國(guó)家頂級(jí)域名很少會(huì)落入個(gè)人手中,但在某些情況下,這是阻止網(wǎng)絡(luò)犯罪分子利用過(guò)期域名進(jìn)行犯罪的唯一途徑。
今年1月15日,Detectify公司的創(chuàng)始人兼工程部負(fù)責(zé)人Fredrik Almroth,描述了他是如何對(duì)全球頂級(jí)域名(TLDs)使用的名稱服務(wù)器記錄進(jìn)行常規(guī)掃描時(shí),發(fā)現(xiàn)一個(gè)國(guó)家代碼頂級(jí)域名(ccTLD)正處于隨時(shí)被攻擊的危險(xiǎn)中。名稱服務(wù)器是為頂級(jí)域名提供域名解析服務(wù)。
Almroth的掃描是在2020年的12月執(zhí)行的,掃描結(jié)果顯示,一個(gè)叫scpt-network.com的域名是剛果民主共和國(guó)(大約8700萬(wàn)人口)頂級(jí)域名(。cd)的名稱服務(wù)器,它的可擴(kuò)展配置協(xié)議(EPP)的狀態(tài)代碼正顯示是“贖回期”。
在一篇技術(shù)博客文章中,這位安全研究人員解釋道,他很擔(dān)憂這個(gè)發(fā)現(xiàn)并立即展開(kāi)了對(duì)這個(gè)域名的監(jiān)控。一周后,他收到了一個(gè)預(yù)警提醒,這個(gè)域名的狀態(tài)改為了“刪除掛起”,這個(gè)狀態(tài)通常用于所有者忘記續(xù)約或刻意不續(xù)約域名的情況。
01
避免災(zāi)難
一旦域名過(guò)期,威脅者就能搶占它,如此一來(lái),他們也將獲得。cd的域名服務(wù)器功能。
當(dāng)前只要能攔截通過(guò)國(guó)家代碼頂級(jí)域名(ccTLD)的流量,攻擊者就能實(shí)施DNS劫持、監(jiān)視、中間人攻擊(MitM)以及數(shù)據(jù)竊取。
.cd這個(gè)頂級(jí)域名也將面臨風(fēng)險(xiǎn),因?yàn)楣粽呖刂屏隧敿?jí)域名(TLD)就有可能接管它們,實(shí)施分布式拒接服務(wù)(DDoS)攻擊,或者滲透本地網(wǎng)絡(luò)。
Almroth 說(shuō):“作為一個(gè)終端用戶,你將不能相信任何。cd網(wǎng)站上看到的任何內(nèi)容。如果域名服務(wù)器功能被惡意使用的話,攻擊者可以利用該特權(quán)為大多數(shù)網(wǎng)站隨意頒發(fā)新的SSL/TLS證書(shū)。同樣的,文件下載等功能也可以被濫用,數(shù)據(jù)傳輸過(guò)程可以被操控。”
為了防止災(zāi)難發(fā)生,不讓域名落入別有用心的人之手,Almroth在12月30日買(mǎi)下了這個(gè)域名。于是,這位研究人員暫時(shí)地獲得了這個(gè)頂級(jí)域名大約50%的DNS流量控制權(quán)。
02
物歸原主
1月7日,這位研究人員聯(lián)系了互聯(lián)網(wǎng)號(hào)碼分配局(IANA)列出的。cd域名的聯(lián)系人,以轉(zhuǎn)移域名所有權(quán)。
雖然沒(méi)有收到后續(xù)確認(rèn),但域名事件在14小時(shí)內(nèi)得到了解決,域名服務(wù)器的代理權(quán)和流量目前都已經(jīng)被重定向了。
Almroth仍舊是scpt-network.com域名的所有人,這一事件也于1月8日?qǐng)?bào)告給了HackerOne上的互聯(lián)網(wǎng)漏洞懸賞團(tuán)隊(duì),不過(guò)截止至本文撰寫(xiě)時(shí),還沒(méi)有人與這位研究人員取得聯(lián)系。
Almroth告訴我們,他確實(shí)發(fā)現(xiàn)了關(guān)于DNS查詢的一些值得推敲的數(shù)據(jù),但“要有任何新的發(fā)現(xiàn)之前還需要進(jìn)一步的分析”。
互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)的一位發(fā)言人告訴我們,該機(jī)構(gòu)在國(guó)家代碼頂級(jí)域名(ccTLDs)管理方面的作用非常有限,因?yàn)轫敿?jí)域名“在各自的國(guó)家內(nèi)運(yùn)作,并對(duì)各自的社會(huì)大眾負(fù)責(zé)”。