2020年3月,中国互联网遭遇了一起大范围的DNS劫持攻击事件,知名电商及综合平台京东、天猫等多家大型网站在全国多个省份出现无法正常访问或被恶意重定向的情况。受影响的用户覆盖中国移动、中国联通、中国电信三大运营商以及中国教育和科研计算机网(CERNET),影响范围之广、波及用户之多,在国内互联网历史上极为罕见。
用户遭遇:从无法访问到恶意重定向
据大量用户在网络论坛和社交媒体上的反馈,当他们尝试通过浏览器访问京东、天猫等网站时,页面要么长时间无响应,要么被自动跳转至完全陌生的第三方页面或广告平台。技术爱好者通过抓包分析发现,问题出在DNS解析环节:这些热门域名的正常IP地址被替换为攻击者控制的IP,导致用户请求被”劫持”到恶意服务器。值得注意的是,同一时间通过海外网络访问这些网站时一切正常,说明攻击发生在国内网络基础设施层面,而非源站本身被入侵。初步估计此次事件影响用户规模达百万级别。
攻击链路与技术分析
网络安全技术人员分析认为,此次事件极可能属于针对运营商递归DNS服务器或省级DNS节点的中间人攻击(MITM)。攻击者通过某种方式污染了DNS缓存记录,使得合法域名的解析结果被篡改。这种攻击模式不需要入侵目标网站本身,而是利用了互联网底层基础设施中的信任链条漏洞——正如一位安全工程师所比喻的:”攻击者没有撬锁,而是直接冒充了门牌号管理员。”事件充分暴露了互联网关键基础设施对DNS系统的高度依赖以及该依赖中蕴含的系统性风险。
基础设施安全建设的长期课题
DNS劫持事件为中国的互联网治理与基础设施安全敲响了警钟。事后,多家大型互联网企业加速推进了DNSSEC(域名系统安全扩展)的部署,部分运营商开始加强对递归DNS服务器的安全监测。然而,行业专家指出,DNS安全问题的解决非一朝一夕之功,它要求从根服务器、顶级域到递归解析器的全链路协同升级。在万物互联时代,任何一处基础设施的薄弱环节,都可能成为影响亿万用户正常生活秩序的”阿喀琉斯之踵”。推动互联网基础设施安全标准从可选走向强制,已刻不容缓。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- 安全圈:2020年3月网络劫持事件报道
- FreeBuf安全社区:DNS劫持事件分析
- CN-SEC中文网:基础设施安全事件回顾
暂无评论内容