纽约时报网站八月下旬遭黑客攻击的细节

原文地址：http://blog.jobbole.com/47429/#wechat_redirect

伯乐在线导读：2013年8月27日（美国东部时间），包括Twitter、《纽约时报》、《赫芬顿邮报》在内的多家美国媒体的网站出现宕机，疑遭黑客组织攻击，后来一个名为“叙利亚电子军”的组织表示对袭击事件负责。在8月27日之前，美国一名高级官员称，美国政府最早将于29日对叙利亚开展为期3天的军事打击。CloudFlare 官方博客发文简要分析了这次攻击事件。（感谢 OpenCDN 团队成员@囧思八千的热心翻译。如果其他朋友也有不错的原创或译文，可以尝试提交到伯乐在线。）

“早上我醒来的时候，我真心没想到今天会和CloudFlare、OpenDNS、Google、GoDaddy、Twitter的技术朋友开了一整天的视频会议。” ——纽约时报网站 CTO Rajiv Pant，8月27日发推

在8月27日下午1:19（夏令时），一位研究者注意到纽约时报的网站无法打开。我们知道纽约时报的技术团队，于是我们发了一封电子邮件来确认。几分钟之后，纽约时报的首席技术官回复了我们。在那之后，几个CloudFlare团队成员留在会议室参与了一些清理攻击的工作。

域名注册商（registrars）和域名注册局（registry）

要了解这次攻击，关键要理解互联网上的三个重要的部分：域名注册、域名注册商和递归DNS服务器。NYTimes.com是.com后缀的顶级域名（top level domain）。这个顶级域名的域名注册局（registry）是Verisign。当你买了一个域名，本质上讲就是购买域名注册局的一个域名的DNS服务器设置权限。

你购买和托管域名的地方就是域名注册商（registrars），NYTimes.com托管在一家叫做MelbourneIT的域名注册商（registrars）。MelbourneIT是一家比较安全的域名注册商（registrars）。除了纽约时报，他们也为很多大站提供服务，比如Twitter和Huffington Post。

当你访问NYTimes.com的时候，浏览器会通过DNS来查出域名对应的IP。查询的第一步是将请求发往一个递归DNS服务器。绝大多数的ISP提供商（电信、联通等）都会有递归DNS服务器（就是网卡设置地方写着首选、备选的那两个IP）。当然也会有OpenDNS和Google这样的公司向全球提供免费的递归DNS服务器。

根据DNS查询链，递归DNS服务器先查询根服务器，然后是域名注册局（registry），最后是权威域名服务器（authoritative name server）来给出应答。为了减轻上游的负载，递归DNS服务器会根据域名的TTL值来进行一定时间的缓存。影响这条DNS查询链任何一个环节都能让攻击者劫持网站的部分或者全部流量，这个就是今天发生的攻击了。

域名注册商（registrars）的沦陷

纽约时报已经公开确认，他们的域名注册商被叙利亚电子军给黑了。虽然我们和MelbourneIT保持联络，但是我们不知道这次攻击是如何完成的。我们只知道攻击者确实绕过授权更掉了纽约时报的NS记录，然后劫持了流量。

那条在MelbourneIT被写入的不良的DNS记录，从域名注册商推送到了掌管顶级域名的域名注册局Verisign。特别要注意的是，当时在域名注册局的NS记录中，NYTimes.com的NS记录是ns5.boxsecured.com和ns6.boxsecured.com，而正确的NS记录是DNS.EWR1.NYTIMES.COM 和DNS.SEA1.NYTIMES.COM。让人郁闷的是，一开始MelbourneIT那里还没法把错的NS记录改过来。

从截图可以看到叙利亚电子军随后发了推，似乎已经拿下了MelbourneIT控制面板的管理员权限。

在纠正MelbourneIT的纽约时报不良DNS记录的时候，我们联系到了两个最大的递归DNS服务提供商：OpenDNS和Google。CloudFlare、OpenDNS和Google的技术团队聚到视频会议上，发现NYTimes.com被重定向到一个全是恶意软件的钓鱼站，虽然这些恶意软件没有被证实。（此前，页面变红并且写着“发现NYTimes.com被重定向到一个恶意软件页面”，有点乱的是OpenDNS安全扫描器在NYTimes.com这个域名下扫描出恶意软件然后向用户发出告警的，会让我误以为是纽约时报本身的页面上被植入了恶意软件）。OpenDNS和Google团队马上把恶意记录给纠正过来。

OpenDNS团队同时也查看叙利亚电子军是否有对其他域名做过手脚。我们发现几个域名有被改动的痕迹，其中包括Twitter和Huffington Post。正如上面所提到的，这些网站也通过MelbourneIT注册域名，因此不单单是纽约时报的帐号被入侵。

清理影响

在域名注册局，Verisign回滚了NYTimes.com的NS记录，并且加了一个所谓的域名锁。这个进一步防止了在域名注册商处出现的NS记录更改。虽然OpenDNS和Google迅速作出响应使他们的用户免受影响，但是其他的递归DNS服务器仍然返回着被黑的DNS结果。不幸的是，因为递归DNS服务器会把结果缓存一段时间，即使DNS结果被纠正了，许多DNS服务器仍然把那些被黑域名指向黑站。

下午，域名注册商恢复了那些被叙利亚电子军影响的域名。由于域名的TTL缓存时间比较短，域名的DNS记录回滚阻止了恶意软件影响正常访问。不过这不意味着所有的网站都恢复了。在有些地方，递归DNS服务器还会有恶意的DNS记录。不过这些记录会在接下来的24小时内过期，然后网站就能在所有地方恢复正常。

如何保护你的网站

这是一个非常危险的攻击。MelbourneIT的安全防护比其他的域名注册商都要高。我们希望他们能够公开攻击的细节，那样其他网站就能明白潜在的安全威胁并且知道如何防御了。

一个电子邮件被 Matther Key 获得，一个独立的新闻工作者，表明黑客通过MelbourneIT的域名经销商的帐号作为攻击的一部分。虽然我们都只是猜测，它有可能MelbourneIT的经销商系统能够提权。这个攻击方法让攻击者在提权后能够影响MelbourneIT系统下的其他用户。

这次攻击说明了通过网站DNS重定向能够造成巨大的破坏。DNS组成了互联网的心脏，不仅仅只有网页。邮件的路由，也是他通过DNS指引把信息发送到正确的服务器。

把有风险的域名马上进行处理，这是一个明智的措施。可能可以通过一个域名锁来保护你的域名，这个甚至能够防止域名注册商向域名注册局提交的一些自动的更改。如果你对你的域名进行一个WHOIS查询，如果你进行了域名锁，你可以看到三个状态：

服务禁止删除（serverDeleteProhibited）、服务禁止转移（serverTransferProhibited）、服务禁止更新（serverUpdateProhibited）。

域名注册商一般不会让你申请域名锁，因为那样的话域名自动续费将会变得很困难。不过如果你的域名确实有风险，你应该坚称让域名注册商放一个域名锁在上面。值得注意的是，Twitter的一些域名被劫持重定向，但是Twitter.com没有，因为Twitter.com加了域名锁。

我们花了大量的时间建立技术网络，不过令人欣慰的是，人际网络也是想当有效的。

“真是有意思的一天……技术社区有这么多的奇人，真是一种希望。”— Jon Oden （@jonjoden） 2013年8月28日