“百度被黑”事件分析与对策研究报告.docVIP

PAGE PAGE 12 一、事件概述：　　2010年1月12日上午6点左右起，全球最大中文搜索引擎百度突然出现大规模无法访问，主要表现为跳转到一雅虎出错页面、伊朗网军图片，出现“天外符号”等，范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。　　这次百度大面积故障长达5个小时，也是百度2006年9月来最大一次严重断网事故，在国内外互联网界造成了重大影响，后百度公告称域名在美注册商处遭非法篡改，正在处理。 二、事件过程：　　透过百度“被黑”表象，经搜索引擎分析师卜梓琴全程跟踪分析，其大致攻击过程解剖如下： 1、2010年1月12日上午约6点起，百度域名DNS服务器被劫持更换，同时主域名已经被解析到一个荷兰的IP； 2、域名被更换后，访问百度时页面自动跳转到一租用雅虎服务器的空间；该IP的网站实际使用英文yahoo下的租用空间，因此访问百度旗下网站时，会出现英文yahoo的出错信息页面； 3、由于页面请求数量过于庞大导致雅虎服务器瘫痪或者流量超限，服务器瘫痪； 4、服务器瘫痪后，访问百度的网民页面自动跳转到雅虎的提示页面； 5、在超限之前，部分网民伊朗网军的黑客页面，攻击者在百度首页自称是“IranianCyberArmy”的组织承认篡改了百度主页，并留下阿拉伯文字； 6、2010年1月12日上午，国内大部分城市用户和海外用户只能通过未被劫持的备用域名访问； 7、2010年1月12日上午近10点，百度相关人士出面表示，故障“还在查，目前原因不知”，此前均表示不知情或拒接电话； 8、2010年1月12日上午约11点起，部分地区陆续恢复正常访问； 9、下午起，百度正在陆续恢复域名解析，所以也出现了各地逐渐恢复访问的情况； 10、根据解析速度，如不出意外，全世界将在48小时内全部恢复访问。 二、劫持过程：　　域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能还回正常IP地址。　　对此，搜索引擎分析师卜梓琴认为，攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址。　　其一般步骤如下： 1、获取劫持域名注册信息：首先攻击者会访问域名查询站点，通过MAKECHANGES功能，输入要查询的域名以取得该域名注册信息。 2、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。 3、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKECHANGES功能修改该域名的注册信息，包括拥有者信息、DNS服务器信息等。 4、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回溃的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回溃成功修改信件，此时攻击者成功劫持域名。 三、影响分析：　　(一)对百度自身影响分析“全球最大中文搜索网站”技术形象有损，该事件或将引发进一步的攻击。百度作为中国代表性的互联网企业，却遭受多次被黑事件，且这次故障恢复时间长达5小时，折射出百度对安全技术投入和应急准备明显不足。而包括国外网络军队在内的各种黑客看到百度是如此的脆弱，可能会发起对国内网络更大规模的攻击。　　(二)对其他搜索引擎影响分析　　百度无法访问后，谷歌、爱问、有道、搜搜、中国雅虎等其他搜索引擎访问量都出现激增情况，而且“百度”成谷歌今日上升最快关键词。“此消彼长”，这也从另一面说明搜索市场整体竞争剧烈。另据权威“搜索榜”()数据监测显示，2010年1月11日各主流搜索引擎份额分别为，百度占55.65%，谷歌占17.93%，搜狗、搜搜、微软bing和有道分别占7.72%，7.61%、7%和4.08%。对此，我们预计1月12日“搜索榜”份额甚至排名将出现重大变化，谷歌等其他搜索引擎的访问量与份额比例有望明显上升。　　(三)对门户网站影响分析　　调查显示：目前搜索引擎给门户网站带来的流量占到20%左右，部分甚至占到40%，而其中百度带来的流量要占70%，google大于20%。　　百度无法访问后，四大门户、各大行业网站等均遭受不同程度的损失，流量受到一定影响，由于百度访问障碍时间较长，从明天的alexa排名来看，国内门户网站将普遍会略有所下降。　　在此次百度被黑事件里，四大门户中流量较大的腾讯、新浪受到影响较少，预计流量将下降大约在5%左右，而搜狐和网易受到的影响可能会稍大些，预计流量将会下降10%左右。　　(