当我今早醒来时，我不知道我会和CloudFlare、OpenDNS、Google、GoDaddy、Twitter技术人员开一整天的视频会议——Rajiv Pant（@rajivpant）2013年8月28日今天下午1点19分（PDT），一位研究人员注意到《纽约时报》的网站没有加载。我们认识《纽约时报》的技术团队，所以我们发了一封邮件去登记。几分钟后，纽约时报的首席技术官给我们回了电话。从那时起，CloudFlare团队的一小部分人就躲在一个会议室里，在清理这起黑客事件中扮演着一个小角色。注册人和注册处要了解攻击，必须了解Internet上的三个关键实体：1）注册表；2）注册器；3）递归DNS提供程序。纽约时报网位于.com顶级域（TLD）下。该TLD的注册表是Verisign。当你买了一个域名，你要买的是在TLD的注册中心设置名称服务器的权利。你可以通过注册机构购买和管理域名。纽约时报网是由一个叫梅尔布内特的登记员管理的。MelbourneIT传统上被认为是更安全的注册商之一。除《纽约时报》外，Twitter和《赫芬顿邮报》等大型网络组织也在使用它们。当你访问纽约时报网您的浏览器根据Internet的DNS网络查找域。该请求的第一步是查询递归DNS提供程序。大多数ISP提供递归DNS（这是设置wifi接入点时经常输入的两个IP地址）。还有一些来自OpenDNS和Google等公司的公共服务，它们提供全球分布的递归DNS服务，供数百万人使用。递归DNS提供者遵循DNS链，从根目录开始，然后到TLD注册中心，最后到达任何被列为域的权威名称服务器的位置。为了减轻上游的负载，递归DNS提供者将结果缓存一段时间，称为TTL。破坏DNS链中的任何步骤都将允许攻击者接管目的地为某个站点的部分或全部流量。今天就是这样。登记官妥协《纽约时报》已经公开证实，他们的注册处遭到黑客攻击，据称是叙利亚电子军。虽然我们已经与梅尔布内特取得了联系，但我们还没有关于袭击是如何完成的细节。我们知道攻击者能够更新纽约时报网未经授权，有效地劫持了网站。黑客在MelbourneIT输入的不良记录被从注册商推到了管理.com TLD的注册中心Verisign。尤其是纽约时报网站点的名称服务器在注册表中被列为ns5。邮箱安全网和ns6。邮箱安全网. 服务器的正确名称应该是域名系统.EWR1.纽约时报网以及DNS.SEA1.纽约时报网. 令人不安的是，MelbourneIT最初似乎无法更正注册表中的错误条目。

从叙利亚电子军随后在其Twitter上发布的屏幕截图来看，黑客似乎进入了梅尔布内特的行政控制面板。虽然纽约时报致力于通过MelbourneIT纠正不良记录，但我们联系了两个最大的递归DNS提供商：OpenDNS和Google。来自CloudFlare、OpenDNS和Google的技术团队在一次电话会议上发现了纽约时报网网站被重定向到互联网空间（IP地址），充满了网络钓鱼和可能的恶意软件，尽管没有看到恶意软件分布。（早些时候，这篇文章写道："……在纽约时报网根据OpenDNS的扫描结果，混淆的是IP范围包含恶意软件和网络钓鱼。OpenDNS和Google的DNS团队致力于为其递归DNS服务的客户更正黑客记录。OpenDNS团队还可以查找最近更新的其他域名，以命名叙利亚电子军队控制的服务器。我们发现了几个已经更新的域名，包括一些属于Twitter和Huffington Post的域名。如上所述，这些组织也使用了MelbourneIT，这表明妥协不仅仅是纽约时报的账户。收拾烂摊子在注册表中，Verisign回滚了对名称服务器的更改，并在纽约时报网. 这阻止了进一步的变更，即使是由书记官长发起的。虽然OpenDNS和Google的快速行动限制了对其客户的影响，但使用其他递归DNS提供商的网络冲浪者继续收到黑客攻击的结果。不幸的是，由于递归DNS服务器缓存结果一段时间，即使在更正记录之后，许多名称服务器仍然指向受影响域的错误位置。今天下午，叙利亚电子军用来作为域名服务器的主域名注册商撤销了该域名的注册。由于域上的缓存TTL相对较短，在域被吊销后不久，流量基本上停止流向受恶意软件感染的站点。这并不意味着所有被黑客攻击的网站都会重新上线。在某些地方，DNS递归器仍有缓存的坏记录。它们将在未来24小时内过期，网站流量将恢复正常。如何保护自己这是一次非常恐怖的袭击。MelbourneIT以其比大多数注册商更高的安全性而闻名。我们希望他们能在发现攻击的细节后公布，这样组织就可以了解威胁以及如何更好地保护自己。

独立记者mattherkey获得的一封电子邮件显示，黑客使用了MelbourneIT域名转售商账户作为攻击的一部分。虽然我们目前只是猜测，但墨尔本的经销商系统可能存在允许权限提升的漏洞。这种攻击方法将允许攻击者随后影响墨尔本其他IT客户拥有的域名。黑客攻击还说明了重定向网站域名系统可能造成的损害。DNS形成了互联网的核心，而不仅仅是网络。电子邮件路由也依赖于DNS将消息路由到正确的服务器。有一个明智的措施，即所有处于风险中的领域都应立即到位。您可以为您的域设置所谓的注册表锁。这就阻止了注册官自动对注册表进行更改。如果对您的域运行whois查询，如果注册表包含三个状态行：serverDeleteProhibited、serverTransferProhibited和serverUpdateProhibited，则可以查看是否有注册表锁。

注册器通常不容易请求注册表锁，因为它们使自动续订等过程变得更困难。但是，如果你有一个域可能会有风险，你应该坚持你的注册人把一个注册锁到位。值得注意的是，虽然Twitter的一些实用程序域被重定向，Twitter.com不是——而且Twitter.com有一个注册表锁。我们花时间建立技术网络，但令人欣慰的是，人类网络也是有效的。那是一个有趣的一天。。。科技界的许多优秀人才是一线希望——乔恩·奥登（@jonjoden）2013年8月28日