谁动了我的域名

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下!

一、事件回放

2014年11月12日晚9点半左右开始,部分用户访问国内知名的两家企业的所有业务时均出现无法解析的情况,主要原因为这两家企业的域名状态被修改成clientHold,导致了gTLD终止了对这两个域名的授权解析。

Fig 1 ctrip.com域名被clientHold

Fig 2 ctrip.com在.com的权威服务器上停止解析

Fig 3 elong.com被clientHold

Fig 4 elong.com在.com的权威服务器上同样被终止了解析

两家企业域名解析在次日凌晨1点后陆续恢复。

二、 故障分析

要理解为何这两家企业的域名无法解析,我们得先了解一下域名的一些基本流程:当一个企业或用户通过域名注册商进行域名注册、修改、删除、过户等操作时,域名注册商将会通过EPP协议(extensible provisioning protocol)向注册局提交服务请求。而EPP协议中为域名定义了23种状态码以标识域名的状态。这23种状态码分为两种:client和server。Client类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新。

Fig 5 域名注册信息变更流程

那么为何域名被clientHold之后就会被终止解析呢?我们先来看一下ICANN对于clientHold这个状态码的解释:

(quote: https://www.icann.org/en/system/files/files/epp-status-codes-30jun11-en.pdf)

ICANN对于clientHold这个状态码解释是:注册局会在收到了法律方面的争端、域名没有续费或收到了删除请求的情况下,将不会再对此域名进行解析。从whois的信息中我们可以看出,这两个域名的到期时间均为2017年,所以可以排除是由于未续费所导致的。根据我们的分析,造成这次故障的原因有以下几种可能性: 1) 域名注册商收到了相关的法律诉讼,所以将域名设置成了clientHold状态:由于两家公司均为美国上市公司,而且均使用了美国注册商提供的服务。如果在当地受到了诉讼成立或者举报的话,美国法院是有权命令注册商停止该域名的解析的。这种原因有一定可能性; 2) 域名注册商的管理系统被黑,导致域名状态被修改:由于到目前为止,只有这两家公司的域名出现了这种情况。而这两家公司的注册商下面的其它域名并没有受到影响。这种原因的可能性较低; 3) 这两家公司的域名管理账号被盗,盗号者修改了域名状态为clientHold,两家公司的账号密码同时被盗,可能性同样较小。 4) 这两家公司的域名注册商内部技术故障,停止了这两家公司的域名解析。这种原因有一定可能性;

其实类似的问题在互联网行业中屡见不鲜,由于域名解析异常导致的业务无法访问的情况在国内另外一家互联网公司百度历史上也发生过,在2010年1月12日,baidu.com的域名的授权记录被恶意篡改,导致所有百度业务均无法访问;

Fig 6 baidu.com域名ns被篡改,首页展示为伊朗网军页面

三、 如何避免

由EPP协议我们了解到状态码分为两种:client和server,Client类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新,一旦serverUpdateProhibited被设置域名状态就不能进行变更。那么规避这种域名注册商的问题,可以通过添加域名注册局的锁来进行规避的,当添加了注册局锁的域名在进行任何操作时,均需要域名所有者通过线下流程向注册商提交相关资料(包括但不限于电话确认、邮件确认、传真确认及密保问题确认等)并确认其真实性后,由注册商向注册局提交解锁操作请求后,域名所有者才能对域名进行操作。所以建议各位域名管理员为域名均加上如下状态,虽然修改的确会麻烦点,但是安全性增强了很多;

Fig 7 google.com域名状态

四、 进一步思考

那是不是只要我把域名都加上了注册局的锁之后就高枕无忧了呢?恐怕未必。传统的DNS系统的问题远不止于此,整个域名体系中涉及的面较广,包括运营商ldns,域名注册商,域名注册局,.root解析节点,.gTLD解析节点,企业域名解析节点等,中间任意一环出现问题,将会对企业域名造成巨大损失;譬如 2013年8月25日,因.cn域名解析服务器故障,而引发的大量互联网业务无法正常被访问。

Fig 8 .cn域名服务器解析故障导致大面积网站瘫痪

在现今各互联网行业蓬勃发展、上层应用层出不穷的大环境下,主宰着整个互联网超过95%的流量的第一跳:域名解析系统(DNS)已经成了整个互联网生态的阿喀琉斯之踵。到底有没有一种技术上的方案,能从根源上解决DNS解析异常的问题,而又保证与现有域名使用方式保持兼容呢?答案当然是肯定的。

五、 HTTPDNS服务

那小编再次给大家推荐昨天我们提到的“全局精细流量调度新思路-HttpDNS服务详解”,通过直接访问配置中心获取到名字对应服务器IP的方法,完全绕过了DNS体系, 这种解决方案可以非常好的解决因DNS流程中任意一环出现问题而导致的故障。有关HTTPDNS解决方案相关内容,小编这里就不赘述了。

原文发布于微信公众号 - 鹅厂网事(tencent_network)

原文发表时间:2014-11-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

22210
来自专栏Python中文社区

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH...

3165
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文:https://www.malwaretech.com/2017/11/creating-a-simple-free-malware-analysis-e...

4049
来自专栏FreeBuf

沉睡一年的“脏牛”又被攻击者利用,Android用户你们还好吗?

还记得 2016 年那个著名的 Linux 内核级漏洞 Dirty Cow(脏牛)吗?2016 年 10 月,研究人员发现 Linux 内核的内存子系统在处理写...

3165
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文地址:Creating a Simple Free Malware Analysis Environment

4026
来自专栏FreeBuf

Android系统中也存在Web注入吗?

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到...

2105
来自专栏NewTech视野

从黑客那里保护公司网站的12个技巧

通常您的网站开放运行如同无需锁门但依然安全开放的办公室一样:因为大多数人不会仅仅步入并访问您的办公室就洞察到您所有的数据信息。偶尔您会发现有不怀好意的人进入并偷...

980
来自专栏林德熙的博客

使用 ahk 让普通键盘变为Dvorak键盘

本文告诉大家,如何使用软件做出Dvorak键盘。 在开始说如何做之前,需要告诉大家,什么是Dvorak键盘。 Dvorak Simplified Keyboar...

1062
来自专栏FreeBuf

JavaScript的注入引出技术诈骗

0×01 前言 在最近的恶意软件的调查中,我们发现了一些有趣的混淆JavaScript代码。此代码伪装成现在流行的插件AddThis social sharin...

2385
来自专栏FreeBuf

运维配置缺陷导致大量MongoDB数据信息遭泄露

近日,黑客组织GhostShell泄露了大量的MongoDB数据库用户资料。 数据遭到大量泄露 据统计该组织目前泄露的数据已达3600万条之多。MongoDB作...

22310

扫码关注云+社区

领取腾讯云代金券