◎ 文 《法人》雜志全媒體記者 王茜
近日,某知名云服務(wù)商監(jiān)控發(fā)現(xiàn),關(guān)鍵業(yè)務(wù)核心域名之一出現(xiàn)定位故障,異常狀態(tài)持續(xù)將近6個(gè)小時(shí)����。此域名為該云廠商核心服務(wù)的統(tǒng)一域名����,涵蓋多項(xiàng)核心產(chǎn)品�����,服務(wù)多行業(yè)客戶����,用來承載包括OSS對(duì)象存儲(chǔ)�����、CDN內(nèi)容分發(fā)網(wǎng)絡(luò)����、ACR容器鏡像服務(wù)、DNS云解析等�。該域名被解析到未知區(qū)域后,以上業(yè)務(wù)訪問全部受影響����。這一事件凸顯了域名安全在復(fù)雜的網(wǎng)絡(luò)環(huán)境下所面臨的嚴(yán)峻挑戰(zhàn)。如何建立自主可控的網(wǎng)絡(luò)根基已迫在眉睫�。
▲制圖/宋逗
DNS濫用,是一種對(duì)域名系統(tǒng)的攻擊方式�����,目的通常是為了干擾、破壞或非法訪問網(wǎng)絡(luò)資源�����,通過操縱域名解析過程進(jìn)行惡意活動(dòng)�����,比如����,制造虛假信息����、釣魚網(wǎng)站、傳播不良信息等����。因DNS濫用會(huì)干擾正常的網(wǎng)絡(luò)服務(wù),甚至盜取個(gè)人信息�����,給網(wǎng)絡(luò)生態(tài)帶來嚴(yán)重的破壞。這種攻擊手段的日益猖獗�����,已經(jīng)成為全球網(wǎng)絡(luò)安全的重大挑戰(zhàn)�。
DNS濫用是網(wǎng)絡(luò)安全新挑戰(zhàn)
上述事件發(fā)生后,多方猜測(cè)�,該核心域名下的子域名可能被“劫持”,用于惡意網(wǎng)絡(luò)行為�。據(jù)了解,該域名的注冊(cè)服務(wù)機(jī)構(gòu)被直接變更為RoLR�����,域名指向shadowserver服務(wù)器�����,直接結(jié)果就是使用該域名的大量業(yè)務(wù)無法正常解析和使用����。可見�����,出現(xiàn)定位故障的域名很可能是在云服務(wù)商不知情的情況下,被域名注冊(cè)管理機(jī)構(gòu)停服�。
根據(jù)公開資料,RoLR是互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)ICANN批復(fù)的域名注冊(cè)服務(wù)機(jī)構(gòu)�,專門接收各國各個(gè)執(zhí)法機(jī)構(gòu)、安全機(jī)構(gòu)執(zhí)法的濫用域名�。而Shadowserver是一家成立于美國的國際非營利安全組織,從名稱上直譯為“影子服務(wù)器”�,免費(fèi)提供最及時(shí)、最關(guān)鍵的互聯(lián)網(wǎng)安全數(shù)據(jù)�。
由于DNS濫用嚴(yán)重,全球監(jiān)管機(jī)構(gòu)更加看重對(duì)域名的監(jiān)測(cè)和處罰����,在執(zhí)法機(jī)構(gòu)要求下,當(dāng)域名存在一些攻擊行為�����、病毒木馬����、釣魚網(wǎng)站�、ddos攻擊等,觸發(fā)一定閾值后�,相關(guān)系統(tǒng)就會(huì)發(fā)出警告�,并通過投訴到相關(guān)域名管理機(jī)構(gòu)將域名解析指向Shadowserver�。
“當(dāng)前,域名面臨監(jiān)管�、政策、法律�、操作、合規(guī)和技術(shù)等不同視角的風(fēng)險(xiǎn)�����?����!睂iT為中國品牌百強(qiáng)企業(yè)提供品牌保護(hù)服務(wù)的域名注冊(cè)服務(wù)商中域智科CEO王春雷在接受《法人》記者采訪時(shí)表示�,具體侵權(quán)形式包括惡意批量注冊(cè)、釣魚域名�、遭黑客濫用用語釣魚攻擊、惡意搶注�����、被強(qiáng)制性轉(zhuǎn)移業(yè)務(wù)等�。而域名被劫持是域名安全領(lǐng)域典型問題之一。
王春雷從事域名行業(yè)25年以上�����,他分析,當(dāng)前侵權(quán)特征呈現(xiàn)以下幾方面顯著趨勢(shì):
一是惡意域名批量注冊(cè)行為猖獗�����,形成規(guī)?����;謾?quán)鏈條�;二是新注冊(cè)域名存在較高濫用風(fēng)險(xiǎn),尤其在新客戶群體中尤為突出����;三是子域名DNS濫用問題嚴(yán)重,成為黑客滲透的重要突破口�;四是注冊(cè)人針對(duì)DNS濫用暫停的申訴流程缺乏透明度,維權(quán)難度加?����?����;五是惡意軟件與僵尸網(wǎng)絡(luò)引發(fā)的侵權(quán)事件處理周期冗長�,給企業(yè)造成持續(xù)威脅。
此外�����,近期部分頭部品牌企業(yè)遭遇域名訪問中斷�����、強(qiáng)制轉(zhuǎn)移等惡性事件�����,進(jìn)一步敲響網(wǎng)絡(luò)安全警鐘����。
2024年網(wǎng)絡(luò)釣魚安全報(bào)告數(shù)據(jù)顯示,當(dāng)前網(wǎng)絡(luò)域名侵權(quán)態(tài)勢(shì)觸目驚心:全年共發(fā)生189萬次釣魚攻擊事件����,子域名濫用增長率高達(dá)51%。在87.8萬個(gè)惡意注冊(cè)域名中�,42%的釣魚域名源自新頂級(jí)域名,暴露出網(wǎng)絡(luò)防護(hù)體系的潛在漏洞。
域名的管理權(quán)限在誰手上
日常上網(wǎng)活動(dòng)中�����,用戶通過輸入核心域名訪問網(wǎng)站����,背后是復(fù)雜的域名系統(tǒng)(DNS)在發(fā)揮作用。尤其對(duì)于頂級(jí)域名(如.com)的解析指向�����,其權(quán)威性和安全性至關(guān)重要����。究竟是誰有權(quán)限修改域名在權(quán)威服務(wù)器中的指向地址?這個(gè)看似簡(jiǎn)單的問題����,背后牽涉到互聯(lián)網(wǎng)整個(gè)體系和多方協(xié)作機(jī)制。
10年前的46.com域名被盜事件�����,給域名領(lǐng)域從業(yè)人員留下了深刻印象����,該事件導(dǎo)致某注冊(cè)商出現(xiàn)嚴(yán)重的安全漏洞,上百個(gè)域名被惡意轉(zhuǎn)出�����。由于當(dāng)時(shí)發(fā)現(xiàn)得比較晚�,錯(cuò)過了走域名轉(zhuǎn)移爭(zhēng)議流程TDRP(2004年ICANN頒布的域名轉(zhuǎn)移爭(zhēng)議解決規(guī)則)的時(shí)間,所以域名仍在海外注冊(cè)商處無法追回����。此案于今年5月在浙江省杭州市中級(jí)人民法院以一審判決畫下句號(hào):某知名域名托管平臺(tái)被判賠償500余萬元給域名用戶。該案也是國內(nèi)首例因平臺(tái)安全失守����,導(dǎo)致域名被盜的判決。
對(duì)于注冊(cè)并繳費(fèi)的域名�����,用戶真的擁有管理權(quán)嗎�?其實(shí),大多數(shù)企業(yè)和機(jī)構(gòu)對(duì)自己注冊(cè)的域名����,只有使用權(quán)����,并沒有完全的管理權(quán)�����。
近日�,互聯(lián)網(wǎng)域名系統(tǒng)國家工程研究中心(ZDNS)收到一封律師函,要求將相關(guān)域名變更注冊(cè)機(jī)構(gòu)并轉(zhuǎn)移解析指向����。函件大致內(nèi)容為:G公司向美國當(dāng)?shù)胤ㄔ禾崞鹪V訟,請(qǐng)求發(fā)起禁令并采取措施阻止“BadBox2.0”僵尸網(wǎng)絡(luò)�����。
BadBox2.0是一款惡意軟件�,在全球范圍內(nèi)感染了數(shù)以百萬計(jì)的物聯(lián)網(wǎng)設(shè)備,形成了一個(gè)龐大的僵尸網(wǎng)絡(luò)�,被網(wǎng)絡(luò)犯罪分子用于各類惡意活動(dòng)。
律師函還列舉了存在風(fēng)險(xiǎn)的域名及域名注冊(cè)服務(wù)機(jī)構(gòu)����。為阻斷BadBox2.0蔓延,要求域名注冊(cè)服務(wù)機(jī)構(gòu)和/或域名注冊(cè)管理機(jī)構(gòu)�����,在不得聯(lián)系或通知注冊(cè)人的情況下采取以下行動(dòng):對(duì)律師函件所列出的域名,予以變更域名注冊(cè)服務(wù)機(jī)構(gòu)����,并把域名指到特定網(wǎng)站······
在這封律師函件所附的100多個(gè)域名名單中�����,域名注冊(cè)服務(wù)機(jī)構(gòu)有12家�,其中包括了文章開頭提到的案例。函件特別指出�����,這一事件的背后原因似乎已浮出水面�����,并表明“若對(duì)自己的域名沒有完整或可靠的管理權(quán)����,即使擁有再先進(jìn)的技術(shù)、設(shè)備����、系統(tǒng)�����,也始終處于被動(dòng)之地”�。為避免更多機(jī)構(gòu)因此遭受損失,ZDNS披露部分調(diào)研結(jié)果警示,域名注冊(cè)用戶應(yīng)加強(qiáng)域名管理風(fēng)險(xiǎn)防范�。
ZDNS總經(jīng)理邢志杰指出,金融安全無小事,網(wǎng)絡(luò)基礎(chǔ)設(shè)施為基石。第三方風(fēng)險(xiǎn)傳導(dǎo)可能威脅核心業(yè)務(wù)。域名管理權(quán)受制于國際治理體系�����。企業(yè)自有技術(shù)防護(hù)手段未能有效覆蓋風(fēng)險(xiǎn)�����。此次前述國內(nèi)某云服務(wù)提供商的事件表明����,核心基礎(chǔ)資源必須掌握在自己手中�,唯有自建根域名服務(wù)器和頂級(jí)域名服務(wù)器,才能保障域名系統(tǒng)的獨(dú)立性與安全性�。
域名注冊(cè)用戶����,因缺乏域名管理權(quán)�,可能導(dǎo)致以下三大風(fēng)險(xiǎn):可能因連帶責(zé)任被停服;聯(lián)合網(wǎng)絡(luò)安全治理�,或?qū)е峦7粺o申訴期被動(dòng)停服����。
記者了解到�����,國內(nèi)云服務(wù)廠商在其主域名下�,向全球用戶提供服務(wù),可能會(huì)被黑客組織或不法分子使用其產(chǎn)品和服務(wù)從事違法活動(dòng)����,觸犯他國法律,被涉及連帶責(zé)任導(dǎo)致主域名被停服�����。同樣����,國內(nèi)的社交����、視頻�����、電子商務(wù)�、網(wǎng)絡(luò)銀行等互聯(lián)網(wǎng)服務(wù)平臺(tái),也存在連帶風(fēng)險(xiǎn)�����。
相關(guān)法律文件中�����,明確提出域名停服的流程�,可見,為阻止因網(wǎng)絡(luò)風(fēng)險(xiǎn)蔓延對(duì)原告的損失�����,國際司法界通過域名注冊(cè)管理機(jī)構(gòu)和域名注冊(cè)服務(wù)機(jī)構(gòu)對(duì)域名停服,已經(jīng)成為國際上處理網(wǎng)絡(luò)安全問題的通用手段�����。
需構(gòu)建全網(wǎng)管控體系
當(dāng)前�,三大問題掣肘域名安全:頂級(jí)域名占位不足,安全監(jiān)測(cè)被動(dòng)�,應(yīng)急機(jī)制不健全。
ICANN統(tǒng)計(jì)�,中國境內(nèi)500強(qiáng)企業(yè)僅擁有5個(gè)品牌頂級(jí)域名,與全球500強(qiáng)企業(yè)僅占8席的印度����,所擁有的品牌頂級(jí)域名數(shù)量一致�����,遠(yuǎn)落后于有著98個(gè)品牌頂級(jí)域名的美國及日本�����、德國�����、英國�、法國等國家�����。許多中國企業(yè)在域名安全監(jiān)測(cè)方面存在不足�����,無法及時(shí)發(fā)現(xiàn)域名注冊(cè)信息的異常變動(dòng)�、DNS劫持等風(fēng)險(xiǎn)����。缺乏有效的安全監(jiān)測(cè)手段,使得企業(yè)在面對(duì)域名安全威脅時(shí)�����,往往處于被動(dòng)防御狀態(tài)�����,難以及時(shí)采取措施應(yīng)對(duì)�����。部分企業(yè)沒有建立完善的域名應(yīng)急機(jī)制,在遇到域名故障或安全事件時(shí)�,無法迅速作出響應(yīng)并采取有效的恢復(fù)措施。這導(dǎo)致故障影響時(shí)間延長�,給企業(yè)帶來更大損失。
為應(yīng)對(duì)這個(gè)問題�����,各國政府�����、企業(yè)����、研究機(jī)構(gòu)和民間組織都在努力加強(qiáng)立法和技術(shù)防護(hù),提升對(duì)DNS濫用的檢測(cè)和打擊能力����。
在我國�,有嚴(yán)格的法律法規(guī)規(guī)范網(wǎng)絡(luò)行為,保護(hù)網(wǎng)絡(luò)安全�����。同時(shí)����,也有強(qiáng)大的技術(shù)研發(fā)實(shí)力,建立了完善的DNS安全防護(hù)體系�����。此外�,中國政府和企業(yè)也非常重視公眾的DNS安全意識(shí)。通過各種渠道向公眾普及網(wǎng)絡(luò)安全知識(shí)�,提醒大家要提高警惕,防范DNS濫用的風(fēng)險(xiǎn)����。
此外,“需要構(gòu)建全網(wǎng)管控體系�,建立高效故障恢復(fù)能力”。王春雷對(duì)記者說:
“域名系統(tǒng)是網(wǎng)絡(luò)的核心服務(wù)�����,是應(yīng)用調(diào)度的樞紐�����,因此必須構(gòu)建全方位、立體化的域名安全監(jiān)測(cè)體系�����。一方面����,需對(duì)域名注冊(cè)信息實(shí)施實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)域名過期�、DNS劫持等潛在風(fēng)險(xiǎn)。通過智能預(yù)警系統(tǒng)����,在風(fēng)險(xiǎn)發(fā)生前發(fā)出警報(bào),提醒企業(yè)采取防范措施�。另一方面,要從根服務(wù)器����、頂級(jí)域服務(wù)器到二級(jí)及以下權(quán)威服務(wù)器、遞歸服務(wù)器�,開展全鏈路監(jiān)測(cè)����。借助大數(shù)據(jù)分析和人工智能技術(shù)����,對(duì)監(jiān)測(cè)數(shù)據(jù)進(jìn)行深度挖掘與分析����,提前預(yù)測(cè)潛在風(fēng)險(xiǎn),為企業(yè)安全決策提供有力支撐����。”
“在我國的司法體系中����,DNS劫持行為并不僅是承擔(dān)相應(yīng)的民事責(zé)任,視其后果�,可能還應(yīng)承擔(dān)相應(yīng)的行政及刑事法律責(zé)任?���!北本┙鹫\同達(dá)(上海)律師事務(wù)所高級(jí)合伙人張?jiān)蒲鄬?duì)記者表示,在刑事責(zé)任方面�����,劫持DNS的行為屬于破壞計(jì)算機(jī)信息系統(tǒng)的行為�����。刑法第286條以及相應(yīng)司法解釋已經(jīng)對(duì)其行為方式,行為對(duì)象以及危害結(jié)果作出明確規(guī)定����。若進(jìn)行DNS劫持行為的同時(shí),還伴隨著其他的行為�����,將可能構(gòu)成犯罪競(jìng)合�����,構(gòu)成其他關(guān)聯(lián)犯罪�。如非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪(劫持過程中竊取用戶賬號(hào)密碼等數(shù)據(jù)),詐騙罪(將用戶導(dǎo)向假冒網(wǎng)站實(shí)施詐騙)�����,幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪(為博彩����、詐騙網(wǎng)站提供劫持技術(shù)支持)等。即使劫持DNS行為�����,未達(dá)到刑事責(zé)任要求的危害結(jié)果����,根據(jù)網(wǎng)絡(luò)安全法第二十七、六十三條�����,公安機(jī)關(guān)也可以對(duì)未構(gòu)成犯罪的該行為處以警告�����,罰款或行政拘留等行政處罰�。因此,不論是該DNS劫持行為本身對(duì)于社會(huì)的危害性�,還是該行為所導(dǎo)致的相應(yīng)法律責(zé)任,都是非常嚴(yán)重的�����。
責(zé)編|白 馗
編審|渠 洋
校對(duì)|張 波 張雪慧
來源|《法人》雜志2025年07月總第257期
