阿里云核心域名被“篡改”!数百万服务陷入瘫痪长达六小时
阿里云域名劫持事件(2025年6月6日)是一次影响广泛的网络安全事故,核心问题在于其关键域名 aliyuncs.com 的解析被恶意篡改,导致多项云服务中断。以下是综合公开信息整理的事件详情与分析:
⚠️ 一、事件核心经过
劫持时间与对象
时间:2025年6月6日凌晨约2:57(北京时间)
劫持目标:阿里云核心域名
aliyuncs.com(用于对象存储OSS、CDN、云解析DNS等服务的底层域名)
。异常操作:该域名的NS记录被修改,解析指向国际非营利安全组织 Shadowserver 的服务器(
sinkhole.shadowserver.org)
。
影响范围
服务中断:依赖
aliyuncs.com的云服务(如OSS、CDN、容器镜像服务ACR)出现大范围故障,用户无法正常访问资源
。
用户波及:包括博客园在内的多个网站及企业应用瘫痪,部分海外解析被劫持至荷兰主机商LeaseWeb的IP
。
修复进展
阿里云于上午8:11完成修复,逐步恢复服务,但因DNS缓存刷新延迟,部分用户影响持续数小时
。
🔍 二、劫持技术原理与异常表现
劫持方式
NS记录篡改:攻击者通过修改域名权威DNS服务器的指向,将
aliyuncs.com的解析控制权转移到Shadowserver,导致所有解析请求被重定向
。可能的入口:推测通过域名注册商VeriSign的权限漏洞或社会工程攻击实现(具体原因未官方确认)
。
异常解析表现
用户访问阿里云服务时,域名解析返回错误的Shadowserver IP(如
104.16.XX.XX),而非阿里云真实IP
。通过
nslookup或dig工具查询aliyuncs.com时,显示非常规的NS服务器(如ns1.sinkhole.shadowserver.org)
。
📉 三、事件影响与用户应对
业务影响
服务中断:OSS文件无法读取、CDN资源加载失败、镜像拉取异常,依赖这些服务的企业应用直接瘫痪
。客户损失:部分跨境电商因海外服务中断导致广告费损失;开发者遭遇客户投诉14。
用户临时解决方案
修改Local DNS:阿里云建议用户将DNS服务器指向其公共DNS(
223.5.5.5/223.6.6.6)以绕过劫持
。Hosts文件强制解析:已知业务IP的用户可直接修改Hosts绑定
。弃用CNAME:将负载均衡(ALB/NLB)的CNAME记录改为A/AAAA记录,直连VIP地址
。
🕵️ 四、事件原因推测与争议
Shadowserver的角色
该组织通常通过“接管恶意域名”阻止网络攻击,但此次直接劫持阿里云核心域名的行为被质疑越权且过度激进
。猜测动机:可能因
aliyuncs.com下某子域名被用于恶意活动(如钓鱼),但未获官方证实
。
域名管理漏洞
阿里云未启用域名注册锁(如禁止更新锁),导致NS记录可被篡改
。注册商VeriSign的安全机制遭质疑(如权限验证不足)
。
🛡️ 五、暴露的风险与防护建议
企业级防护缺陷
核心基础设施域名缺乏多重保护(如DNSSEC、注册商锁定)
。过度依赖单一域名解析链,未设计故障隔离方案
。
防护方案升级
措施 作用 适用场景 HTTPDNS/DoH/DoT 加密DNS请求,绕过运营商Local DNS劫持 移动App、高安全业务 域名注册锁 禁止未经授权的NS/WHOIS修改 所有关键域名 多域名容灾 业务绑定多个无关域名,单点故障时快速切换 核心服务 云拨测监控 实时检测DNS劫持与页面篡改,分钟级告警 高可用业务 用户自查工具
使用阿里云运维检测平台(
zijian.aliyun.com)验证域名解析状态
。定期审计域名WHOIS记录与NS服务器状态
。
💎 总结
此次阿里云域名劫持事件暴露了核心基础设施的单一性风险与域名管理链路的脆弱性,也为企业用户敲响警钟:
短期:启用加密DNS(如HTTPDNS)和域名锁定功能,减少劫持概率;
长期:构建多地域、多服务商的容灾架构,避免单点故障扩散
。
后续阿里云需协同注册商强化权限管控,而安全机构(如Shadowserver)的干预边界亦需行业重新审视
。
请先 登录后发表评论 ~