首页 > 综合案例 > 正文

谁动了我的域名?名企Ctrip与eLong域名解析故障分析
2014-11-13 19:38:03   来源:互联网   评论:0 点击:

一、事件回放2014年11月12日晚9点半左右开始,部分用户访问国内知名的两家企业的所有业务时均出现无法解析的情况,主要原因为这两家企业的...

一、事件回放

20141112日晚9点半左右开始,部分用户访问国内知名的两家企业的所有业务时均出现无法解析的情况,主要原因为这两家企业的域名状态被修改成clientHold,导致了gTLD终止了对这两个域名的授权解析。

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 1 ctrip.com域名被clientHold

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 2 ctrip.com.com的权威服务器上停止解析

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 3 elong.comclientHold

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 4 elong.com.com的权威服务器上同样被终止了解析

两家企业域名解析在次日凌晨1点后陆续恢复。

二、   故障分析:

要理解为何这两家企业的域名无法解析,我们得先了解一下域名的一些基本流程:当一个企业或用户通过域名注册商进行域名注册、修改、删除、过户等操作时,域名注册商将会通过EPP协议(extensible provisioning protocol)向注册局提交服务请求。而EPP协议中为域名定义了23种状态码以标识域名的状态。这23种状态码分为两种:clientserverClient类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新。

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 5 域名注册信息变更流程

那么为何域名被clientHold之后就会被终止解析呢?我们先来看一下ICANN对于clientHold这个状态码的解释:

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

(quote: https://www.icann.org/en/system/files/files/epp-status-codes-30jun11-en.pdf)

ICANN对于clientHold这个状态码解释是:注册局会在收到了法律方面的争端、域名没有续费或收到了删除请求的情况下,将不会再对此域名进行解析。从whois的信息中我们可以看出,这两个域名的到期时间均为2017年,所以可以排除是由于未续费所导致的。根据我们的分析,造成这次故障的原因有以下几种可能性:

1)   域名注册商收到了相关的法律诉讼,所以将域名设置成了clientHold状态:由于两家公司均为美国上市公司,而且均使用了美国注册商提供的服务。如果在当地受到了诉讼成立或者举报的话,美国法院是有权命令注册商停止该域名的解析的。这种原因有一定可能性;

2)   域名注册商的管理系统被黑,导致域名状态被修改:由于到目前为止,只有这两家公司的域名出现了这种情况。而这两家公司的注册商下面的其它域名并没有受到影响。这种原因的可能性较低;

3)   这两家公司的域名管理账号被盗,盗号者修改了域名状态为clientHold:两家公司的账号密码同时被盗,可能性同样较小。

4)   这两家公司的域名注册商内部技术故障,停止了这两家公司的域名解析。这种原因有一定可能性;

其实类似的问题在互联网行业中屡见不鲜,由于域名解析异常导致的业务无法访问的情况在国内另外一家互联网公司百度历史上也发生过,在2010112日,baidu.com的域名的授权记录被恶意篡改,导致所有百度业务均无法访问;

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 6 baidu.com域名ns被篡改,首页展示为伊朗网军页面

三、   如何避免:

EPP协议我们了解到状态码分为两种:clientserverClient类别的状态码是可以直接在注册商处进行更新,而server类的状态码是必须要到注册局才能进行更新,一旦serverUpdateProhibited被设置域名状态就不能进行变更。那么规避这种域名注册商的问题,可以通过添加域名注册局的锁来进行规避的,当添加了注册局锁的域名在进行任何操作时,均需要域名所有者通过线下流程向注册商提交相关资料(包括但不限于电话确认、邮件确认、传真确认及密保问题确认等)并确认其真实性后,由注册商向注册局提交解锁操作请求后,域名所有者才能对域名进行操作。所以建议各位域名管理员为域名均加上如下状态,虽然修改的确会麻烦点,但是安全性增强了很多; 

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 7google.com域名状态

四、   进一步思考:

那是不是只要我把域名都加上了注册局的锁之后就高枕无忧了呢?恐怕未必。传统的DNS系统的问题远不止于此,整个域名体系中涉及的面较广,包括运营商ldns,域名注册商,域名注册局,.root解析节点,.gTLD解析节点,企业域名解析节点等,中间任意一环出现问题,将会对企业域名造成巨大损失;譬如2013825日,因.cn域名解析服务器故障,而引发的大量互联网业务无法正常被访问。

谁动了我的域名?名企Ctrip与eLong域名解析故障分析

Fig 8 .cn域名服务器解析故障导致大面积网站瘫痪

在现今各互联网行业蓬勃发展、上层应用层出不穷的大环境下,主宰着整个互联网超过95%的流量的第一跳:域名解析系统(DNS)已经成了整个互联网生态的阿喀琉斯之踵。到底有没有一种技术上的方案,能从根源上解决DNS解析异常的问题,而又保证与现有域名使用方式保持兼容呢?答案当然是肯定的。 

五、   HTTPDNS服务:

这里给大家推荐“全局精细流量调度-HttpDNS服务详解”,通过直接访问配置中心获取到名字对应服务器IP的方法,完全绕过了DNS体系,这种解决方案可以非常好的解决因DNS流程中任意一环出现问题而导致的故障

相关热词搜索:域名 Ctrip eLong

上一篇:企业核心数据安全解决方案
下一篇:最后一页

分享到: 收藏