新浪科技讯 1月13日上午消息，金山信息安全技术工程师李铁军、瑞星攻防实验室经理刘思宇以及中国万网产品副总裁宋瑛桥将做客新浪，聊国内最大中文搜索引擎百度baidu.com域名遭非法篡改致大面积故障问题。 金山瑞星及万网技术专家聊百度大面积故障 媒体来源：新浪科技

　　以下为专访实录：

　　百度DNS遭到三次篡改

　　主持人权静：各位新浪网友大家好，欢迎您做客新浪科技的视频直播间，我是主持人权静。

　　相信在昨天大家都跟我有一个共同的经历，昨天早上百度的页面就无法访问，其实正式开始的时间是早上7：00左右，在北京、上海、天津、广州、山东等地很多网友都发现无法访问百度的网页，随后百度官方确认是由于www.baidu.com的域名在美国域名注册商处被非法篡改导致了不能正常访问，一直到昨天下午18：00百度才发布公告称，用户对于百度的访问在大部分的国家和地区已经恢复了正常。

　　今天早上也是消息不断，今天早上我们大家都发现有这样一条消息，1月13日早间消息，根据国外媒体的报道Google在其官方博客上宣布考虑关闭中国的域名Google.cn，这条消息更聚焦了人们对百度这家公司的关注，今天请来三位这方面的专家跟大家共同讨论一下昨天这件事情始末的原因及背后技术性的细节，跟大家做深入的解读。

　　依次介绍做客新浪的嘉宾。右手边第一位是金山信息安全技术工程师李铁军。

　　李铁军：各位网友大家好。

　　主持人：李总旁边是瑞星攻防实验室经理刘思宇，欢迎刘思宇。

　　刘思宇：各位网友大家好。

　　主持人：旁边这位是中国万网产品副总裁宋瑛桥，欢迎。

　　宋瑛桥：各位网友大家好，我是宋瑛桥。

　　主持人：今天我们首先跟大家说一说昨天这件事，网友看表面现象就是百度页面打不开，背后到底是一个什么样的原因，百度的官方说法是它的域名在美国的域名注册商处被非法篡改，这样一件事情为什么会发生？为什么在国外发生的问题会影响到中国？您先给我们详细解释一下，您是域名方面的专家。

　　宋瑛桥：其实这个过程可能需要解释一下，刚才跟几位聊大家都觉得是首页的问题，大家看到百度的首页变化，其实这个过程有几个环节，我在这里给大家介绍一下。说域名的时候大家可以看到访问一个域名，我们平时知道这是这个网站的一个入口，访问的内容关键是你看到的内容，内容和域名之间怎么对应在一起，这是关键。内容放在一个服务器上，以百度为例，把内容放在百度的搜索服务器上，而百度域名放在一个美国注册商那边做管理，中间怎么对应上？中间有一个关键的环节，就是DNS(域名解析服务器)。域名注册服务机构把域名DNS做了一个记录，让这个域名使用哪个DNS来解析，这是一个锁定关系。

　　DNS做什么？DNS有点像指挥部，决定域名当访问的时候指向哪个内容，或者通俗讲是指向哪台服务器，现在的问题是原来百度在昨天之前它的DNS服务器是用百度的，DNS.baidu.com。但是昨天早上发生的事情有人在域名注册服务上管理的环节把百度的DNS第一次篡改成雅虎，雅虎上面肯定指挥部不知道怎么指挥百度的网站怎么访问，第二次又指到hostgator，第三次又指挥到liztor.com，最后才改成百度，这个环节被篡改，大家访问百度的时候指挥部被换掉，不能访问到百度的网页，这个环节是这么一个过程。

　　主持人：我们看到表面百度无法访问，背后的一系列一原因是什么。另外两位专家给我们补充一下，黑客怎么实现这一系列的动作？难道百度就没有相关的防范措施吗？

　　李铁军：这种防范措施在本地很难防护，作为百度本身很难防护，因为它攻击的是百度的上一级别域名服务商，这个域名服务商的环节被攻破，这一层百度无法控制。当然受到影响之后，域名解析之间相互还有一个复制和缓存的机制，这种错误的信息会被传染，造成所有网友访问百度服务的时候发现找错了路，我理解DNS把它简单理解为指路牌的系统，当指路牌的系统出错了，给你指错了地方，就无法正常访问。

　　主持人：黑客怎样实现？

　　刘思宇：实现这样一个攻击过程有很多方法，以百度作为一个案例，它的域名托管在域名注册商。实际上那个网站本身存在的问题是可以导致对百度域名信息包括它的名词服务器记录，包括记录都是可以进行篡改的，这家网站本身就具备这样的权限，如果黑客获得了这家网站的权限就可以修百度的记录。还有一种可能，因为每一个互联网公司都有域名，域名都是可以管理的，持有人的信息，比如管理这个域名登录到什么页面什么样的用户名密码可以修改这个域名的记录。如果掌握这些信息的人，他个人的机密信息被窃取也是可以达到相同的效果，两个途径都可能做到。

　　宋瑛桥：我稍微解释一下，首先说一下域名本身是一个资产，本身是保管的一个地方，如果我们把它当做一个资产，我们万网也强调互联网资产，域名就是一个企业的无形互联网资产，把一个域名放在一个地方去保管，放在域名注册服务商管理，保管这套体系首先就是要有一套很强的安全体系。既然保管就像到银行保管箱一样需要有要钥匙，你有钥匙，银行的保管箱有怎样的保护措施。其实还有一个环节这里没有涉及到，域名的注册局是一个更大的保管箱，比如这次是保管所有.com域名保管箱，百度所在的注册商又是一个保管箱，百度拿着一个钥匙，这个钥匙会不会被攻击或者被其它方式窃取，还有保管箱被破坏，这都是黑客能操作的地方。这是域名本身的安全，这是这次的原因。相当于有人把保管箱打开了，把域名应该指向百度的指示部的记录，导致改成别人的指挥部，这是我们经常称作为域名劫持。这次事件主要是这样一个过程。

　　DNS缓存导致百度恢复时间较长

　　主持人：几位专家的介绍之后，我们大概了解了这次百度被黑背后的原因跟操作原理到底是什么，但是大家还注意到一个现象，页面无法开始访问一直到最后恢复正常其实用了11个小时的时间，为什么会用这么长时间？一般来说出了问题需要多长时间可以修复？

　　宋瑛桥：我解释一下，因为DNS指挥部在域名注册机构做了一个登记，baidu.com的指挥部就是由DNS.baidu.com来做。这个记录本身有一个缓存或者有一个生效时间，.com域名是48小时，当你把挥变更了之后，全球全部生效需要48个小时，这是提高效率的问题，整个互联网不可能说所有变化全都整个互联网跟着变，而是说有一个缓存机制，这样就是说在全球访问百度的时候，48小时之内都不需要看要不要改DNS。事实上这个过程就比较长。

　　第一长的原因，一个是说会发现一个现象，当别人篡改了百度的DNS第一次记录的时候不会全球都无法访问，这是一个原因，反过来恢复的时候也不会全球马上恢复，都有一个缓冲的时候，也就是全球各地作为您电脑的访问者他用的DNS有一个缓存，这是一个原因导致恢复时间比较长。

　　另外一个原因，我看整个记录的过程，百度的DNS被改了三次，最早7点这个事情发生，作为百度来讲，跟它的注册商之间肯定要去沟通，怎么样尽快恢复这个记录。但是如果看到这个过程相当于最先改成时候的没有发现，第二次改也没有发现，或者没有阻止。如果第一时间发现，第一时间跟它的注册商联系，进行阻止，就不应该出现第二次、第三次。这个时间可能是和海外注册商沟通的效率，时间差也好，沟通方式上有问题，还有注册商对baidu.com的重视程度，百度是在中国第一的访问量，这个时间上我相信有一定的影响。

　　刘思宇：实际上如果保持正常沟通，域名这条机构的修改是有保护机制，恢复信息，都是可以锁定的。但是由于这种沟通的不顺畅导致一直没有做这个工作，一直到最后才发现信息被锁定了。整个时间段里，锁定之前这种现象都一直在持续，被各种各样的修改所影响，这种情况下也是导致时间会拉长。

　　主持人：我再问一个比较通俗的问题，一旦网站发现网站被篡改域名，正常情况下如果沟通通畅多长时间可以恢复？

　　宋瑛桥：国际域名.com域名全球完全百分之百恢复是48小时。

　　刘思宇：但有时会快一些。

　　宋瑛桥：不同的地区正常是48小时，全球全部恢复。

　　主持人：基本上大面不造成很大影响快速的处理完这件事情？

　　宋瑛桥：对，但是这个里边其实也是有一些快速的过程的，要看注册局、注册商的影响力能不能做到。我还知道国内域名.cn，全球生效时间现在是6小时，在国内如果是跟CNNIC沟通一下，你认为baidu.com或者baidu.cn，处理时间可以更快，可以做一些主动的处理，不用等正常的72小时才能够实现。

　　主要如果让三位做一个评价，百度在面对这件突发事件的时候应急的反应，如果从技术角度来看技术角度怎么样？

　　李铁军：比较慢。

　　刘思宇：一家公司的域名是比较重要的资产，至少事先的保护应该做得完善，不至于到时出了问题修复的时候需要很长时间。从这件事情上来看，可以看出本身这个域名保护措施是不足的，一方面所存在的域名注册完全托管在那里，这就是一不安全的地方。这间公司之前一两年也出现过同样的问题，也是导致一个网站的内容被篡改，说明以前就存在漏洞。但是在出现了漏洞之后，比如一个银行已经被人抢过了，你还敢把自己的钱放在那儿吗？肯定觉得钱不安全，肯定放在别的地方或者挪在自己更有控制权地方。如果有了前期的保障，万一再出问题，处理问题就会快捷得多。这件事情上显而易见这件事情措手不及，这种情况下就会导致处理起来比较耗时间。

　　国内域名注册商更重视本土企业

　　主持人：这里两位提到非常关键的问题，其实百度的这件事不光是跟百度一家公司有关，也暴露了国内互联网行业在域名管理存在着潜在的风险。很多网友给我们提问，为什么百度是一家在中国市场份额很大很有影响力的公司，为什么域名会在国内那儿，而且别人攻击海外公司我们本土受到影响，难道我们自己就不能做这件事吗？

　　宋瑛桥：自己做这件事分两条来看，第一百度现在用的主域名是baidu.com，.com域名本身发展比较早，在美国那边开始起动，虽然是国际通用域名，不属于任何一个国家，但是办的比较早，在美国那边起家，域名第一层是注册局，这个注册局运营整个.com。第二层是注册商，包括万网都是注册商。第三才是客户这个层面。相当于现在如果用baidu.com，注册局在美国，不用说，但是现在注册商也选择了一个美国的公司。注册局负责对整个体系运营，不直接跟客户打交道，下面的这一层注册商是为客户服务，注册商现在国内有很多，国内域名经历14年，国内注册商也有很多了，这一点上，如果说针对baidu.com来讲可以选择一个国内注册商，在出现问题的时候，响应速度，会把百度当成一个最重要的客户来看待。

　　主持人：可以选择万网。

　　宋瑛桥：对。

　　主持人：是因为他们觉得国外的注册商水准更高，或是因为国内注册商整体发展没有达到一个很高的程度？

　　宋瑛桥：这里边肯定有两个原因，一个是有很多知名的域名是从国际上买过来的，有这种情况，所以买过来的时候，当时就在国外。

　　主持人：能搬吗？

　　宋瑛桥：可以搬。这是一个原因。第二个原因，是不是觉得国外专业一点。其实国际市场对域名商业化的管理，国内已经有14年了，应该说没有什么差距。

　　主持人：宋总是做这个的。

　　宋瑛桥：我是感觉在万网这一边其实有很多重要的网站.com域名都转到国内。

　　主持人：因为宋总做这个，我不能光听你说，还要听这两位评价一下，对于这个现象两位怎么看？

　　李铁军：百度选择海外的注册商肯定是有它自己的道路，但是对于国内来讲，它应该考虑一下可以多几个选择，DNS本身这非常重要个服务应该有备份和容错的机制，当发生问题应该比较短的时间可以很快解决问题。

　　刘思宇：实际上它的以后选择国外域名跟它成立之初本身就从美国回来成立的公司，跟这个有很大关系，当时就选择了国外的域名，我也是支持这种观点，域名如果在国内管理至少有一个好处，沟通上，别人对你重视程度肯定远远比国外一个大型注册机构好得多。万一出现事故事后的修复这种操作肯定是会更方便一些。

　　宋瑛桥：补充一点，其实如果是从在国内运营的角度来讲，有一个思路可以供百度参考，你在运营的时候能够多域名的品牌战略，不能只用一个域名。这次其实它已经很明显，说已经通过它的方法告诉大家用baidu.com.cn访问，那种服务器没有问题，随时都能访问到，只不过现在指挥部被换掉，到不了这个服务器，换一个域名就可以了。

　　主持人：国内有多少网站是有多域名服务？

　　宋瑛桥：现在第一个方式，现在很多互联网公司或者大的公司都是多域名的，会宣传一个为主。

　　主持人：比如哪几个？

　　李铁军：新浪就是，有.com，也有.cn。

　　刘思宇：有一个很明显的例子，比如Google，Google.cn，Google.com，Google.com.cn，都可以。

　　宋瑛桥：因为Google跟百度是竞争对手，Google相当于在面向中国市场后来就改成cn为主，一是考虑面向中国市场的口碑，另外，在国内域名响应服务更有保障一些。

　　主持人：最新有一个网友的留言，未必专业，但是代表很多中国人的心声。中文的域名什么时候出来？如果有中文的域名，我们就不用个英文了？

　　宋瑛桥：中文的域名是两个状态，一个是大家现在已经看到现在市场上已经有很多中文域名，已经存在，比如说中文。中国，还有中文.com已经有。中国有自己的中文域名，中文.com，2001、2003年已经开始注册，但是有第二个阶段，真正能使用现在还没有完全达到跟英文域名一样的使用。

　　李铁军：要看网民的习惯。

　　宋瑛桥：技术方面的准备工作大家也有一些关注，包括去年中国互联网信息中心已经宣布正式提出申请，我们正在拭目以待，今年第一季度有望会批准，这样大家访问中文。中国跟以前是一样的。

　　主持人：请两位病毒防范专家更多给我们介绍一下防范方面的内容。大家都在说劫持域名这样的攻击方式并不算非常高明，这是一种常见的方式吗？除了这之外还有哪些攻击的方式？

　　李铁军：引用一些黑客程序能够劫持用户的会话，会有各种各样的手段。因为用户需要访问某一个域名到目标访问正确的结果中间要经过很多路，中间的过程当中就有可能发生DNS劫持，有好几个环节。比如说在本地，可能有一个VE软件直接修改了本地HOSTS文件，把用户引入错误的地址。我们曾经接到不少投诉，某些地区的用户当他访问某些网站总是指错，这种情况挺多见。输入的是baidu.com，结果打开发现访问的是Google，还有输入Google域名发现访问的是百度。中间这个环节很有可能被黑客控制。

　　刘思宇：刚才说的是地区DNS劫持，还有一种可能DNS服务器本身，DNS解析本身在服务器运行也是一个软件，软件本身可能就会产生漏洞，如果软件本身产生安全漏洞，被攻击者发现，同样是可以达到同样DNS劫持的效果，也是以前曾经有过案例的。