百度，大悲大喜24小时

百度被黑的故事!

百度，大悲大喜24小时

2010年1月12日，百度经历了一场“史无前例”的长达11个小时的安全保卫战。紧接着，这家中国最大的搜索引擎公司又迎来意外的“惊喜”：最大竞争对手在商业市场上宣布放弃。1月13日下午，谷歌高级副总裁多姆德在谷歌官方博客上发文表示考虑关闭“谷歌中国”网站。百度当天其股价在美国股市飙涨13.7%，并攀上纳斯达克当天的十大涨幅排行榜。

一夜之间，国内互联网搜索引擎最大的巨头百度上演了一场从大悲到大喜的惊险剧。

2010年1月12日 8:45

北京一位个人站长发现：百度在半小时内DNS（域名系统）服务器地址不断的更改，可能是DNS服务器被攻击。而更有网友称这一情况从早上7点就开始了，与此同时，更多的用户发现百度的域名被劫持到另一个页面，黑色的背景下是鲜红的英文：“This site has been hacked by Iranian Cyber Army！(该网站已被伊朗网络部队劫持)”

9:30

百度相关人士表示，百度的故障“还在查，目前原因不知”，而在全国范围内，太原、天

百度被黑的故事!

津、四川、浙江等多十几个地区的网友跟帖反映无法访问百度。对于百度来说，它的流量曲线迅速跌至谷底。在上午十点，网络故障导致“百度”成为谷歌上升最快的关键词。

10:45

百度官方表示：由于域名在美国域名注册商处被非法篡改，导致不能被正常访问，公司有关部门正在积极处理。能够正常访问。而百度同时也表示，各地在陆续恢复访问中。同时，一些来自百度各个部门的员工开始自发地在MSN签名、SNS、微博上发布信息，呼吁用户通过和IP地址202.108.22.141直接访问百度，并呼吁网友们转发相告。受此影响百度当日的股价也一路下挫，低开低走，全天收跌3.51%。

12:51

李彦宏在百度i贴吧里表示：“史无前例，史无前例呀！”相当心有余悸。实际上，从11点多开始，在北京地区的IP解析服务已恢复正常，全国其他地区的IP解析也在恢复中，尽管情况仍然不稳定，但事情在朝积极的方向发展着。

13:28

百度北京IP解析恢复正常。

14:40

伊朗官方回应：“伊朗网络部队”不代表官方立场。

16:00

有部分地区网民可以使用百度，但仍有大量网民反映：百度新闻搜索、空间、贴吧等服务仍不能通过*访问。

18:40

百度发表正式声明称，目前已解决了大部分登录问题。百度表示，攻击者并没有直接攻击百度的服务器，而是攻击了百度在美国所选择的域名服务商，并通过DNS劫持的方式完成篡改。声明称：如果这种行为不能在道德和法律的层面加以制止，未来还可能有更多的合法网站受到伤害。

1月13日 03:00（美国东部时间1月12日15:00）

谷歌高级副总裁多姆德在谷歌官方博客上发文表示考虑关闭“谷歌中国”网站。

此时的百度才刚刚从DNS被黑的阴影中走出来，立刻又陷入“大喜”的状态中，从这一消息传出以后，百度立即成为最大受益者，13日当天其股价在美国股市飙涨13.7%，并攀上

百度被黑的故事!

纳斯达克当天的十大涨幅排行榜。

2009年第三季度，百度和谷歌中国分别在中国搜索引擎市场占据63.9%和31.1%的份额，而sogou和soso分别以0.649%、0.648%的市场占有率排在第三和第四位。因此，如果谷歌真的退出中国市场，那么百度无疑将进一步巩固百度在搜索引擎的“老大”地位。

百度被篡改的页面

百度发生访问错误

2010年1月12日 8:45

北京一位个人站长发现：百度在半小时内DNS（域名系统）服务器地址不断的更改，可能是DNS服务器被攻击。而更有网友称这一情况从早上7点就开始了，与此同时，更多的用户发现百度的域名被劫持到另一个页面，黑色的背景下是鲜红的英文：“This site has been hacked by Iranian Cyber Army！(该网站已被伊朗网络部队劫持)”

百度被黑的故事!

9:30

百度相关人士表示，百度的故障“还在查，目前原因不知”，而在全国范围内，太原、天津、四川、浙江等多十几个地区的网友跟帖反映无法访问百度。对于百度来说，它的流量曲线迅速跌至谷底。在上午十点，网络故障导致“百度”成为谷歌上升最快的关键词。

10:45

百度官方表示：由于域名在美国域名注册商处被非法篡改，导致不能被正常访问，公司有关部门正在积极处理。能够正常访问。而百度同时也表示，各地在陆续恢复访问中。同时，一些来自百度各个部门的员工开始自发地在MSN签名、SNS、微博上发布信息，呼吁用户通过和IP地址202.108.22.141直接访问百度，并呼吁网友们转发相告。受此影响百度当日的股价也一路下挫，低开低走，全天收跌3.51%。

12:51

李彦宏在百度i贴吧里表示：“史无前例，史无前例呀！”相当心有余悸。实际上，从11点多开始，在北京地区的IP解析服务已恢复正常，全国其他地区的IP解析也在恢复中，尽管情况仍然不稳定，但事情在朝积极的方向发展着。

13:28

百度北京IP解析恢复正常。

14:40

伊朗官方回应：“伊朗网络部队”不代表官方立场。

16:00

有部分地区网民可以使用百度，但仍有大量网民反映：百度新闻搜索、空间、贴吧等服务仍不能通过*访问。

18:40

百度发表正式声明称，目前已解决了大部分登录问题。百度表示，攻击者并没有直接攻击百度的服务器，而是攻击了百度在美国所选择的域名服务商，并通过DNS劫持的方式完成篡改。声明称：如果这种行为不能在道德和法律的层面加以制止，未来还可能有更多的合法网站受到伤害。

1月13日 03:00（美国东部时间1月12日15:00）

百度被黑的故事!

谷歌高级副总裁多姆德在谷歌官方博客上发文表示考虑关闭“谷歌中国”网站。

此时的百度才刚刚从DNS被黑的阴影中走出来，立刻又陷入“大喜”的状态中，从这一消息传出以后，百度立即成为最大受益者，13日当天其股价在美国股市飙涨13.7%，并攀上纳斯达克当天的十大涨幅排行榜。

2009年第三季度，百度和谷歌中国分别在中国搜索引擎市场占据63.9%和31.1%的份额，而sogou和soso分别以0.649%、0.648%的市场占有率排在第三和第四位。因此，如果谷歌真的退出中国市场，那么百度无疑将进一步巩固百度在搜索引擎的“老大”地位。

百度被篡改的页面

百度发生访问错误

黑客故事：持续11个小时的“红黑”战争

百度被黑的故事!

百度被黑的背后，黑客攻击的痕迹指向了“伊朗网军”——一个伊朗民间黑客组织。“伊朗威胁论”开始在网上疯狂散布，黑客也开始有组织、有目的的开始报复行动，伊朗网站大规模瘫痪。

持续11个小时的“红黑”战争，到底发生了什么？

伊朗教育部网站陷入瘫痪

“Downling也上不了了，可恶的黑客！” 德黑兰网民Ghasem给朋友拨出电话，语气败坏地抱怨道。伊朗几个重要的网站都挂掉了，基本剥夺了他的网络生活，“除了打电话还能干什么？”

黑客开始频繁、密集地攻击伊朗政府、门户、商务网站，且相当一批已经倒下。就在十分钟前，Ghasem登陆伊朗最大的下载站点“downling”去下载HD版本的《2012》，迎接他的，是一首他听不懂的歌曲。

第一家宣告被攻击的伊朗网站是“iribu.ir”,一家研究机构网站，12日中午前后开始无法访问，出现了“Index of”的错误指向提示。由于平时PV（日浏览量）较少，并没有引起多大的关注。

随后，医药卫生部网站“diabetes.ir”、教育部子网站“ksh-behzisty.gov.ir”等政府网站接二连三无法访问，且均以“地址错误，无法访问”的形态示人，伊朗网民开始意识到事态严重。在伊朗著名论坛“Persiantool”上，短短2、3个小时的时间出现了数十个相关讨论帖。

“room98也倒下了，网络末日就快到了！”Asab在Twitter上留言，曾经留学加州的他，

百度被黑的故事!

习惯于这种美式的表达方式，虽然他的Twitter好友多数都在地球的另一端，并不了解伊朗大地上发生了什么。

“room98”是12日15时左右被攻破的，这是伊朗最大的娱乐门户网站，PV量接近千万，也是第一个遭遇攻击非官方网站。1月12日晚间的《伊朗时报》网络版特约评论文章指出，“伊朗已经进入互联网的全面防守时代”。

不过，主动防御的效果显然没有想象中那样理想。坏消息接踵而至：最大的下载站点“”、著名教育分享网站“mousavian.ir”、体育部网站“pankration.gov.ir”等都在24小时之内告破。据不完全统计，截止13日晚间，已有超过15个伊朗网站宣告瘫痪。

这是一场隐形的网络战争

“你还别说，我刚才拿下了一个小站，都还没来得及在黑基上公布”，逍遥轻描淡写地说。对于他这样的职业黑客来说，攻破小型网站就像用钥匙开门一样简单，不值得炫耀，最多拿到黑客论坛上例行公事地发布一下“成绩单”，算是对此次行动的一个交代。

记者了解到，由黑客引发的网络战争非常频繁，只不过由于这是一场没有硝烟的隐形战争，很少有人能够感受到它的激烈程度，除非专业人士。

一般来说，一场黑客对抗战有着严密的组织和规划。比如事先会通过各种网上方式吸纳各个安全论坛的黑客精英，他们有着严格的分工：首先由专人提供一份目标网址的名单，然后由黑客高手们入侵网站后台，通过注入式等方式获得管理员密码，获得管理权限后，由黑客添加自制的图片和标语，放置在被黑的页面上。

除了部署严密的多个“行动组”之外，一些个人黑客也会参与。逍遥就是其中一员。不过，逍遥也不是一个人在战斗，“和几个朋友一起玩，小站可以自己单干，大站还是需要协作”。逍遥的朋友们并不简单，都是圈子里顶尖的黑客，“他们要是出动了，就没有拿不下来的站，只是时间问题罢了”。

技术解读：百度被黑是一个警醒

百度被黑的故事!

都是DNS惹的祸

专访中国电子商务研究中心搜索引擎分析师卜梓琴

“事情已经过去了，我们不想再谈了。”在电话里，对于记者要求采访百度技术工程师如何度过这9个小时时，遭到百度婉拒。

实际上，百度此次的遭遇与去年12月18日全球最大的微博客网站Twitter被黑的情况相似，原因都是DNS被劫持！究竟什么是DNS呢？为何百度的修复过程如此之长？

电脑报：能不能通俗解释一下DNS？

卜梓琴：DNS就是“域名系统”(Domain Name System) 的缩写，这个系统主要用来命名组织到域层次结构中的计算机和网络服务。听起来很复杂，其实道理很简单，因为internet上域名与IP地址之间是一对一（或多对一）的，域名虽然便于人们记忆，但机器之间只能相互认识IP地址，它们之间的转换工作就叫做域名解析，而DNS就是进行域名解析的服务器。

电脑报：那么为什么百度域名遭遇劫持以后，国内有的网民访问得到的情况是分区域的呢？比如说有地方能够访问，有的地方却不可以。

卜梓琴：域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能还回正常IP地址。而攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地

百度被黑的故事!

址。

电脑报：我听说DNS根服务器都在国外，这也给百度的恢复造成了很大的影响？

卜梓琴：的确，目前我国没有DNS根服务器，我国的DNS请求实际上由一台台镜像服务器负责处理，镜像服务器分布于世界各地，由国家专属机构负责维护。

目前全世界用来管理互联网主目录的根服务器全世界只有13台。1个为主根服务器，放在美国。其余12个均为辅根服务器，其中9个在美国，2个在欧洲的英国和瑞典，1个在亚洲日本。而所有的根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。这也折射出中国实际上在互联网上层技术没有太多的话语权。

电脑报：有分析说百度过度迷信国外域名注册商，其实放到国内来就没这么多问题了，这个说法有道理吗？

卜梓琴：其实域名注册搬回国内只能解决表面问题，即使百度有多个域名也不能阻止黑客入侵。不过百度事件暴露了这个问题，此前互联网域名的DNS管理服务器安全性没有得到应有的重视，实际上绝大多数的域名都存在类似的安全风险，有不少安全隐患。但截至目前来看，还没有特别好的方法能够解决此类问题。

互联网战场是未来各国的必争之地，因为互联网产业直接影响国家的社会和经济等诸多领域，而百度事件就是一个最好的警醒。

商业化后的互联网需要买保险

专访互联网安全专家、中国科学院高能物理研究所计算中心研究员许榕生

电脑报：百度这次被伊朗黑客攻击，您觉得意外吗？这场攻击给产生了怎样的影响？

许榕生：看到百度被黑的消息，我觉得奇怪，不知道什么原因引起这次攻击。互联网的安全上有很多漏洞，这次百度被攻击，影响很大，企业损失也大。在此之前，已有不少企业网络上被攻击的事例，我提出，办企业要买保险的思路可以减少一些损失。

电脑报：给网站办保险似乎还比较少见吧？能够实现吗？

许榕生：IT业目前还没有网上受损可以得到保险的先例，保险公司不敢受理。遭遇天灾人祸有保险，但是在互联网上还行不通，原因是不好找证据，法律上难以认可。

电脑报：这次百度受到攻击可以寻求赔偿吗？

许榕生：我最近在研究数据证据的问题，这在国际上也是一个敏感的话题，而百度这样的事例还找不到原告，但这并不是百度安全没做好，在海外的DNS受到攻击好比中枢神经被砍断，企业无能为力。商业化后的互联网，攻击事件层出不穷，今天是百度遭到攻击，下

百度被黑的故事!

一次也许是新浪、搜狐，每一个企业都要高度关注。

不要把鸡蛋放在一个篮子里

专访金山信息安全技术工程师李铁军

电脑报：这类劫持很常见吗？百度难道没有防范措施吗？

李铁军：应该来说，此次事件中受攻击的是百度上一级的域名服务商，这种防范措施在本地很难做的，百度无法控制。当然受到影响之后，域名解析之间相互还有一个复制和缓存的机制，这种错误的信息会被传染，造成所有网友访问百度服务的时候发现找错了路，我理解DNS把它简单理解为指路牌的系统，当指路牌的系统出错了，给你指错了地方，就无法正常访问。

电脑报：百度DNS从劫持到最终恢复用了11个小时的时间，这个时间是不是有点太长了？

李铁军：这倒不是，DNS的修复时间确实会比较长，因为问题出现在DNS的托管方，那么按照流程，还需要与世界上其他的DNS进行同步，这个过程需要48个小时才能完全全球的同步。

电脑报：站在安全厂商的角度，对于企业规避这类风险，有什么好的建议？

李铁军：不要把鸡蛋放到一个篮子里，比如说把DNS的服务放在多点进行分布，尤其是一些大型企业来说，不能只把顶级域名都托管在某一个服务提供商处，如果收到入侵就很麻烦了。如果在多个地方有备份，那么影响不会扩散到全球范围。

实际上，DNS劫持的方法比较多，也比较普遍，但是百度出现的这类情况比较极端，而百度在此事件中，也管不了上一级的域名托管商。但在用户这一级别的，DNS被劫持的情况就比较多见了。比如某个电信的DNS被劫持，那么黑客会将用户引导到其他的站点，包括一些挂马网站或欺诈网站，那么这对用户来说后果不堪设想；另外就是可能会将访问引导到一些黑客想攻击的站点，那么庞大的点击率会让站点迅速崩溃。但对于此类事件，还没有太好的规避方法。

相关资料

美国控制互联网域名不安全

百度被黑的故事!

1998年10月，美国政府把互联网的管理权授予了美国一个新创立的私营公司ICANN，ICANN开始作为一个非营利性的技术协调组织负责管理全球互联网的域名系统，并负责维护互联网运行的稳定性。它同时获得了美国政府在通用顶级域名(如“.com”、“.info”等)管理方面 的授权。但美国商务部在协议备忘录中强调，美国授权其管理这13台根服务器，并且拥有随时对ICANN这一管理权的否决权。

此后，美国商务部多次承诺，一旦ICANN发展成熟，将放弃这一否决权。但在2005年7月1日，美国政府宣布，美国商务部将无限期保留对13台域名根服务器的控制权。

2006年10月，美国商务部与ICANN续签了合同，将在未来3年内继续监管ICANN。这立刻在业内掀起轩然大波。据了解，欧盟曾倡议将ICANN总部设在日内瓦，但最终没有获得美国同意。

在ICANN管理下的域名其实非常危险,如果美国政府以政治姿态对待网站,那么仅需要改动几个数据库数据,那么某一国家的网站就会在瞬间消失。

从技术角度讲，美国政府可以通过ICANN对其他国家的网络进行监控，通过截取顶级域名的解析报文，统计某个国家机要核心网站的访问流量和通信行为，分析出该国机要事务的进展状况。

可以预料的是，如果这个问题无法解决，越来越激烈的冲突可能会造成域名系统的分裂。如果网络用户在浏览器中输入www.*****.com这样的地址，可能就不一定会看到同样的网站了。

那些被黑过的国内网站

实际上，大型网站DNS劫持已非首次，早有网站被黑客入侵植入病毒的先例。

百度被黑的故事!

2000年8月31日 新浪网曾“被黑”。

2006年9月12日，百度遭黑客攻击，导致百度搜索服务在全国各地出现了近30分钟的故障，在对百度服务器执行“Ping”命令时发现域名丢包率达到100%。

2007年11月26日上午11时新浪网（）也曾出现访问故障。首页以及部分二级域名

，等均无法打开。11：03分故障修复，首页及其它频道恢复正常。

2008年12月2日 ，中国中央电视台的官方网站CCTV的音乐频道被一名自称“小波”的黑客侵入并修改了页面。

记者手记：我们还太弱势

姑且不管百度事件到底是谁制造的，但这惊心动魄的11个小时，暴露了我国网络安全的脆弱。

负责百度域名注册的是一个名为ICANN的机构，位于美国加州，管理全球IP地址的分配，虽然名义上是非盈利的组织，但仍直接对美国商务部负责。最重要的是，全球13个根服务器中包括主根服务器在内的10个均分布在美国，对互联网根服务器的实际控制，使得美国可以将任何一个敌意国家在互联网上“抹杀”掉。伊拉克战争期间，在美国政府授意下，伊拉克顶级域名“.iq”一度被封杀，伊拉克因此一度在虚拟世界中“蒸发”。

与处于网络制高点的美国相比，我们还显得太弱势。但现在意识到还不算太晚。网络安全大到关乎国家安危，小到和每家公司及网民的利益密切相连。如何避免类似网络灾难不再发生，确保网络安全值得各企业深思。

一方面企业还需要进一步提高互联网安全意识和处理突发事件的应急能力。包括企业自身的技术创新和突破，第二方面就是提高技术监管和防范，设置预警方案，比如技术处理方案、设置备用域名、公共关系处理方案等。

本文来源：https://www.bwwdw.com/article/eapj.html