阿里云核心域名被劫持的幕后黑手在哪里?

admin 2025年6月9日08:32:32评论9 views字数 4980阅读16分36秒阅读模式
阿里云核心域名被劫持的幕后黑手在哪里?

一、引言

66凌晨02:57,阿里云核心域名aliyuncs.com被劫持指到sinkhole.shadowserver.org,导致用户无法访问业务经过工程紧急处理9左右影响产品全部恢复

阿里云核心域名被劫持的幕后黑手在哪里?

通过健康看板结果可知66发生域名解析错误的具体情况云健康看板分-中国内地-其他、欧洲-中国区域6个区域性故障主要是对象存储和容器镜像服务,如所示

阿里云核心域名被劫持的幕后黑手在哪里?

阿里云核心域名被劫持的幕后黑手在哪里?

非区域故障主要大模型服务平台百炼CDN云解析DNS下图所示

阿里云核心域名被劫持的幕后黑手在哪里?

阿里云核心域名被劫持的幕后黑手在哪里?

阿里云核心域名被劫持的幕后黑手在哪里?

关于域名劫持的原因,Shadowserver 基金会是一个非营利性安全组织,多方猜测可能是因为阿里云aliyuncs.com域名下的子域名可能有被用于恶意网络行为,因此Shadowserver直接将其解析转移至自己的服务器,以阻止进一步的恶意活动。通过fofa搜索domain="aliyuncs.com"

阿里云核心域名被劫持的幕后黑手在哪里?

阿里云核心域名被劫持的幕后黑手在哪里?

通过可以发现主要用户中国美国及中国香港主要使用业务对象存储(OSS)、日志服务消息服务阿里开源Web服务Tengine

在日常上网活动中,用户通过输入如xx.aliyuncs.com的域名访问网站,背后却是复杂的域名系统(DNS)在发挥作用。尤其对于顶级域名(如 .com)的解析指向,其权威性和安全性至关重要。那么,究竟是谁有权限去修改 .com 域名在权威服务器中的指向地址?这个看似简单的问题,背后却牵涉到一整套互联网整个体系和多方协作机制。

二、域名解析流程

首先,我们需要明白域名是如何被解析的。当用户访问一个网站时,DNS 解析会依次经历以下步骤:

1.用户发起请求

用户通过浏览器访问网www.baidu.com,先查询浏览器所缓存DNS数据,如果没有,再查询hosts文件对应DNS数据。

2.本地域名服务器递归查询

如果没有缓存,本地域名服务器向根服务器发起递归查询,向根服务器询问.com的顶级域名服务器地址。

本地域名服务器就是电脑网络配置中的DNS地址,有公共的本地DNS,如114.114.114.114、8.8.8.8等,也有本地运营商的DNS,如湖北电信202.103.24.68

3.根域名服务器响应

域名服务查询请求返回www.baidu.com域名服务地址(如.com)给本地域名服务器。

4.顶级域名服务器响应

本地域名服务器向对应的顶级域名服务器发起查询请求,顶级域名服务器返回www.baidu.com对应权威域名服务地址

5.权威域名服务器响应

域名服务对应域名服务查询请求权威域名服务返回www.baidu.com对应IP地址

6.本地域名服务器响应

域名服务获取www.baidu.comIP地址之后IP地址返回用户,用户电脑 通过该IP地址访问www.baidu.com,同时www.baidu.com对应IP地址地域名服务器缓存

因此,所谓“修改.com权威域名服务器的指向”,指的是修改某个.com域名在 .com 顶级域名服务器中的NS(Name Server)记录,使其指向新的权威 DNS。

阿里云核心域名被劫持的幕后黑手在哪里?

三、域名服务相关知识

根据域名服务器在DNS查询过程中的不同作用,可划分为四类:

  • 根域名服务器:存储根域信息,返回顶级域服务器地址,是DNS查询的起点;

  • 顶级域名服务器:管理顶级域(如.com、.org),返回对应权威服务器的地址;

  • 权威域名服务器:存储特定域名(如www.baidu.com)的权威记录,提供最终解析结果;

  • 本地域名服务器(递归解析服务器):负责接收用户查询请求并代表用户完成迭代查询过程。

1.根域名服务

根域名服务器主要用来管理互联网的主目录分为IPV4IPV6域名服务IPV4域名服务总共131服务美国美国互联网机构Network Solutions运作其余12个均为辅根服务器,其中9个在美国,2个在欧洲(位于英国和瑞典),1个在亚洲(位于日本)根域名服务器有顶级域名的指向(如.com、.org、.cn等)。

阿里云核心域名被劫持的幕后黑手在哪里?

2019年6月24日,工业和信息化部发布关于同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构的批复。根据工信部的公告,工信部同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构,负责运行、维护和管理编号分别为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器

2015年6月由中国下一代互联网工程中心领衔发起,联合WIDE机构(现国际互联网M根运营者)、互联网域名工程中心(ZDNS)等共同创立的“雪人计划”正式发布。

2016年,“雪人计划”在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设,其中1台主根和3台辅根部署在中国,事实上形成了13台原有根加25台IPv6根的新格局。

阿里云核心域名被劫持的幕后黑手在哪里?

2.顶域名服务

域名包括代码域名通用顶级域名代码域名命名结尾比如.cn代表中国.us代表美国.fr代表法国通过域名主要注册领域比如.com代表商业机构.org代表组织机构.net代表从事互联机构公司,.edu代表教育机构。

3.权威域名服务

权威域名服务一般域名所有直接管理可以相应组织机构进行管理确切的IP地址比如www.baidu.com对应IP地址

四、Shadowserver是谁?

Shadowserver 基金会是一个非营利性安全组织,免费提供最及时、最关键的互联网安全数据主要工作包括哪些?数据收集每天都会扫描整个 IPv4 互联网,有着庞大的sinkhole基础设施(aliyuncs.com被解析至sinkhole.shadowserver.org),运行着由蜜罐和蜜罐客户端组成的大规模传感器网络,持续收集威胁数据。数据处理分析将收集到的原始数据存储在沙箱中,并分析所有检测到的恶意软件,每90天重新处理一次恶意软件样本,以定期改进检测和分类。输出安全报告每日向经过审核的订阅用户发送免费报告,帮助他们解决任何发现的网络安全问题,还可以为执法部门提供支持。

阿里云核心域名被劫持的幕后黑手在哪里?

Shadowserver 与国家政府、网络提供商、企业、金融和学术机构、执法机构等合作帮助国家计算机安全事件响应小组 (CSIRT) 了解他们所负责的网络的总体情况与商业和科技公司、金融机构和学术界、互联网服务提供商和托管公司合作,以提高网络安全性、增强产品能力并推进威胁研究与执法部门合作,帮助保护受害者,摧毁全球网络犯罪基础设施,并在攻击发生之前予以预防国家CSIRT依靠免费每日报告,可以覆盖175 个国家和地区每天发送扫描探测1520亿恶意软件存储库中有恶意软件样本19亿+配置为向“sinkhole”中的所有域名分配不可路由的地址,这样每台使用该DNS服务器的计算机都将无法访问真正的网站。DNS Sinkhole可以检测并阻止恶意流量,并用于对抗机器人程序和其他不必要的流量。

阿里云核心域名被劫持的幕后黑手在哪里?

五、顶级域名.com的管理者是谁

.com是目前最广泛使用的通用顶级域(gTLD),其管理权限掌握在美国公司VeriSign(威瑞信) 手中。VeriSign负责.com和.net等TLD的注册数据库和根区域文件的维护。所有.com域名的权威解析记录(NS 记录)都保存在VeriSign维护的TLD服务器中。

然而,VeriSign并不是直接为每一个域名所有者服务的机构。它并不直接处理大多数域名的注册、解析记录修改等操作,而是通过全球范围内的域名注册商(如 GoDaddy、Namecheap、阿里云、腾讯云等)进行协作。

VeriSign独有的DNS注册和解析基础设施专为在日益严峻的网络威胁环境中提供可靠性而构建。该网络由硬件和专用软件组成,分布在全球数百个接入点,为全球大多数电子商务企业所依赖的.com 和.net顶级域名 (TLD) 提供不间断的解析服务。

VeriSign在官网中承诺100%的解析可用性和准确性,以及严格的查询响应时间。其还为其他几个知名TLD(包括 .edu)提供注册服务,在众多注册机构中,VeriSign独一无二地运营着13个互联网根服务器中的2个,并维护、使用DNSSEC进行数字签名,然后安全地分发至互联网根区。

此次事件因为修改.com域名服务aliyuncs.com对应权限域名服务解析记录如果发生这种情况修改顶级域名服务解析记录修改权威域名服务解析记录具体来说,只有通过 ICANN 认证的域名注册商,以及域名注册者本人,才具备修改 .com 域名 NS 记录的权力。下面逐一说明:

1.ICANN 与域名注册商的角色

ICANN(互联网名称与数字地址分配机构) 是全球互联网域名体系的最高监管机构,负责顶级域名(包括 .com)的分发与注册政策制定。

注册商(Registrar)是ICANN授权的机构,代表用户处理域名的注册、解析、续费和 NS修改等事务。

注册局(Registry)即VeriSign,负责维护域名数据库以及 TLD 服务器的权威信息域名注册管理机构

当域名注册者需要修改.com 域名的权威服务器(NS 记录)时,其操作流程是:

  • 注册者登录注册商后台;

  • 修改域名的 NS 记录;

  • 注册商将请求提交给VeriSign;

  • VeriSign更新.com的顶级域名服务器记录。

因此,从操作层面上看,只有注册商(作为VeriSign的接口方)有权限直接对.com TLD 的NS区域进行修改。

2. 域名注册者的权利

域名注册者是该域名的实际所有者,只要能通过注册商验证身份(通常通过登录账号或验证邮箱),就可以自由修改NS记录。这也是企业部署 CDN、云 WAF、分布式 DNS服务等场景中,常见的操作。

需要注意的是,NS修改虽然开放给注册者,但本质上是一项受控操作,注册商只是代为提交修改请求,而最终的更新仍由VeriSign控制的.com根服务器生效。NS记录的修改意味着该域名的“控制权”被指向了新的权威服务器。这可能带来多种后果:

  • 正常用途:如切换 DNS 服务提供商、启用 CDN、接入云安全防护等;

  • 恶意用途:攻击者如通过社会工程或盗号方式获得注册商控制权,也可能篡改 NS 记录,进行钓鱼、中间人攻击、DNS 劫持等。

因此,注册商普遍会对NS修改设置安全防线,如:

  • 启用域名锁定(Registrar Lock);

  • 绑定双因素认证;

  • 提供DNSSEC支持(防止 DNS 响应被篡改);

  • 通知机制,修改后发邮件通知注册者确认。

六、总结

修改.com域名在权威服务器中的指向地址,是一个权限严格、需多方协作的过程。只有域名注册者及其注册商具备实际操作权限,注册商将变更请求提交给VeriSign,由其最终更新.com顶级域名服务器上的NS记录,或由VeriSign直接修改指向。

看重域名备案管理域名监测处罚,在执法机构要求下,当域名存在攻击行为病毒木马、钓鱼网站、ddos攻击等触发阈值之后,相关的系统就域名解析指向Shadowserver

此次阿里云事件表明,核心基础资源必须掌握在自己手中,唯有自建根域名服务器和顶级域名服务器,才能保障域名系统的独立性与安全性。

推荐阅读

网络安全人士必知的 AWVS 漏洞扫描工具

2025-06-07

阿里云核心域名被劫持的幕后黑手在哪里?

从阿里云域名被劫持看网络战中的无声武器

2025-06-06

阿里云核心域名被劫持的幕后黑手在哪里?

警惕!境外谍报机关对我国持续网络攻击

2025-06-05

阿里云核心域名被劫持的幕后黑手在哪里?

网络安全人士必知的sql注入靶场sqli-labs

2025-05-27

阿里云核心域名被劫持的幕后黑手在哪里?

安全迈向自主智能时代,恒脑3.0究竟为何物?

2025-05-26

阿里云核心域名被劫持的幕后黑手在哪里?

从广州某科技公司遭境外黑客攻击看BAS的重要性

2025-05-25

阿里云核心域名被劫持的幕后黑手在哪里?

<本文完>

阿里云核心域名被劫持的幕后黑手在哪里?

【兰花豆说网络安全】已开通第5群,诚邀广大网络安全同行进群指导。
阿里云核心域名被劫持的幕后黑手在哪里?

【兰花豆说网络安全】已开通知识星球,收集和分享各种网络安全资料。

阿里云核心域名被劫持的幕后黑手在哪里?

原文始发于微信公众号(兰花豆说网络安全):阿里云核心域名被劫持的幕后黑手在哪里?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月9日08:32:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   阿里云核心域名被劫持的幕后黑手在哪里?https://cn-sec.com/archives/4147505.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息