“百度被黑”事件分析与对策研究报告

　　生意社1月13日讯　一、事件概述：

　　2010年1月12日上午6点左右起，全球最大中文搜索引擎百度突然出现大规模无法访问，主要表现为跳转到一雅虎出错页面、伊朗网军图片，出现“天外符号”等，范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。

　　这次百度大面积故障长达5个小时，也是百度2006年9月来最大一次严重断网事故，在国内外互联网界造成了重大影响，后百度公告称域名在美注册商处遭非法篡改，正在处理。

　　二、事件过程：

　　透过百度“被黑”表象，经中国电子商务研究中心搜索引擎分析师卜梓琴全程跟踪分析，其大致攻击过程解剖如下：

　　1、2010年1月12日上午约6点起，百度域名DNS服务器被劫持更换，同时主域名已经被解析到一个荷兰的IP；

　　2、域名被更换后，访问百度时页面自动跳转到一租用雅虎服务器的空间；该IP的网站实际使用英文yahoo下的租用空间，因此访问百度旗下网站时，会出现英文yahoo的出错信息页面；

　　3、由于页面请求数量过于庞大导致雅虎服务器瘫痪或者流量超限，服务器瘫痪；

　　4、服务器瘫痪后，访问百度的网民页面自动跳转到雅虎的提示页面；

　　5、在超限之前，部分网民伊朗网军的黑客页面，攻击者在百度首页自称是“Iranian Cyber Army”的组织承认篡改了百度主页，并留下阿拉伯文字；

　　6、2010年1月12日上午，国内大部分城市用户和海外用户只能通过未被劫持的备用域名www.baidu.com.cn访问；

　　7、2010年1月12日上午近10点，百度相关人士出面表示，故障“还在查，目前原因不知”，此前均表示不知情或拒接电话；

　　8、2010年1月12日上午约11点起，部分地区陆续恢复正常访问；

　　9、下午起，百度正在陆续恢复域名解析，所以也出现了各地逐渐恢复访问的情况；

　　10、根据解析速度，如不出意外，全世界将在48小时内全部恢复访问。

　　二、劫持过程：

　　域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能还回正常IP地址。

　　对此，中国电子商务研究中心搜索引擎分析师卜梓琴认为，攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址。