这不是一次传统意义上的“黑入服务器、篡改网页”的攻击,而是一次更为精巧和危险的“域名劫持”攻击,下面我将为您梳理这次事件的经过、百度的恢复过程,以及后续影响。
事件回顾:2010年1月12日百度被黑事件
- 时间: 2010年1月12日早上约6:30起。
- 攻击方式: 域名系统劫持,攻击者并非直接攻击百度的服务器,而是攻击了百度的域名注册商(当时为美国Register.com),非法修改了百度域名(baidu.com)的全球DNS解析记录。
- 现象:
- 全球大部分用户访问
www.baidu.com时,被错误地指向了一个位于伊朗的IP地址。 - 用户看到的页面是一个带有波斯语/英语文字的黑页,上面画有伊朗国旗和一句“This site has been hacked by Iranian Cyber Army”(此网站已被伊朗网络军团攻击)的标语。
- 百度自身的服务器和数据并未被攻破,服务本身是完好的,但全世界却“找不到”它了。
- 全球大部分用户访问
- 影响:
- 百度搜索服务在中国及全球中断长达数小时,这是百度成立以来最严重的服务中断事件。
- 影响了数亿网民的信息获取,造成了巨大的社会和经济影响。
- 暴露了单一域名注册商作为互联网关键基础设施的脆弱性。
百度的恢复过程与应对措施
百度的恢复是一场与技术难度和时间赛跑的战役,展现了其强大的技术实力和应急能力:
- 快速定位问题: 百度技术团队迅速判断出问题并非出在自己的服务器机房,而是域名解析层面,准确锁定为DNS劫持。
- 启用备用域名: 在抢修主域名的同时,百度迅速启用了备用域名
www.baidu.com.cn并发布公告,引导用户使用,以部分恢复服务。 - 协调全球互联网机构:
- 紧急联系美国的域名注册商Register.com,要求其修复错误的解析记录。
- 但由于时差和沟通流程问题,恢复过程受阻。
- 技术自救——修改根域名解析:
- 这是最关键的一步,百度技术团队直接联系了位于美国的全球域名根服务器管理机构,紧急刷新并修正了
baidu.com的顶级域名(TLD)解析记录。 - 他们成功地将权威DNS服务器指向了自己可控的服务器,从而绕过了被黑客控制的注册商层面的错误解析。
- 这是最关键的一步,百度技术团队直接联系了位于美国的全球域名根服务器管理机构,紧急刷新并修正了
- 全球DNS缓存刷新:
- 即使根服务器记录修正后,全球各地的本地DNS服务器还缓存着错误的IP地址(TTL过期时间未到)。
- 百度通过技术手段和等待缓存过期,使得正确的解析结果逐步覆盖全球,这个过程持续了数小时,直至服务完全恢复正常。
事后分析与长期影响
- 攻击源: 虽然攻击者自称“伊朗网络军团”,但其真实身份和动机一直未有官方定论,安全专家分析,这可能是一次政治性黑客行为,也可能是为了展示技术能力。
- 教训与改进:
- 域名安全被空前重视: 此事件给全球互联网公司上了一课,凸显了域名作为“网络门户钥匙”的极端重要性。
- 百度加强安全体系:
- 更换并强化域名管理: 将域名注册商更换为更安全的服务商,并采取了更严格的多重验证机制。
- 部署DNSSEC: 逐步部署域名系统安全扩展,防止DNS数据被篡改。
- 建设多地多活数据中心: 基础设施更加分散和冗余,即使某一点出问题,服务也能快速切换。
- 建立更完善的监控和应急响应体系: 对包括域名状态在内的所有关键节点进行7x24小时监控。
- 行业影响: 推动了中国乃至全球互联网公司对域名安全、供应链安全的投入和标准提升。
其他相关事件
- 2013年大规模故障: 2013年,百度也曾出现过大规模服务不可用,但原因是上海机房的光缆被市政施工意外挖断,属于物理基础设施事故,而非黑客攻击。
- 小范围安全漏洞: 像所有大型网站一样,百度旗下产品(如贴吧、知道)历史上也曾暴露出一些安全漏洞,但都被其安全团队及时发现和修复,未造成如2010年那样的全局性影响。
百度在2010年遭受的这次顶级域名劫持攻击,其恢复的关键在于:精准的问题定位、启用应急方案、以及通过技术手段直接协调全球互联网根服务器管理机构进行修复。 这次事件成为百度乃至中国互联网安全史上的一个里程碑,促使百度建立了一套世界级、多层次、纵深防御的网络安全体系。
百度拥有强大的“百度安全”团队和阿里云等提供的云计算基础设施保障,类似2010年这种级别的域名劫持事件再次发生的概率已极低,其恢复能力已融入整个系统架构的设计之中。
标签: 百度域名劫持 2010年1月12日
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
