6月6日凌晨,阿里云核心域名aliyuncs.com遭到不明攻击,导致旗下对象存储、CDN等多项关键服务解析异常。
根据阿里云健康看板状态页,北京时间凌晨 02:57 阿里云发现故障;04:04 工程师已初步确认导致域名解析出现异常的原因并正在紧急处理中,受影响的云产品主要有对象存储OSS、内容分发网络CDN、容器镜像服务ACR、云解析DNS等;早上 8:11 分确认解析异常修复;08:40 受影响云产品已全部恢复。
不过,也有报道称,因为有 DNS 缓存的存在,实际上真正影响的时间会更长,也绝非只有这几个小时。例如,截止到上午9点,有用户实测,阿里云在海外的解析依然 “没有恢复”,被解析到 sinkhole.shadowserver.org 。可能是因为 DNS 缓存的原因。
此次出故障的是 aliyuncs.com 域名,因涉及阿里云核心服务,此次域名解析故障的影响范围极大,其DNS解析异常直接导致客户业务大面积停摆。据悉,知名技术社区cnblogs全国访问瘫痪,大量企业级应用陷入"404地狱",甚至波及海外用户。
Shadowserver是什么?
Shadowserver Foundation是一个非营利性安全组织,从名称上直译就是影子服务器。Shadowserver每天扫描全网并监控恶意软件,同时与美国安全机构CERT协调中心、执法机构例如FBI和欧洲刑警组织、域名管理机构ICANN合作,共同下线恶意网站。
这种下线操作是将域名强制解析到Shadowserver的服务器,这样域名产生的流量就可以被Shadowserver监控和分析,正常情况下可以用来观测恶意软件对整个互联网造成的影响。
说到这里想必你已经看出来阿里云域名解析异常的原因:aliyuncs.com 由于未知原因被劫持并强制解析到Shadowserver服务器,直接结果就是使用该域名的大量阿里云业务无法正常解析和使用。
作为全球排名前五的云计算厂商,阿里云的核心域名都被劫持着实让人惊讶,对于大型科技公司来说,多数域名都用于承载关键业务,一旦域名被劫持,造成的后果不可想象。
为什么阿里云业务被劫持?
首先aliyuncs.com这个域名的后缀是COM,该域名的注册管理机构是美国网络公司威瑞信(VeriSign,Inc.);负责管理和运营COM域名的威瑞信。
其次能够动用权力对域名强制扣押的主要是执法机构,包括FBI、欧洲刑警组织、国际刑警组织等执法机构;最后动用扣押或劫持手段时可能还需要ICANN的配合,至少ICANN是同意这种做法的,否则威瑞信不能协助执法机构进行扣押。
目前我们并不清楚具体是哪一个执法机构通过威瑞信对aliyuncs.com进行扣押,但这次事件极不寻常,按理说作为域名管理机构的威瑞信应该对大型科技公司/客户的域名有所了解,即便要配合查封域名也应该通知客户才对。
从安全角度而言,Shadowserver和执法机构的合作并无不妥,因为每天全网出现的钓鱼网站不计其数,通过合作快速扣押和封禁域名可以降低钓鱼网站造成的危害。问题在于这种协调机制是怎样的我们无法知晓。
aliyuncs.com 域名由于承载阿里云对象存储 OSS 服务,因此上面必然有恶意软件,如果检测到存在恶意软件就直接扣押域名,那整个互联网都会乱套,举个例子:sites.google.com 是谷歌为用户提供的免费协作平台,可以用这个平台轻松构建网站并发布,蓝点网在这个域名上看到的钓鱼网站数不胜数。
如果按照Shadowserver或执法机构的做法,谷歌的主域名也应该被扣押,如果谷歌主域名被扣押,可以想象这会在全球范围内造成多大的影响。
