云曾于2025年6月6日发生核心域名aliyuncs.com被劫持事件,导致OSS、CDN等多项服务全球性故障,部分流量被指向安全组织服务器,该问题已修复,但DNS缓存延迟影响恢复
阿里云DNS被劫持事件详解
2025年6月6日凌晨,阿里云核心域名aliyuncs.com遭遇罕见的域名劫持事件,该域名是阿里云多项关键服务的基础,包括对象存储服务(OSS)、内容分发网络(CDN)、容器镜像服务(ACR)以及云解析DNS等,此次攻击导致这些核心云服务出现大范围故障,波及众多依赖阿里云服务的网站和应用,如知名技术论坛博客园无法正常访问,大量企业应用跳出404错误,业务中断、数据传输受阻。
| 受影响的服务 | 具体表现 |
|---|---|
| 对象存储(OSS) | 无法上传/下载文件 |
| CDN | 出现大面积空白页面 |
| ACR(容器镜像服务) | 拉取请求集体超时 |
| 云解析DNS | 域名解析异常,导致网站无法访问 |
此次事件不仅影响了国内用户,还波及海外用户,由于DNS缓存机制的特性,部分区域在修复后仍持续受到影响。
DNS劫持原理与原因分析
- 什么是DNS劫持?:DNS劫持是指在浏览器访问网站时,恶意程序或黑客将域名解析到错误的IP地址,导致用户无法正常访问网站或被导向其他网站的情况,这种攻击通常发生在网络中的某个节点处,通过修改本地DNS缓存或篡改DNS服务器的响应来实现。
- 本次事件的可能原因
- 安全组织的干预:一种观点认为,可能是aliyuncs.com域名下的子域名被用于恶意网络行为,国际非营利安全组织Shadowserver为阻止进一步的恶意活动,直接将其解析转移至自己的服务器(sinkhole.shadowserver.org),这种做法被认为过于激进,因为阿里云作为全球知名的云服务商,其域名关联到广泛的业务;
- 注册商的问题:另有分析认为,事件可能与域名注册商VeriSign有关,推测阿里云的域名被“takedown”(下架),修复过程涉及与VeriSign协商撤回操作并锁定权限,但这一说法尚未得到官方证实;
- 其他可能性:还有可能是由于网络设置错误、路由器劫持或运营商问题导致的DNS劫持,考虑到阿里云的技术实力和安全防护措施,这种情况的可能性相对较小。
事件经过与应对措施
- 时间线
- 02:57:阿里云监控系统检测到aliyuncs.com域名解析出现异常;
- 04:04:工程师确认异常原因为域名解析配置被篡改,部分海外流量被重定向至sinkhole.shadowserver.org;
- 08:11:官方宣布修复完成,但由于DNS缓存机制,部分区域延迟恢复;
- 08:40:所有服务恢复正常。
- 阿里云的应对措施
- 迅速响应:在发现异常后,阿里云立即启动应急预案,组织工程师进行排查和修复;
- 发布官方声明:通过官方渠道确认故障原因及修复进展,对受影响的用户表示歉意;
- 提供应急建议:为用户提供了一系列应急措施,如将负载均衡的CNAME记录改为A记录或AAAA记录,直接指向VIP地址;客户端修改本地DNS服务器为223.5.5.5;手动调整hosts文件绑定固定IP等。
- 用户的自救措施
- 修改DNS设置:用户可以尝试更换为其他可信的DNS服务器,如Google Public DNS或Cloudflare DNS等,以避免遭受恶意DNS劫持;
- 清除本地DNS缓存:有时本地计算机上的DNS缓存可能会导致解析错误,清除缓存可以解决这个问题;
- 联系技术支持:如果以上方法都无效,用户应立即联系阿里云的技术支持团队,报告问题并寻求进一步的帮助。
影响与启示
- 对企业的影响
- 业务中断:许多企业的在线业务依赖于阿里云的服务,此次故障导致这些业务无法正常运行,造成了巨大的经济损失;
- 数据丢失风险:在故障期间,一些正在进行的数据传输可能会中断,存在数据丢失的风险;
- 信任度下降:频繁出现此类事件可能会降低用户对云服务提供商的信任度,促使他们考虑多云策略或混合云部署。
- 对行业的启示
- 加强域名管理:云服务提供商应进一步加强域名管理机制,确保核心域名的安全性;
- 建立容灾预案:企业和开发者应建立完善的容灾预案,包括备用DNS配置、跨云备份和快速切换机制,以应对类似的突发情况;
- 提高安全意识:用户需要加强对自有域名的保护,例如定期检查注册信息、启用域名锁,或选择更安全的DNS服务商。
相关问题与解答
Q1: 为什么会出现DNS劫持? A1: DNS劫持通常是由恶意程序或黑客通过修改本地DNS缓存或篡改DNS服务器的响应来实现的,他们可以将域名解析到错误的IP地址,从而控制用户的网络流量,有时安全组织为了阻止恶意网络行为,也可能会采取类似的措施,但这种方式如果处理不当,也可能会影响到正常业务。
Q2: 如何防止DNS劫持? A2: 为了防止DNS劫持,用户可以采取以下措施:一是使用可信的DNS服务器,如Google Public DNS或Cloudflare DNS;二是定期清除本地DNS缓存;三是启用操作系统和浏览器的安全功能,防止恶意软件篡改DNS设置;四是及时更新操作系统和应用程序,修补已知的安全漏洞,对于企业来说,还可以考虑建立多云策略或混合云部署,分散单一服务商的风险。
阿里云DNS被劫持事件为我们敲响了警钟,提醒我们在享受云计算带来的便利的同时,也要关注网络安全和稳定性,只有通过加强防护、建立容灾预案和提高安全意识