响：新网互联旗下两台主要的DNS 服务器瘫痪，导致236124个域名访问中断。一名用户反馈称，网站无法访问后，发现ns1.dns.com.cn 、ns2.dns.com.cn 两台DNS 服务器瘫痪。

站长网 http://www.chinaz.com/Webmaster/report/061b02532009.html

韩国主要网站遭攻击

事件：韩国主要网站遭攻击

时间：09年7月7日

摘要：韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站7日晚同时遭分布式拒绝服务(DDoS)攻击，瘫痪时间长达4小时。

总统府青瓦台网站7日晚6时左右受到首次攻击，随后恢复正常，但不明身份的黑客再次发动数次攻击，致使网站陷入瘫痪，截至8日上午10时，仍处于无法链接状态。

青瓦台网站遭攻击几乎同时，国会、国防部、外交通商部、执政党大国家党和主流报纸《朝鲜日报》网站，头号门户网站Naver ，拍卖网站亿贝韩国站点也受到攻击。

两家主要银行新韩银行和外换银行的网站也未能幸免。新韩银行网站7日晚6时30分起通信量剧增，发生网站无法访问、网上银行速度缓慢等故障。外换银行网站直至晚10时30分仍处于时好时断状态。

影响：韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站7日晚同时遭分布式拒绝服务(DDoS)攻击，瘫痪时间长达4小时。政府网站仍处于无法链接状态，主要银行出现网站无法访问、网上银行速度缓慢等故障。。 四川在线 http://it.scol.com.cn/jdgz/20090709/200979104421.htm

瑞典顶级域名遭瘫痪

事件：瑞典顶级域名遭瘫痪

时间：09年10月14日

摘要： 10月14日上午消息，瑞典顶级域名.se 的日常维护出现严重错误，导致所有.se 域名的DNS(域名解析系统) 的查找失效。

此次事件几乎导致整个瑞典互联网瘫痪。所有的.se 网站都无法访问，电子邮件也无法发送到这一域名下电邮服务提供商。

本次故障发生在.se 域名的日常维护中。.se 注册机构(www.iis.se)使用了错误的配置脚本来升级.se 区域，从而导致所有.se 域名都发生错误。

许多业内人士透露，在升级数据时，脚本未能向.se 区域的DNS 记录中添加终止符“。”。但想要让DNS 理解“.se ”是顶级域名，就必须要使用这一终止符。虽然目前无法获得详细信息，但这一错误的确能够导致整个DNS 查找链的故障。

更为糟糕的在于，DNS 查找都被存储于外部缓冲区中。由于DNS 查找会在某一特定时间缓存，而.se 区域有整整24小时的生存时间(time-to-live)，使得部分用户的这一故障会持续长达24小时。但仍然有许多规模较小的ISP 尚未解决这一问题。瑞典之外的ISP 有可能仍未意识到这一问题，因此故障有可能仍将持续下去。

影响：此次事件几乎导致整个瑞典互联网瘫痪。所有的.se 网站都无法访问，电子邮件也无法发送到这一域名下电邮服务提供商。

据消息人士透露，.se 区域(.se zone，即.se 顶级域名的核心记录) 于当地时间周一晚9点45分出现故障，并于当晚10点43分恢复正常。但是由于DNS 查找(DNS lookup) 都由ISP(互联网服务提供商) 和网络托管公司存储于外部缓冲区，所以在此之后，问题仍在持续。直到当地时间晚11点30分，主要的瑞典ISP 才清洗了各自的DNS 缓冲区，这表明，他们已经将损坏的结果清除，从而使新的DNS 查找可以正常工作。如果未进行这一工作，那么这一故障需要等上整整24小时才能解决。但仍然有许多规模较小的ISP 尚未解决这一问题。瑞典之外的ISP 有可能仍未意识到这一问题，因此故障有可能仍将持续下去。

这种问题会影响到某个顶级域名的整体区域，所有的.se 域名都会受到影响。目前的.se 域名超过90万个，这些域名全部受到了本次DNS 故障的影响。Pingdom 表示，倘若同样的事情发生在.com 域名上，就将有超过8000万个域名受到影响。届时，整个互联网就将发生规模空前的宕机事件。

IT 专家网http://networking.ctocio.com.cn/NetInformation/16/9231516.shtml

微博Twitter 的DNS 提供商Dynect 被黑客攻击

事件：微博Twitter 的DNS 提供商Dynect 被黑客攻击

时间：0 9年12月18日

摘要：0 9年12月18日Twitter 首页遭到攻击，首页被篡改，显示一张绿色旗帜，图片上方用醒目红色英文写着“该网站已经被伊朗网络部队攻击”，并显示一个用伊朗网络部队英文名称注册的Gmail 地址。图片下方有几行白色小字，攻击美国对伊朗的禁运政策。

影响：微型博客网站Twitter 网站数百万博客被指向到错误的网址。在被黑数小时后恢复正常，首页已可正常访问，但部分服务仍不稳定，一些用户反映在使用搜索等功能时经常出现无法访问的错误提示。

亚马逊等网站周三遭DDoS 攻击瘫痪约一小时

事件：亚马逊等网站周三遭DDoS 攻击 瘫痪约一小时

时间：0 9年12月24日

摘要：北京时间12月24日消息，据国外媒体报道，周三亚马逊和沃尔玛等互联网购物网站瘫痪约一小时，原因是其DNS 服务提供商Neustar 遭到了DDoS 攻击。

Neustar 证实称，这次攻击事件发生在周三下午，导致用户在大约1个小时内无法访问众多网站，或访问速度非常慢。该公司客户支持人员表示，黑客攻击的目标是位于加利福尼亚州帕罗奥图和圣何塞的Neustar 设备。

Neustar 企业通讯副总裁艾伦·高德伯格(Allen Goldberg) 证实称，大约在太平洋时间23日下午4点45分，攻击告警消除。

但亚马逊的Web 服务健康应用在下午6点40分才宣布解除告警，DNS 解析恢复正常。亚马逊和其它几个大型网站大约在5点40分恢复正常。

影响：导致用户在大约1个小时内无法访问众多网站，或访问速度非常慢。除了众多知名网站陷入瘫痪状态外，数十家使用亚马逊Web 托管服务的小网站也受到此次攻击事件的影响。亚马逊高管杰夫·巴尔(Jeff Barr) 表示，公司的S3和EC2服务也因这次攻击而无法正常使用。

腾讯网 http://tech.qq.com/a/20091224/000324.htm

百度的DNS(Domain Name System)被劫持

事件：2010年1月12日，百度的DNS(Domain Name System)被劫持 时间： 2010年1月12日

摘要：1月12日早上6点，输入百度的网址，百度被替换成了自称是“IRANIAN CYBER ARMY(伊朗网军) ”攻击者页面。随后，页面信息变成了“IE 无法显示该页面”。百度的DNS(Domain Name System)被劫持。这是自百度建立以来，所遭遇的持续时间最长、影响最严重的黑客攻击，网民访问百度时，会被重定向到一个位于荷兰的IP 地址，百度旗下所有子域名均无法正常访问。

百度对本次事件所发表的声明，事件的起因是www.baidu.com 的域名解析在美国域名注册商处被非法篡改，导致全球用户不能正常访问百度。安全专家表示根本原因，在于目前互联网域名的DNS 管理服务器安全性未受到应有的重视。目前绝大多数域名都存在类似安全风险。

影响：主页无法访问， 故障恢复时间长达5小时。

(一) 对百度自身影响分析

“全球最大中文搜索网站”技术形象有损，该事件或将引发进一步的攻击。百度作为中国代表性的互联网企业，却遭受多次被黑事件，且这次故障恢复时间长达5小时，折射出百度对安全技术投入和应急准备明显不足。

而包括国外网络军队在内的各种黑客看到百度是如此的脆弱，可能会发起对国内网络更大规模的攻击百度搜索引擎的行业地位进一步显现。

(二) 百度域名步署不完善

主要是仅仅启用一个baidu.com 域名，对于baidu.cn 主域名的冷藏不用，导致用户遇到这种状态也无法使用。这一点应该学习谷歌公司，连g.cn 也启用了。

（三）不要盲目迷信.com

首先是不了解.cn 域名在中国根服务器步署远比.com 的根服务器步署牢固N 倍，钱华林教授在几年前接受本人采访时己经讲过：即使中国出口电揽全部断了，中国互联网只要1小时内也能自成体系运行。

其次是据在CNNIC 域名审核组工作了10年的笔者太太、王秀玉工程师介绍，象百度的baidu.cn 主域名状态，CNNIC 的技术后台是根本不允许更改的，必须由百度公司提供证明文件，人工修改。这是所有列入保护清单.cn 域名网站的一道保障。

最后是百度公司把域名交给register.com 这家注册商，想让对方马上做技术支持在时差上存在问题，况且百度公司还不知道register.com 这家注册商后台技术漏洞一直成为全球黑客攻击入口。

(四) 对互联网业界影响分析

(1)DNS根服务器设置：因为DNS 服务是互联网的基础服务，不是个人或者小公司负责的业务，所以DNS 被劫持再次说明国内的基础服务安全防范意识不高。除了日常做好服务器基础安全漏洞的跟进和修复外，更需提高互联网安全意识。

(2)网络安全警钟：从现象上看，这次百度被黑baidu.com 这个域名在根域解析上被黑客控制(这个域名是美国管理的) ，不只是国内的互联网厂商需要增强防范意识，而是整个国际互联网社会同样面临着网络安全威胁。

(3)域名争论：百度域名遭篡改本质原因在于域名注册商系统存在漏洞，域名注册商是美国的REGISTER.COM 。律师于国富认为，百度应该起诉位于美国的国际域名管理机构。此前，另一家互联网巨头QQ 已经将域名从国外转移到国内。这次被攻击事故发生后，百度方面是否会立即采取转移行动也成为了业界关注的焦点。

百度被黑事件影响分析 http://www.admin5.com/article/20100113/204453.shtml

从百度域名被修改看百度公司域名部署http://www.samool.com/category/itnews/3/

喀麦隆国家顶级域名瘫痪近半个月

事件：喀麦隆国家顶级域名瘫痪近半个月

时间：2010年3月3日

摘要：大量.CM 域名(喀麦隆国家顶级域) 无法解析，.CM 注册商和代理商Lau,York 透露，.CM 顶级管理局负责人因内部原因疑似跑路。对于占据.CM 域名全球绝大部分注册用户的中国注册者，损失惨重，初步估计损失达千万左右。 影响：大量CM 域名（喀麦隆国家顶级域）已有近半月无法解析！相关机构分析，CM 域名的中国注册者初步损失估计达千万左右。大量CM 域名（喀麦隆国家顶级域）已有近半月无法解析！相关机构分析，CM 域名的中国注册者初步损失估计达千万左右。

新浪 http://news.sina.com.cn/o/2010-03-16/151317225368s.shtml