國(guó)家頂級(jí)域名很少會(huì)落入個(gè)人手中,,但在某些情況下,,這是阻止網(wǎng)絡(luò)犯罪分子利用過(guò)期域名進(jìn)行犯罪的唯一途徑。
今年1月15日,Detectify公司的創(chuàng)始人兼工程部負(fù)責(zé)人Fredrik Almroth,,描述了他是如何對(duì)全球頂級(jí)域名(TLDs)使用的名稱(chēng)服務(wù)器記錄進(jìn)行常規(guī)掃描時(shí),,發(fā)現(xiàn)一個(gè)國(guó)家代碼頂級(jí)域名(ccTLD)正處于隨時(shí)被攻擊的危險(xiǎn)中,。名稱(chēng)服務(wù)器是為頂級(jí)域名提供域名解析服務(wù),。
Almroth的掃描是在2020年的12月執(zhí)行的,掃描結(jié)果顯示,,一個(gè)叫scpt-network.com的域名是剛果民主共和國(guó)(大約8700萬(wàn)人口)頂級(jí)域名(,。cd)的名稱(chēng)服務(wù)器,它的可擴(kuò)展配置協(xié)議(EPP)的狀態(tài)代碼正顯示是“贖回期”,。
在一篇技術(shù)博客文章中,,這位安全研究人員解釋道,他很擔(dān)憂(yōu)這個(gè)發(fā)現(xiàn)并立即展開(kāi)了對(duì)這個(gè)域名的監(jiān)控。一周后,,他收到了一個(gè)預(yù)警提醒,,這個(gè)域名的狀態(tài)改為了“刪除掛起”,這個(gè)狀態(tài)通常用于所有者忘記續(xù)約或刻意不續(xù)約域名的情況,。
01
避免災(zāi)難
一旦域名過(guò)期,,威脅者就能搶占它,如此一來(lái),,他們也將獲得,。cd的域名服務(wù)器功能。
當(dāng)前只要能攔截通過(guò)國(guó)家代碼頂級(jí)域名(ccTLD)的流量,,攻擊者就能實(shí)施DNS劫持,、監(jiān)視、中間人攻擊(MitM)以及數(shù)據(jù)竊取,。
.cd這個(gè)頂級(jí)域名也將面臨風(fēng)險(xiǎn),,因?yàn)楣粽呖刂屏隧敿?jí)域名(TLD)就有可能接管它們,實(shí)施分布式拒接服務(wù)(DDoS)攻擊,,或者滲透本地網(wǎng)絡(luò),。
Almroth 說(shuō):“作為一個(gè)終端用戶(hù),你將不能相信任何,。cd網(wǎng)站上看到的任何內(nèi)容,。如果域名服務(wù)器功能被惡意使用的話,攻擊者可以利用該特權(quán)為大多數(shù)網(wǎng)站隨意頒發(fā)新的SSL/TLS證書(shū),。同樣的,,文件下載等功能也可以被濫用,數(shù)據(jù)傳輸過(guò)程可以被操控,?!?/p>
為了防止災(zāi)難發(fā)生,不讓域名落入別有用心的人之手,,Almroth在12月30日買(mǎi)下了這個(gè)域名,。于是,這位研究人員暫時(shí)地獲得了這個(gè)頂級(jí)域名大約50%的DNS流量控制權(quán),。
02
物歸原主
1月7日,這位研究人員聯(lián)系了互聯(lián)網(wǎng)號(hào)碼分配局(IANA)列出的,。cd域名的聯(lián)系人,,以轉(zhuǎn)移域名所有權(quán)。
雖然沒(méi)有收到后續(xù)確認(rèn),,但域名事件在14小時(shí)內(nèi)得到了解決,,域名服務(wù)器的代理權(quán)和流量目前都已經(jīng)被重定向了。
Almroth仍舊是scpt-network.com域名的所有人,這一事件也于1月8日?qǐng)?bào)告給了HackerOne上的互聯(lián)網(wǎng)漏洞懸賞團(tuán)隊(duì),,不過(guò)截止至本文撰寫(xiě)時(shí),,還沒(méi)有人與這位研究人員取得聯(lián)系。
Almroth告訴我們,,他確實(shí)發(fā)現(xiàn)了關(guān)于DNS查詢(xún)的一些值得推敲的數(shù)據(jù),,但“要有任何新的發(fā)現(xiàn)之前還需要進(jìn)一步的分析”。
互聯(lián)網(wǎng)名稱(chēng)與數(shù)字地址分配機(jī)構(gòu)(ICANN)的一位發(fā)言人告訴我們,,該機(jī)構(gòu)在國(guó)家代碼頂級(jí)域名(ccTLDs)管理方面的作用非常有限,,因?yàn)轫敿?jí)域名“在各自的國(guó)家內(nèi)運(yùn)作,并對(duì)各自的社會(huì)大眾負(fù)責(zé)”,。