一、引言
6月6日凌晨02:57,阿里云核心域名aliyuncs.com被劫持指到sinkhole.shadowserver.org,导致用户无法访问阿里云多项业务,经过阿里云工程师的紧急处理,9点左右,受影响云产品全部恢复。
通过阿里云健康看板查看结果可知6月6日发生域名解析错误的具体情况,阿里云健康看板分为亚太-中国内地、亚太-其他、北美、中东、欧洲、亚太-中国港澳台、非区域性。前6个区域性故障主要是对象存储和容器镜像服务,如下图所示:
非区域性故障主要是大模型服务平台百炼、CDN及云解析DNS,如下图所示:
关于域名劫持的原因,Shadowserver 基金会是一个非营利性安全组织,多方猜测可能是因为阿里云aliyuncs.com域名下的子域名可能有被用于恶意网络行为,因此Shadowserver直接将其解析转移至自己的服务器,以阻止进一步的恶意活动。通过fofa搜索domain="aliyuncs.com"。
通过上图可以发现,主要用户来自中国、美国及中国香港,主要使用的业务是阿里云对象存储(OSS)、阿里云日志服务、阿里云消息服务、阿里开源的Web服务(Tengine)。
在日常上网活动中,用户通过输入如xx.aliyuncs.com的域名访问网站,背后却是复杂的域名系统(DNS)在发挥作用。尤其对于顶级域名(如 .com)的解析指向,其权威性和安全性至关重要。那么,究竟是谁有权限去修改 .com 域名在权威服务器中的指向地址?这个看似简单的问题,背后却牵涉到一整套互联网整个体系和多方协作机制。
二、域名解析流程
首先,我们需要明白域名是如何被解析的。当用户访问一个网站时,DNS 解析会依次经历以下步骤:
1.用户发起请求
用户通过浏览器访问网站www.baidu.com,先查询浏览器所缓存的DNS数据,如果没有,再查询hosts文件是否有对应的DNS数据。
2.本地域名服务器递归查询
如果没有缓存,本地域名服务器向根服务器发起递归查询,向根服务器询问.com的顶级域名服务器地址。
本地域名服务器就是电脑网络配置中的DNS地址,有公共的本地DNS,如114.114.114.114、8.8.8.8等,也有本地运营商的DNS,如湖北电信202.103.24.68。
3.根域名服务器响应
根域名服务器收到查询请求,会返回www.baidu.com对应的顶级域名服务器地址(如.com)给本地域名服务器。
4.顶级域名服务器响应
本地域名服务器向对应的顶级域名服务器发起查询请求,顶级域名服务器返回www.baidu.com对应的权威域名服务器地址。
5.权威域名服务器响应
本地域名服务器向对应的权威域名服务器发起查询请求,权威域名服务器返回www.baidu.com对应的IP地址。
6.本地域名服务器响应
本地域名服务器获取www.baidu.com的IP地址之后将IP地址返回给用户,用户电脑 通过该IP地址访问www.baidu.com,同时将www.baidu.com对应的IP地址写入本地域名服务器缓存。
因此,所谓“修改.com权威域名服务器的指向”,指的是修改某个.com域名在 .com 顶级域名服务器中的NS(Name Server)记录,使其指向新的权威 DNS。
三、域名服务相关知识
根据域名服务器在DNS查询过程中的不同作用,可划分为四类:
-
根域名服务器:存储根域信息,返回顶级域服务器地址,是DNS查询的起点;
-
顶级域名服务器:管理顶级域(如.com、.org),返回对应权威服务器的地址;
-
权威域名服务器:存储特定域名(如www.baidu.com)的权威记录,提供最终解析结果;
-
本地域名服务器(递归解析服务器):负责接收用户查询请求并代表用户完成迭代查询过程。
1.根域名服务器
根域名服务器主要用来管理互联网的主目录,分为IPV4和IPV6根域名服务器,IPV4根域名服务器总共13台,1个主根服务器在美国,由美国互联网机构Network Solutions运作,其余12个均为辅根服务器,其中9个在美国,2个在欧洲(位于英国和瑞典),1个在亚洲(位于日本)。根域名服务器有顶级域名的指向(如.com、.org、.cn等)。
2019年6月24日,工业和信息化部发布关于同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构的批复。根据工信部的公告,工信部同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构,负责运行、维护和管理编号分别为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器。
2015年6月由中国下一代互联网工程中心领衔发起,联合WIDE机构(现国际互联网M根运营者)、互联网域名工程中心(ZDNS)等共同创立的“雪人计划”正式发布。
2016年,“雪人计划”在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设,其中1台主根和3台辅根部署在中国,事实上形成了13台原有根加25台IPv6根的新格局。
2.顶级域名服务器
顶级域名包括国家代码顶级域名和通用顶级域名,国家代码顶级域名以国家命名结尾,比如.cn代表中国,.us代表美国,.fr代表法国;通过顶级域名主要表示注册者所在的领域,比如.com代表商业机构,.org代表组织机构,.net代表从事互联网的机构或公司,.edu代表教育机构。
3.权威域名服务器
权威域名服务器一般由域名所有者直接管理,也可以由相应的组织或机构进行管理,会给出确切的IP地址,比如www.baidu.com对应的IP地址。
四、Shadowserver是谁?
Shadowserver 基金会是一个非营利性安全组织,免费提供最及时、最关键的互联网安全数据,他的主要工作包括哪些?全球数据收集每天都会扫描整个 IPv4 互联网,有着庞大的sinkhole基础设施(aliyuncs.com被解析至sinkhole.shadowserver.org),运行着由蜜罐和蜜罐客户端组成的大规模传感器网络,持续收集威胁数据。数据处理与分析将收集到的原始数据存储在沙箱中,并分析所有检测到的恶意软件,每90天重新处理一次恶意软件样本,以定期改进检测和分类。输出安全报告每日向经过审核的订阅用户发送免费报告,帮助他们解决任何发现的网络安全问题,还可以为执法部门提供支持。
Shadowserver 与国家政府、网络提供商、企业、金融和学术机构、执法机构等合作,一是帮助国家计算机安全事件响应小组 (CSIRT) 了解他们所负责的网络的总体情况;二是与商业和科技公司、金融机构和学术界、互联网服务提供商和托管公司合作,以提高网络安全性、增强产品能力并推进威胁研究;三是与执法部门合作,帮助保护受害者,摧毁全球网络犯罪基础设施,并在攻击发生之前予以预防。国家CSIRT依靠免费每日报告,可以覆盖175 个国家和地区,每天发送扫描探测1520亿,恶意软件存储库中有恶意软件样本19亿+。配置为向“sinkhole”中的所有域名分配不可路由的地址,这样每台使用该DNS服务器的计算机都将无法访问真正的网站。DNS Sinkhole可以检测并阻止恶意流量,并用于对抗机器人程序和其他不必要的流量。
五、顶级域名.com的管理者是谁?
.com是目前最广泛使用的通用顶级域(gTLD),其管理权限掌握在美国公司VeriSign(威瑞信) 手中。VeriSign负责.com和.net等TLD的注册数据库和根区域文件的维护。所有.com域名的权威解析记录(NS 记录)都保存在VeriSign维护的TLD服务器中。
然而,VeriSign并不是直接为每一个域名所有者服务的机构。它并不直接处理大多数域名的注册、解析记录修改等操作,而是通过全球范围内的域名注册商(如 GoDaddy、Namecheap、阿里云、腾讯云等)进行协作。
VeriSign独有的DNS注册和解析基础设施专为在日益严峻的网络威胁环境中提供可靠性而构建。该网络由硬件和专用软件组成,分布在全球数百个接入点,为全球大多数电子商务企业所依赖的.com 和.net顶级域名 (TLD) 提供不间断的解析服务。
VeriSign在官网中承诺100%的解析可用性和准确性,以及严格的查询响应时间。其还为其他几个知名TLD(包括 .edu)提供注册服务,在众多注册机构中,VeriSign独一无二地运营着13个互联网根服务器中的2个,并维护、使用DNSSEC进行数字签名,然后安全地分发至互联网根区。
此次事件是因为修改了.com顶级域名服务器中aliyuncs.com对应的权限域名服务器解析记录,如果要发生这种情况,要么修改顶级域名服务中的解析记录,要么修改权威域名服务中的解析记录。具体来说,只有通过 ICANN 认证的域名注册商,以及域名注册者本人,才具备修改 .com 域名 NS 记录的权力。下面逐一说明:
1.ICANN 与域名注册商的角色
ICANN(互联网名称与数字地址分配机构) 是全球互联网域名体系的最高监管机构,负责顶级域名(包括 .com)的分发与注册政策制定。
注册商(Registrar)是ICANN授权的机构,代表用户处理域名的注册、解析、续费和 NS修改等事务。
注册局(Registry)即VeriSign,负责维护域名数据库以及 TLD 服务器的权威信息,域名注册管理机构。
当域名注册者需要修改.com 域名的权威服务器(NS 记录)时,其操作流程是:
-
注册者登录注册商后台;
-
修改域名的 NS 记录;
-
注册商将请求提交给VeriSign;
-
VeriSign更新.com的顶级域名服务器记录。
因此,从操作层面上看,只有注册商(作为VeriSign的接口方)有权限直接对.com TLD 的NS区域进行修改。
2. 域名注册者的权利
域名注册者是该域名的实际所有者,只要能通过注册商验证身份(通常通过登录账号或验证邮箱),就可以自由修改NS记录。这也是企业部署 CDN、云 WAF、分布式 DNS服务等场景中,常见的操作。
需要注意的是,NS修改虽然开放给注册者,但本质上是一项受控操作,注册商只是代为提交修改请求,而最终的更新仍由VeriSign控制的.com根服务器生效。NS记录的修改意味着该域名的“控制权”被指向了新的权威服务器。这可能带来多种后果:
-
正常用途:如切换 DNS 服务提供商、启用 CDN、接入云安全防护等;
-
恶意用途:攻击者如通过社会工程或盗号方式获得注册商控制权,也可能篡改 NS 记录,进行钓鱼、中间人攻击、DNS 劫持等。
因此,注册商普遍会对NS修改设置安全防线,如:
-
启用域名锁定(Registrar Lock);
-
绑定双因素认证;
-
提供DNSSEC支持(防止 DNS 响应被篡改);
-
通知机制,修改后发邮件通知注册者确认。
六、总结
修改.com域名在权威服务器中的指向地址,是一个权限严格、需多方协作的过程。只有域名注册者及其注册商具备实际操作权限,注册商将变更请求提交给VeriSign,由其最终更新.com顶级域名服务器上的NS记录,或由VeriSign直接修改指向。
国内看重对域名的备案管理,而国外看重对域名的监测和处罚,在执法机构要求下,当域名存在一些攻击行为、病毒木马、钓鱼网站、ddos攻击等,触发一定阈值之后,相关的系统就会将域名解析指向Shadowserver。
此次阿里云事件表明,核心基础资源必须掌握在自己手中,唯有自建根域名服务器和顶级域名服务器,才能保障域名系统的独立性与安全性。
推荐阅读
2025-06-07
2025-06-06
2025-06-05
2025-05-27
2025-05-26
2025-05-25
<本文完>
【兰花豆说网络安全】已开通知识星球,收集和分享各种网络安全资料。
原文始发于微信公众号(兰花豆说网络安全):阿里云核心域名被劫持的幕后黑手在哪里?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论