首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >谁动了我的域名

谁动了我的域名

作者头像
鹅厂网事
发布2018-02-02 16:40:10
2.4K0
发布2018-02-02 16:40:10
举报
文章被收录于专栏:鹅厂网事鹅厂网事

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下!

一、事件回放

2014年11月12日晚9点半左右开始,部分用户访问国内知名的两家企业的所有业务时均出现无法解析的情况,主要原因为这两家企业的域名状态被修改成clientHold,导致了gTLD终止了对这两个域名的授权解析。

Fig 1 ctrip.com域名被clientHold

Fig 2 ctrip.com在.com的权威服务器上停止解析

Fig 3 elong.com被clientHold

Fig 4 elong.com在.com的权威服务器上同样被终止了解析

两家企业域名解析在次日凌晨1点后陆续恢复。

二、 故障分析

要理解为何这两家企业的域名无法解析,我们得先了解一下域名的一些基本流程:当一个企业或用户通过域名注册商进行域名注册、修改、删除、过户等操作时,域名注册商将会通过EPP协议(extensible provisioning protocol)向注册局提交服务请求。而EPP协议中为域名定义了23种状态码以标识域名的状态。这23种状态码分为两种:client和server。Client类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新。

Fig 5 域名注册信息变更流程

那么为何域名被clientHold之后就会被终止解析呢?我们先来看一下ICANN对于clientHold这个状态码的解释:

(quote: https://www.icann.org/en/system/files/files/epp-status-codes-30jun11-en.pdf)

ICANN对于clientHold这个状态码解释是:注册局会在收到了法律方面的争端、域名没有续费或收到了删除请求的情况下,将不会再对此域名进行解析。从whois的信息中我们可以看出,这两个域名的到期时间均为2017年,所以可以排除是由于未续费所导致的。根据我们的分析,造成这次故障的原因有以下几种可能性: 1) 域名注册商收到了相关的法律诉讼,所以将域名设置成了clientHold状态:由于两家公司均为美国上市公司,而且均使用了美国注册商提供的服务。如果在当地受到了诉讼成立或者举报的话,美国法院是有权命令注册商停止该域名的解析的。这种原因有一定可能性; 2) 域名注册商的管理系统被黑,导致域名状态被修改:由于到目前为止,只有这两家公司的域名出现了这种情况。而这两家公司的注册商下面的其它域名并没有受到影响。这种原因的可能性较低; 3) 这两家公司的域名管理账号被盗,盗号者修改了域名状态为clientHold,两家公司的账号密码同时被盗,可能性同样较小。 4) 这两家公司的域名注册商内部技术故障,停止了这两家公司的域名解析。这种原因有一定可能性;

其实类似的问题在互联网行业中屡见不鲜,由于域名解析异常导致的业务无法访问的情况在国内另外一家互联网公司百度历史上也发生过,在2010年1月12日,baidu.com的域名的授权记录被恶意篡改,导致所有百度业务均无法访问;

Fig 6 baidu.com域名ns被篡改,首页展示为伊朗网军页面

三、 如何避免

由EPP协议我们了解到状态码分为两种:client和server,Client类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新,一旦serverUpdateProhibited被设置域名状态就不能进行变更。那么规避这种域名注册商的问题,可以通过添加域名注册局的锁来进行规避的,当添加了注册局锁的域名在进行任何操作时,均需要域名所有者通过线下流程向注册商提交相关资料(包括但不限于电话确认、邮件确认、传真确认及密保问题确认等)并确认其真实性后,由注册商向注册局提交解锁操作请求后,域名所有者才能对域名进行操作。所以建议各位域名管理员为域名均加上如下状态,虽然修改的确会麻烦点,但是安全性增强了很多;

Fig 7 google.com域名状态

四、 进一步思考

那是不是只要我把域名都加上了注册局的锁之后就高枕无忧了呢?恐怕未必。传统的DNS系统的问题远不止于此,整个域名体系中涉及的面较广,包括运营商ldns,域名注册商,域名注册局,.root解析节点,.gTLD解析节点,企业域名解析节点等,中间任意一环出现问题,将会对企业域名造成巨大损失;譬如 2013年8月25日,因.cn域名解析服务器故障,而引发的大量互联网业务无法正常被访问。

Fig 8 .cn域名服务器解析故障导致大面积网站瘫痪

在现今各互联网行业蓬勃发展、上层应用层出不穷的大环境下,主宰着整个互联网超过95%的流量的第一跳:域名解析系统(DNS)已经成了整个互联网生态的阿喀琉斯之踵。到底有没有一种技术上的方案,能从根源上解决DNS解析异常的问题,而又保证与现有域名使用方式保持兼容呢?答案当然是肯定的。

五、 HTTPDNS服务

那小编再次给大家推荐昨天我们提到的“全局精细流量调度新思路-HttpDNS服务详解”,通过直接访问配置中心获取到名字对应服务器IP的方法,完全绕过了DNS体系, 这种解决方案可以非常好的解决因DNS流程中任意一环出现问题而导致的故障。有关HTTPDNS解决方案相关内容,小编这里就不赘述了。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2014-11-13,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 鹅厂网事 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
微服务引擎 TSE
微服务引擎(Tencent Cloud Service Engine)提供开箱即用的云上全场景微服务解决方案。支持开源增强的云原生注册配置中心(Zookeeper、Nacos 和 Apollo),北极星网格(腾讯自研并开源的 PolarisMesh)、云原生 API 网关(Kong)以及微服务应用托管的弹性微服务平台。微服务引擎完全兼容开源版本的使用方式,在功能、可用性和可运维性等多个方面进行增强。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档