用戶：百度在哪里啊？百度在哪里？ ***：百度就在小朋友的心里！ 用戶：銀行在哪里啊？銀行在哪里？ ***：銀行就在我家里， 這里沒有防盜門啦！這里沒有監(jiān)控啦。 只有那個會唱歌的小主頁啦。 嘀哩哩嘀哩嘀哩哩嘀哩哩 嘀哩哩嘀哩哩嘀哩嘀哩哩嘀哩哩 嘀哩哩 這里沒有門衛(wèi)啦！這里沒有保安啦。 快點輸用戶名啦、快點輸密碼啦。 合唱：￥￥$$￥$￥$$$$…… 你認(rèn)為這種銀行鈔票的保管方式可靠嗎？ 最先是指紋的方式確認(rèn)身份 然后要通過18位的密碼防護(hù)確認(rèn)，雙保險吧！而且加上幾分米鋼鐵鑄造的防盜門，的確很牢固吧？再加上外界的飛機(jī)、大炮伺候著，算是固若金湯了吧？ …… …… …… …… …… …… 但是，前提是你要確認(rèn)你在銀行之中。如果前提都不成立，就請看下面。 這個是《賭神大戰(zhàn)拉斯×××》中的一段，阿King雇傭好萊塢的導(dǎo)演布置的一個局。他布置了一個和大老千Peter自己的金庫完全一致的場景。通過各路人馬配合的情況下，大老千Peter朱也未能識破，導(dǎo)致輸入的用戶名+密碼被泄露。 當(dāng)然戲劇中的事情，我們也未必當(dāng)真，也未必引起注意。但是現(xiàn)實生活中未必就不會出現(xiàn)。 一、真假百度 2010年1月12日7點鐘左右的時候，就有好多接入用戶打電話反應(yīng)百度不能訪問了。要知道長沙的冬天，早上異常寒冷，要起床還真不容易。無奈被熱情的網(wǎng)絡(luò)用戶催促著起床，隨手打開瀏覽器，輸入www.baidu.com，嘿！還真不能用了。我著實嚇了一跳，心想不會是哪個施工隊暴力施工把校園網(wǎng)出口光纖掐斷了？隨后一轉(zhuǎn)念，施工隊也不會這么早起啊。于是趕緊輸入搜狐、educity、新浪這些網(wǎng)址，謝天謝地這些還能訪問。 于是乎用代理、使用電話撥號也不能正常訪問百度。 …… 1個小時后，結(jié)果確定了，這不是演習(xí)，百度確實被黑了，而且還上演了若干真假李逵的場景劇。 再后來，情況地球人都知道了。 二、史無前例，史無前例呀！ 8點20左右：百度域名被指向到一個黑頁面上，由于百度的巨大訪問量，該頁面所在的主機(jī)隨即被拖垮。 8點半左右：百度DNS數(shù)據(jù)被改回，但是WHOIS的查詢結(jié)果數(shù)據(jù)照舊。 9點左右：百度的DNS服務(wù)器被更換為NS8.SAN.YAHOO.COM、NS9.SAN.YAHOO.COM、YNS1.YAHOO.COM和YNS2.YAHOO.COM。由于Yahoo的反向代理啟動，百度可以正常訪問。 10點左右：***發(fā)現(xiàn)了反向代理的存在，于是DNS服務(wù)器又被修改為NS2303.HOSTGATOR.COM和NS2304.HOSTGATOR.COM。這個時候，www.baidu.com徹底不能被訪問。 之后，DNS信息被***和百度交替修改。大家的干勁都很足，比誰修改得快。而巨大網(wǎng)絡(luò)訪問量，變得躁動起來，所到之處的小網(wǎng)站均被down機(jī)。 期間百度域名服務(wù)提供商REGISTER.COM將禁止baidu.com這個域名的更新、刪除、續(xù)費（即域名狀態(tài)改為clientUpdateProhibited、 clientDeleteProhibited、clientRenewProhibited）。 12點51分，在李彥宏的i貼吧，李彥宏發(fā)出了一聲長嘆：“史無前例，史無前例呀！”。 三、百度，其實你很冤 說實在，這事吧還真不怪百度。百度也算是一流的互聯(lián)網(wǎng)公司了。吸引的IT精英自然是不計其數(shù)；公司也不差錢，據(jù)說上市那會兒，前臺都是百萬富翁，上幾十套硬件防御那自然是沒什么問題，琢磨著那個什么防火墻、IDS、IPS、WPS該上的硬件統(tǒng)統(tǒng)都給上了；我推測什么蜜罐、陷阱之類的手段也沒少使。估計就等著***、白客、花客們上套。 要怪就怪百度的域名服務(wù)提供商。服務(wù)商的系統(tǒng)有漏洞這很正常，但是反應(yīng)也比較遲鈍就說不過去了，竟然同一天被******同一目標(biāo)多次。 再說這個域名服務(wù)體系，域名服務(wù)器就好比是帶路人，用戶好比問路人。用戶要去某地，完全靠這個帶路人。***發(fā)生后，帶路人拒絕指路了或者亂指路。 四、下一個目標(biāo)，網(wǎng)上銀行 這次的***給我們提了個醒，我們的網(wǎng)上銀行還真那么安全么？這次是***個體的、無組織、無紀(jì)律的對百度進(jìn)行***；如果是大規(guī)模的、有組織、有目的的***怎么辦？ 可以設(shè)想一下，將來某一天M國某組織***了某頂級域名服務(wù)器；然后，C國所有銀行的域名指向一一被修改，而且M國針對C國的所有網(wǎng)上銀行一一對應(yīng)構(gòu)建高仿真的網(wǎng)站；之后，凡是登錄C國網(wǎng)上銀行的用戶的用戶名和密碼均被泄露了。這種情況下，C國的損失會小么？ 圖中，喜羊羊的密碼不知不覺中就被灰太狼得到了，后果很嚴(yán)重。 五、國內(nèi)網(wǎng)銀該怎么辦？ 問題已經(jīng)出現(xiàn)，目前就要開始補救。提幾點補救辦法： 1.所有網(wǎng)上銀行、金融機(jī)構(gòu)全部改。com域名為。cn域名。 所有網(wǎng)上銀行、金融機(jī)構(gòu)域名全部改為。cn結(jié)尾的域名方式。 由于，cn域名的根服務(wù)器完全在國內(nèi)（感謝錢天白教授），全部使用CN域名，這種方式可以最大程度保證國內(nèi)用戶使用網(wǎng)上銀行的安全，極大的避免了域名劫持情況的發(fā)生。從本次百度域名劫持事件中來看，只有www.baidu.com.cn，這種以cn結(jié)尾的域名，才免受***。 而且，根域名服務(wù)器在國內(nèi)，遭受***后。各部門可以很方便的、協(xié)同從源頭調(diào)查原因并解決問題。 2.所有網(wǎng)上支付與轉(zhuǎn)賬必須使用U盾 在日常生活中，在互聯(lián)網(wǎng)瀏覽、游戲中也難免會出現(xiàn)用戶名和密碼泄露的情況。因此，強制要求使用U盾才能轉(zhuǎn)賬、交易的方式可以極大的避免用戶名和密碼丟失后，資金不被轉(zhuǎn)移。這也是對付域名劫持的一個有效手段。 3.開發(fā)安全的DNS服務(wù)體系 從現(xiàn)有的DNS服務(wù)體系來看，域名劫持方式雖然不是新技術(shù)，但從破壞性和偽裝性兩個方面來看確實非常有效。因此開發(fā)一個安全的DNS服務(wù)體系勢在必行。 遠(yuǎn)看忽忽悠悠，近看飄飄搖搖 遠(yuǎn)看忽忽悠悠，近看飄飄搖搖。 有人說是葫蘆，有人說是瓢。 二人打賭河邊瞧，但看網(wǎng)絡(luò)***何時能了。 參考文獻(xiàn)： 1. 月光博客。百度被伊朗***攻陷[EB/OL].月光博客。 http://www.williamlong.info/archives/2052.html 2. 李彥宏。李彥宏的i貼吧[EB/OL].百度網(wǎng)。 http://tieba.baidu.com/i/61000391/p/1793449?pn=1 3. 百度淪陷 DNS域名劫持問題再次凸現(xiàn)（多圖） [EB/OL].51cto網(wǎng)。 http://netsecurity.51cto.com/art/201001/177401.htm 4. 中國、伊朗爆發(fā)民間網(wǎng)絡(luò)戰(zhàn)[EB/OL].金融時報網(wǎng)。 http://www.ftchinese.com/comments/index/001030769?page=1 5. 金山毒霸安全專家解析DNS劫持[EB/OL].csdn網(wǎng)。 http://safe.csdn.net/n/20100112/6080.html 6. 百度被***事件始末：折射域名安全工作薄弱[EB/OL]. csdn網(wǎng)。 http://news.csdn.net/a/20100113/216443.html 7. 百度換了奇怪的首頁！[EB/OL].通信人家園。 http://www.txrjy.com/viewthread.php?tid=374322&extra=&page=1 8. DNSPod詳解百度故障：域名注冊商程序存漏洞[EB/OL]. csdn網(wǎng)。 http://news.csdn.net/a/20100112/216439.html

轉(zhuǎn)載于:https://blog.51cto.com/121511/265869

總結(jié)

以上是生活随笔為你收集整理的百度之后，电子银行还安全么？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。