专栏首页鹅厂网事谁动了我的域名

谁动了我的域名

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下!

一、事件回放

2014年11月12日晚9点半左右开始,部分用户访问国内知名的两家企业的所有业务时均出现无法解析的情况,主要原因为这两家企业的域名状态被修改成clientHold,导致了gTLD终止了对这两个域名的授权解析。

Fig 1 ctrip.com域名被clientHold

Fig 2 ctrip.com在.com的权威服务器上停止解析

Fig 3 elong.com被clientHold

Fig 4 elong.com在.com的权威服务器上同样被终止了解析

两家企业域名解析在次日凌晨1点后陆续恢复。

二、 故障分析

要理解为何这两家企业的域名无法解析,我们得先了解一下域名的一些基本流程:当一个企业或用户通过域名注册商进行域名注册、修改、删除、过户等操作时,域名注册商将会通过EPP协议(extensible provisioning protocol)向注册局提交服务请求。而EPP协议中为域名定义了23种状态码以标识域名的状态。这23种状态码分为两种:client和server。Client类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新。

Fig 5 域名注册信息变更流程

那么为何域名被clientHold之后就会被终止解析呢?我们先来看一下ICANN对于clientHold这个状态码的解释:

(quote: https://www.icann.org/en/system/files/files/epp-status-codes-30jun11-en.pdf)

ICANN对于clientHold这个状态码解释是:注册局会在收到了法律方面的争端、域名没有续费或收到了删除请求的情况下,将不会再对此域名进行解析。从whois的信息中我们可以看出,这两个域名的到期时间均为2017年,所以可以排除是由于未续费所导致的。根据我们的分析,造成这次故障的原因有以下几种可能性: 1) 域名注册商收到了相关的法律诉讼,所以将域名设置成了clientHold状态:由于两家公司均为美国上市公司,而且均使用了美国注册商提供的服务。如果在当地受到了诉讼成立或者举报的话,美国法院是有权命令注册商停止该域名的解析的。这种原因有一定可能性; 2) 域名注册商的管理系统被黑,导致域名状态被修改:由于到目前为止,只有这两家公司的域名出现了这种情况。而这两家公司的注册商下面的其它域名并没有受到影响。这种原因的可能性较低; 3) 这两家公司的域名管理账号被盗,盗号者修改了域名状态为clientHold,两家公司的账号密码同时被盗,可能性同样较小。 4) 这两家公司的域名注册商内部技术故障,停止了这两家公司的域名解析。这种原因有一定可能性;

其实类似的问题在互联网行业中屡见不鲜,由于域名解析异常导致的业务无法访问的情况在国内另外一家互联网公司百度历史上也发生过,在2010年1月12日,baidu.com的域名的授权记录被恶意篡改,导致所有百度业务均无法访问;

Fig 6 baidu.com域名ns被篡改,首页展示为伊朗网军页面

三、 如何避免

由EPP协议我们了解到状态码分为两种:client和server,Client类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新,一旦serverUpdateProhibited被设置域名状态就不能进行变更。那么规避这种域名注册商的问题,可以通过添加域名注册局的锁来进行规避的,当添加了注册局锁的域名在进行任何操作时,均需要域名所有者通过线下流程向注册商提交相关资料(包括但不限于电话确认、邮件确认、传真确认及密保问题确认等)并确认其真实性后,由注册商向注册局提交解锁操作请求后,域名所有者才能对域名进行操作。所以建议各位域名管理员为域名均加上如下状态,虽然修改的确会麻烦点,但是安全性增强了很多;

Fig 7 google.com域名状态

四、 进一步思考

那是不是只要我把域名都加上了注册局的锁之后就高枕无忧了呢?恐怕未必。传统的DNS系统的问题远不止于此,整个域名体系中涉及的面较广,包括运营商ldns,域名注册商,域名注册局,.root解析节点,.gTLD解析节点,企业域名解析节点等,中间任意一环出现问题,将会对企业域名造成巨大损失;譬如 2013年8月25日,因.cn域名解析服务器故障,而引发的大量互联网业务无法正常被访问。

Fig 8 .cn域名服务器解析故障导致大面积网站瘫痪

在现今各互联网行业蓬勃发展、上层应用层出不穷的大环境下,主宰着整个互联网超过95%的流量的第一跳:域名解析系统(DNS)已经成了整个互联网生态的阿喀琉斯之踵。到底有没有一种技术上的方案,能从根源上解决DNS解析异常的问题,而又保证与现有域名使用方式保持兼容呢?答案当然是肯定的。

五、 HTTPDNS服务

那小编再次给大家推荐昨天我们提到的“全局精细流量调度新思路-HttpDNS服务详解”,通过直接访问配置中心获取到名字对应服务器IP的方法,完全绕过了DNS体系, 这种解决方案可以非常好的解决因DNS流程中任意一环出现问题而导致的故障。有关HTTPDNS解决方案相关内容,小编这里就不赘述了。

本文分享自微信公众号 - 鹅厂网事(tencent_network),作者:廖伟健

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-11-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 数据存储介质销毁:护航数据安全的最后一公里

    "鹅厂网事"由深圳市腾讯计算机系统有限公司技术工程事业群网络平台部运营,我们希望与业界各位志同道合的伙伴交流切磋最新的网络、服务器行业动态信息,同时分享腾讯在网...

    鹅厂网事
  • 数据中心网络400G硅光光模块技术方案浅谈

    欢迎关注公众帐号“鹅厂网事”,我们给你提供最新的行业动态信息、腾讯网络最接地气的干货分享。 注1:凡注明来自“鹅厂网事”的文字和图片等作品,版权均属于“深圳市...

    鹅厂网事
  • 面向云网络的高性能易扩展NFV技术平台

          为帮助客户快速构建灵活的网络能力,大部分云服务提供商都选择使用他们最擅长的软件的方式来进行支持。沿用通信行业的一种叫法,即是NFV(Network...

    鹅厂网事
  • 实时音视频小程序如果需要上线或者部署正式环境怎么办?

    hhualiu
  • wordpress 更换域名、数据库批量替换域名过程记录

    魏艾斯博客www.vpsss.net
  • 价值投资“.我爱你”域名,溢价域名更成投资新宠

    谈起域名投资,溢价域名可以说是比较受追捧的一种投资形式。与一般的域名投资不同,溢价域名一般由域名注册局从保留词库中筛选,并通过注册商渠道以定价、拍卖...

    躲在树上的域小名
  • 腾讯安全威胁情报中心“明厨亮灶”工程:图分析技术在恶意域名挖掘和家族识别中的应用

    目前各个安全厂商都开始积极地挖掘情报数据的价值,研究威胁情报分析与共享技术。越来越多的安全厂商开始提供威胁情报服务,众多企业的安全应急响应中心也开始接收威胁情报...

    腾讯安全
  • ENS域名注册终极指南

    ENS 是当下以太坊生态中最热门的话题之一,这股潮流的出现有很多因素。正如官网提到的那样[1]:“ENS 利用可读的域名,为链上、链下资源寻址提供了一种既安全又...

    辉哥
  • 网站域名选择应该注意什么问题?看网站域名选择的原则

    网站域名对网站本身来说蛮重要的,因为对于普通用户,到达网站的第一个动作就是域名的输入。如果域名选择不好,有可能在第一个环节就造成了用户的流失。网站...

    悉知科技建站
  • 腾讯云注册域名过程-新手必看教程

    域名注册是通过付费获得域名一年或几年的使用权的过程,一般执行下面这几个简单步骤即可轻松获得属于域名:

    用户6641318

扫码关注云+社区

领取腾讯云代金券