2021-02-01 分類: 域名注冊(cè)
當(dāng)一個(gè)域名注冊(cè)過期時(shí),新用戶可以重新申請(qǐng)這些域名。但是有時(shí)候這些新用戶可能懷揣惡意。
互聯(lián)網(wǎng)域名的所有權(quán)不是永久性的。
域名會(huì)暫時(shí)分配給其所有者。一旦注冊(cè)過期,域名將會(huì)重新對(duì)公眾開放,依照先到先得的原則,等待被潛在的新用戶認(rèn)領(lǐng)。
網(wǎng)民對(duì)圍繞這一情況發(fā)生的可疑行為(有時(shí)甚至是濫用行為)并不陌生。我敢肯定,很多讀者都曾在雨天試圖再次訪問一個(gè)有趣的網(wǎng)站,但是卻看到了一個(gè)不相關(guān)的頁(yè)面,上面掛滿了廣告橫幅。這是一種利用域名剩余流量(residual traffic)的典型方法。新用戶注冊(cè)了一個(gè)過期的域名,希望舊網(wǎng)站毫無(wú)戒心的用戶群能帶來(lái)廣告收入。另一種常見的情況是模仿一個(gè)過期的網(wǎng)站,試圖對(duì)訪問者發(fā)起網(wǎng)絡(luò)釣魚攻擊。
這些都是信息安全領(lǐng)域常見的敵對(duì)場(chǎng)景。不幸的是,問題不止于此。域名不僅僅是通向網(wǎng)站的地址,也是處理網(wǎng)絡(luò)上各種資源的通用標(biāo)識(shí)符。
例如,重新申領(lǐng)一個(gè)已經(jīng)失效的域名,你將自動(dòng)獲得能夠訪問以后發(fā)到以前該地址郵箱的郵件的權(quán)限。注冊(cè)一個(gè)被棄用的DNS服務(wù)器域名,你可以將查詢客戶端重定向到你選擇的任何地址上。在一個(gè)臭名昭著的案例中,一個(gè)安全專業(yè)人士獲取了 “.io區(qū)段” 的過期服務(wù)器域名,使他能夠劫持現(xiàn)有的所有 .io 網(wǎng)站的流量。
而且還有更多的麻煩。域名在很多關(guān)鍵安全設(shè)置中起到信任錨的作用,域名常常和其他看似無(wú)關(guān)的資源聯(lián)系在一起。想象將密碼重置鏈接發(fā)送到記錄中的電子郵箱中,將能夠成功訪問該電子郵件賬戶當(dāng)做身份驗(yàn)證。像前面提到過,劫持該電子郵件域名將引發(fā)級(jí)聯(lián)效應(yīng),能夠入侵所有與該郵箱關(guān)聯(lián)的前用戶的賬戶。
對(duì)于默認(rèn)永久域名分配模型來(lái)說(shuō),有類似的安全風(fēng)險(xiǎn)。當(dāng)用戶授予一個(gè)網(wǎng)站訪問其相機(jī)、麥克風(fēng)或位置的權(quán)限時(shí),這些訪問權(quán)限都和該網(wǎng)站的域名進(jìn)行了綁定。即使該域名的所有人變更了,之前的授權(quán)將會(huì)保留,導(dǎo)致新所有者濫用用戶對(duì)該網(wǎng)站的剩余信任。而傳輸層安全性(TLS) 幾乎不能不能幫助用戶避免這些問題。TLS只驗(yàn)證域名,但不知道誰(shuí)擁有它們。如果沒有人為檢查whois記錄,用戶沒有簡(jiǎn)單的方法能在產(chǎn)生損失前發(fā)現(xiàn)域名所有權(quán)變更。
人們可以通過快速在線搜索了解一些這類引人注目的事件,但好奇的讀者可能會(huì)問這些漏洞實(shí)際被利用的可能性有多大,在現(xiàn)實(shí)中發(fā)生的頻率,以及互聯(lián)網(wǎng)用戶是否面臨真正的風(fēng)險(xiǎn)。
現(xiàn)實(shí)中,存在一個(gè)活躍并專業(yè)的域名回收系統(tǒng)。用戶可以通過眾多在線域名搶注服務(wù),在一些域名失效時(shí),從中購(gòu)買他們想要的域名。當(dāng)一個(gè)域名失效并開始對(duì)外開放的時(shí)候,搶注系統(tǒng)會(huì)調(diào)動(dòng)大量計(jì)算資源,并向注冊(cè)系統(tǒng)發(fā)出大量請(qǐng)求,和地球上所有潛在的注冊(cè)者競(jìng)爭(zhēng)。這類似于金融市場(chǎng)中的高頻交易場(chǎng)景,只不過是針對(duì)域名而非股票。
在最近,波士頓東北大學(xué)的進(jìn)行的一項(xiàng)實(shí)驗(yàn)中,證實(shí)了重新啟用舊域名高需求的風(fēng)險(xiǎn)。研究發(fā)現(xiàn),僅三家主要的搶注服務(wù)提供方就操作了75%的域名注冊(cè),并占到了域名注冊(cè)嘗試的80%。多達(dá)10%的.com和5%的.org域名在過期當(dāng)天就被重新注冊(cè)。
域名回收的第二個(gè)競(jìng)技場(chǎng)是注冊(cè)商對(duì)即將到期的域名進(jìn)行拍賣的時(shí)候。通過拍賣所得的域名構(gòu)成了特殊的威脅;它們不會(huì)經(jīng)歷典型的到期和重新注冊(cè)階段,而是從以前的所有者轉(zhuǎn)移到新的一方。因此,包括域名創(chuàng)建日期在內(nèi)的域名注冊(cè)信息不會(huì)變更,即使仔細(xì)分析whois記錄,也很難發(fā)現(xiàn)所有權(quán)發(fā)生了變化。這會(huì)帶來(lái)問題,因?yàn)樵S多商業(yè)安全產(chǎn)品、域名信譽(yù)服務(wù)和黑名單維護(hù)人員都會(huì)根據(jù)域名的年齡進(jìn)行一些決策,而較老的域名被認(rèn)為是更值得信任。
有證據(jù)表明,域名經(jīng)常更換主人,這得益于蓬勃發(fā)展的搶注和拍賣服務(wù)生態(tài)系統(tǒng)。遺憾的是,很多Internet應(yīng)用程序甚至安全機(jī)制都嚴(yán)重依賴域名所有權(quán),將其作為信任錨。域名在某種程度上通過這種方式獲得永存。展望未來(lái),安全專業(yè)人員應(yīng)該將在這種情況下存在的陷阱和風(fēng)險(xiǎn)納入威脅模型。在設(shè)計(jì)未來(lái)的系統(tǒng)時(shí),我們應(yīng)該努力發(fā)展必要的保護(hù)措施,以確保域所有權(quán)不會(huì)意外轉(zhuǎn)移,如果最終發(fā)生這種情況,應(yīng)該有完善的撤銷機(jī)制進(jìn)行回應(yīng)并將信任轉(zhuǎn)移到新的錨上。證書透明化在監(jiān)控TLS證書方面發(fā)揮了奇跡般的作用。也許我們應(yīng)該開始考慮倡議域名透明化。
當(dāng)前題目:僵尸域名注冊(cè)都有什么問題
網(wǎng)頁(yè)網(wǎng)址:http://aaarwkj.com/news32/98632.html
網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營(yíng)銷seo公司;服務(wù)項(xiàng)目有域名注冊(cè)等
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容