百幸物流軟件鏈接不上的原因�,大部分是電信運(yùn)營(yíng)商造成的�����。
為什么這么說(shuō)呢����?
114DNS在電信運(yùn)營(yíng)商那關(guān)聯(lián)的DNS異常監(jiān)測(cè)系統(tǒng)發(fā)現(xiàn):數(shù)百萬(wàn)用戶正在被DNS釣魚(yú)���,黑客可在安全軟件無(wú)感知的情況下輕易騙取帳號(hào)密碼����!為防止更多用戶的DNS被篡改����,提醒您修改寬帶路由器默認(rèn)口令,修改方法詳見(jiàn) 114dns.com/alert.html
來(lái)自百幸的技術(shù)部服務(wù)記錄:當(dāng)某個(gè)用戶鏈接不上報(bào)告給我們的時(shí)候�,我們立刻遠(yuǎn)程桌面到服務(wù)器上�����,可以正常登陸服務(wù)器。這說(shuō)明服務(wù)器的網(wǎng)絡(luò)是正常的��。(遠(yuǎn)程桌面�,就是遠(yuǎn)程訪問(wèn)其他電腦����,像操作自己電腦一樣的界面)�。稍微懂一點(diǎn)的朋友會(huì)懷疑IIS解析出問(wèn)題了�,對(duì)此我們也經(jīng)過(guò)了很長(zhǎng)時(shí)間的驗(yàn)證�,最后采取的方法很簡(jiǎn)單就能說(shuō)明IIS沒(méi)有問(wèn)題�����。我們把21318.com.cn和bx56w.com通過(guò)兩個(gè)IP解釋,相當(dāng)于兩個(gè)網(wǎng)線鏈接同一個(gè)網(wǎng)站,當(dāng)一個(gè)域名不能訪問(wèn)時(shí),另一個(gè)域名卻正常�。這也被大多數(shù)用戶驗(yàn)證了���。
我們請(qǐng)教了國(guó)內(nèi)網(wǎng)絡(luò)問(wèn)題專家����,專家說(shuō)“用戶訪問(wèn)網(wǎng)站���,必須通過(guò)DNS解析才能到達(dá)網(wǎng)站,正常的DNS遞歸解析像是一條長(zhǎng)鏈�,任何一個(gè)環(huán)節(jié)出故障都會(huì)導(dǎo)致域名解析失敗而影響上網(wǎng)”。 黑客用筆記本電腦�,通過(guò)幾行簡(jiǎn)單的C++代碼����,就能攻擊大面積的網(wǎng)站造成癱瘓�����。
電信運(yùn)營(yíng)商對(duì)大部分網(wǎng)絡(luò)安全問(wèn)題都具備“超強(qiáng)”的忍耐力,但惡意DNS除了給用戶造成巨大的安全隱患之外��,還會(huì)降低用戶訪問(wèn)網(wǎng)絡(luò)資源的速度從而導(dǎo)致其用戶的投訴率上升���,電信運(yùn)營(yíng)商難以容忍這雙重痛苦�,所以聯(lián)合騰訊百度阿里114DNS����,使出BGP牽引大殺器:
中國(guó)電信聯(lián)合騰訊百度阿里114DNS加強(qiáng)DNS安全之技術(shù)詳解
DNS是整個(gè)互聯(lián)網(wǎng)的基礎(chǔ)�,無(wú)論是個(gè)人還是大小互聯(lián)網(wǎng)公司,都可能因?yàn)镈NS被惡意篡改而蒙受損失��。惡意DNS的影響太大��,除了對(duì)安全造成巨大隱患還會(huì)降低用戶訪問(wèn)網(wǎng)絡(luò)資源的速度,因而連一向忍耐力超強(qiáng)的電信運(yùn)營(yíng)商都無(wú)法容忍伸向DNS的黑手���,第一次因此而大范圍啟用了BGP牽引���。
BGP牽引的實(shí)質(zhì)為電信運(yùn)營(yíng)商廣播出長(zhǎng)掩碼高優(yōu)先級(jí)路由,表現(xiàn)為直接奪取黑客的公網(wǎng)IP地址��,無(wú)論黑客的設(shè)備躲在全球任何角落都奏效(對(duì)付固定IP做惡的能力�,如果將安全廠商的軟件比作常規(guī)武器,電信運(yùn)營(yíng)商的BGP牽引就如同核武)�����,但BGP牽引這招的威力過(guò)大、搞不好容易產(chǎn)生后遺癥����,因而僅能在自身的網(wǎng)絡(luò)范圍內(nèi)謹(jǐn)慎使用。
黑客利用大部分人不修改家用寬帶路由器默認(rèn)用戶名密碼這一疏忽�����,引誘人們?nèi)g覽其控制的WEB網(wǎng)頁(yè)從而修改了幾百萬(wàn)個(gè)家用寬帶路由器的DNS�����,靠DHCP協(xié)議從家用寬帶路由器自動(dòng)獲取DNS的PC及通過(guò)WiFi上網(wǎng)的手機(jī)����,長(zhǎng)期使用黑客的DNS,沒(méi)有任何網(wǎng)絡(luò)安全可言���,如下圖所示:
114DNS為電信運(yùn)營(yíng)商搭建了專門(mén)的BGP-DNS系統(tǒng)���,該BGP-DNS系統(tǒng)可直接向電信骨干路由器注入32位掩碼的高優(yōu)先級(jí)BGP路由,電信運(yùn)營(yíng)商核心路由器接受該BGP路由并在自身的網(wǎng)絡(luò)內(nèi)進(jìn)行受限廣播����。例如某惡意DNS的IP地址為某國(guó)IP_A��,BGP-DNS廣播出IP_A的32位掩碼BGP路由之后�,原本流向惡意DNS的流量被將會(huì)被BGP-DNS“吸過(guò)去”�,在阿里、百度�、騰訊等公司的授權(quán)下,BGP-DNS系統(tǒng)將訪問(wèn)量較大的網(wǎng)頁(yè)主機(jī)名如www.taobao.com����、www.tmall.com���、www.baidu.com�����、user.qzone.qq.com 解析成特別的IP地址�,阿里�����、百度����、騰訊各自為此架設(shè)了專門(mén)的警示W(wǎng)EB服務(wù)器�����。
DNS被惡意篡改過(guò)的用戶�,例如DNS被篡改為IP_A的用戶去訪問(wèn)www.taobao.com時(shí)���,無(wú)法再看到淘寶的正常網(wǎng)頁(yè)�����、卻看到了淘寶的警示網(wǎng)頁(yè)如下圖�����,用戶可按警示頁(yè)面的引導(dǎo)修復(fù)其家用寬帶路由器的DNS�����。目前�,DNS被惡意篡改過(guò)的大部分中國(guó)電信用戶,只有修復(fù)其路由器的DNS并重啟PC之后��,才能去淘寶購(gòu)物,迫使用戶提升網(wǎng)絡(luò)安全���,同時(shí)也改善用戶訪問(wèn)網(wǎng)絡(luò)資源的速度(因惡意DNS對(duì)CDN也很不友好)。
為避免DNS再次被黑客篡改����,一定要修改家用寬帶路由器的默認(rèn)用戶名和密碼,否則就算現(xiàn)在修復(fù)了�,DNS還是很可能再次被黑客篡改,修改用戶名密碼的方法請(qǐng)參見(jiàn):http://www.114dns.com/alert.html 之 “操作演示”。
建議DNS還沒(méi)有被篡改的人,抓緊時(shí)間去修改家用寬帶路由器的默認(rèn)用戶名和密碼����。從目前電信運(yùn)營(yíng)商的BGP-DNS流量來(lái)看,晚高峰黑客曾承載高達(dá)每秒10萬(wàn)次的DNS請(qǐng)求���,這個(gè)量太大了���,希望大家謹(jǐn)慎����。
114DNS公布此技術(shù)細(xì)節(jié)����,主要目的有二����,(1)滿足技術(shù)人員的探索需求��,同時(shí)消除部分人對(duì)騰訊百度阿里��、特別是對(duì)電信運(yùn)營(yíng)商本次DNS整治工作積極行為的誤解;(2)斷絕黑客大規(guī)模篡改DNS的念想:電信運(yùn)營(yíng)商BGP-DNS上的幾條命令就可將黑客苦心經(jīng)營(yíng)的DNS一鍋端��。
2013年10月16日��,114DNS@南京