纽约时报网站八月下旬遭黑客攻击的细节

伯乐在线导读:2013年8月27日(美国东部时间),包括Twitter、《纽约时报》、《赫芬顿邮报》在内的多家美国媒体的网站出现宕机,疑遭黑客组织攻击,后来一个名为“叙利亚电子军”的组织表示对袭击事件负责。在8月27日之前,美国一名高级官员称,美国政府最早将于29日对叙利亚开展为期3天的军事打击。CloudFlare 官方博客发文简要分析了这次攻击事件。(感谢 OpenCDN 团队成员@囧思八千 的热心翻译。如果其他朋友也有不错的原创或译文,可以尝试提交到伯乐在线。)

 

“早上我醒来的时候,我真心没想到今天会和CloudFlare、OpenDNS、Google、GoDaddy、Twitter的技术朋友开了一整天的视频会议。” ——纽约时报网站 CTO Rajiv Pant,8月27日 发推

在8月27日下午1:19(夏令时),一位研究者注意到纽约时报的网站无法打开。我们知道纽约时报的技术团队,于是我们发了一封电子邮件来确认。几分钟之后,纽约时报的首席技术官回复了我们。在那之后,几个CloudFlare团队成员留在会议室参与了一些清理攻击的工作。

 

域名注册商(registrars)和域名注册局(registry)

要了解这次攻击,关键要理解互联网上的三个重要的部分:域名注册、域名注册商和递归DNS服务器。NYTimes.com是.com后缀的顶级域名(top level domain)。这个顶级域名的域名注册局(registry)是Verisign。当你买了一个域名,本质上讲就是购买域名注册局的一个域名的DNS服务器设置权限。

你购买和托管域名的地方就是域名注册商(registrars),NYTimes.com托管在一家叫做MelbourneIT的域名注册商(registrars)。MelbourneIT是一家比较安全的域名注册商(registrars)。除了纽约时报,他们也为很多大站提供服务,比如Twitter和Huffington Post。

当你访问NYTimes.com的时候,浏览器会通过DNS来查出域名对应的IP。查询的第一步是将请求发往一个递归DNS服务器。绝大多数的ISP提供商(电信、联通等)都会有递归DNS服务器(就是网卡设置地方写着首选、备选的那两个IP)。当然也会有OpenDNS和Google这样的公司向全球提供免费的递归DNS服务器。

根据DNS查询链,递归DNS服务器先查询根服务器,然后是域名注册局(registry),最后是权威域名服务器(authoritative name server)来给出应答。为了减轻上游的负载,递归DNS服务器会根据域名的TTL值来进行一定时间的缓存。影响这条DNS查询链任何一个环节都能让攻击者劫持网站的部分或者全部流量,这个就是今天发生的攻击了。

 

域名注册商(registrars)的沦陷

纽约时报已经公开确认,他们的域名注册商被叙利亚电子军给黑了。虽然我们和MelbourneIT保持联络,但是我们不知道这次攻击是如何完成的。我们只知道攻击者确实绕过授权更掉了纽约时报的NS记录,然后劫持了流量。

那条在MelbourneIT被写入的不良的DNS记录,从域名注册商推送到了掌管顶级域名的域名注册局Verisign。特别要注意的是,当时在域名注册局的NS记录中,NYTimes.com的NS记录是ns5.boxsecured.com和ns6.boxsecured.com,而正确的NS记录是DNS.EWR1.NYTIMES.COM 和DNS.SEA1.NYTIMES.COM。让人郁闷的是,一开始MelbourneIT那里还没法把错的NS记录改过来。

image00

从截图可以看到叙利亚电子军随后发了推,似乎已经拿下了MelbourneIT控制面板的管理员权限。

在纠正MelbourneIT的纽约时报不良DNS记录的时候,我们联系到了两个最大的递归DNS服务提供商:OpenDNS和Google。CloudFlare、OpenDNS和Google的技术团队聚到视频会议上,发现NYTimes.com被重定向到一个全是恶意软件的钓鱼站,虽然这些恶意软件没有被证实。(此前,页面变红并且写着“发现NYTimes.com被重定向到一个恶意软件页面”,有点乱的是OpenDNS安全扫描器在NYTimes.com这个域名下扫描出恶意软件然后向用户发出告警的,会让我误以为是纽约时报本身的页面上被植入了恶意软件)。OpenDNS和Google团队马上把恶意记录给纠正过来。

OpenDNS团队同时也查看叙利亚电子军是否有对其他域名做过手脚。我们发现几个域名有被改动的痕迹,其中包括Twitter和Huffington Post。正如上面所提到的,这些网站也通过MelbourneIT注册域名,因此不单单是纽约时报的帐号被入侵。

 

清理影响

在域名注册局,Verisign回滚了NYTimes.com的NS记录,并且加了一个所谓的域名锁。这个进一步防止了在域名注册商处出现的NS记录更改。虽然OpenDNS和Google迅速作出响应使他们的用户免受影响,但是其他的递归DNS服务器仍然返回着被黑的DNS结果。不幸的是,因为递归DNS服务器会把结果缓存一段时间,即使DNS结果被纠正了,许多DNS服务器仍然把那些被黑域名指向黑站。

下午,域名注册商恢复了那些被叙利亚电子军影响的域名。由于域名的TTL缓存时间比较短,域名的DNS记录回滚阻止了恶意软件影响正常访问。不过这不意味着所有的网站都恢复了。在有些地方,递归DNS服务器还会有恶意的DNS记录。不过这些记录会在接下来的24小时内过期,然后网站就能在所有地方恢复正常。

 

如何保护你的网站

这是一个非常危险的攻击。MelbourneIT的安全防护比其他的域名注册商都要高。我们希望他们能够公开攻击的细节,那样其他网站就能明白潜在的安全威胁并且知道如何防御了。

image02

一个电子邮件被 Matther Key 获得,一个独立的新闻工作者,表明黑客通过MelbourneIT的域名经销商的帐号作为攻击的一部分。虽然我们都只是猜测,它有可能MelbourneIT的经销商系统能够提权。这个攻击方法让攻击者在提权后能够影响MelbourneIT系统下的其他用户。

这次攻击说明了通过网站DNS重定向能够造成巨大的破坏。DNS组成了互联网的心脏,不仅仅只有网页。邮件的路由,也是他通过DNS指引把信息发送到正确的服务器。

把有风险的域名马上进行处理,这是一个明智的措施。可能可以通过一个域名锁来保护你的域名,这个甚至能够防止域名注册商向域名注册局提交的一些自动的更改。如果你对你的域名进行一个WHOIS查询,如果你进行了域名锁,你可以看到三个状态:

服务禁止删除(serverDeleteProhibited)、服务禁止转移(serverTransferProhibited)、服务禁止更新(serverUpdateProhibited)。

image01

域名注册商一般不会让你申请域名锁,因为那样的话域名自动续费将会变得很困难。不过如果你的域名确实有风险,你应该坚称让域名注册商放一个域名锁在上面。值得注意的是,Twitter的一些域名被劫持重定向,但是Twitter.com没有,因为Twitter.com加了域名锁。

我们花了大量的时间建立技术网络,不过令人欣慰的是,人际网络也是想当有效的。

“真是有意思的一天……技术社区有这么多的奇人,真是一种希望。”— Jon Oden (@jonjoden) 2013年8月28日

收藏 1 评论

关于作者:囧思八千

@囧思八千 OpenCDN团队成员,OpenCDN是一套开源的CDN软件。为网站加速,建立私有的CDN节点群,每部署一个CDN节点只需5分钟,无节点数量上限! 个人主页 · 我的文章

相关文章

可能感兴趣的话题



直接登录
最新评论
  • 黄余粮 站长 2013/09/11

    很清晰的文章和译文!

    对于大多数网站而言,DNS的安全基本上是不可控的。MelbourneIT没有公布攻击细节的原因,难道是因为还有更多的DNS服务商有类似问题?(瞎猜的)

跳到底部
返回顶部