法治号
◎ 文 《法人》杂志全媒体记者 王茜
近日,某知名云服务商监控发现,关键业务核心域名之一出现定位故障,异常状态持续将近6个小时。此域名为该云厂商核心服务的统一域名,涵盖多项核心产品,服务多行业客户,用来承载包括OSS对象存储、CDN内容分发网络、ACR容器镜像服务、DNS云解析等。该域名被解析到未知区域后,以上业务访问全部受影响。这一事件凸显了域名安全在复杂的网络环境下所面临的严峻挑战。如何建立自主可控的网络根基已迫在眉睫。
▲制图/宋逗
DNS滥用,是一种对域名系统的攻击方式,目的通常是为了干扰、破坏或非法访问网络资源,通过操纵域名解析过程进行恶意活动,比如,制造虚假信息、钓鱼网站、传播不良信息等。因DNS滥用会干扰正常的网络服务,甚至盗取个人信息,给网络生态带来严重的破坏。这种攻击手段的日益猖獗,已经成为全球网络安全的重大挑战。
DNS滥用是网络安全新挑战
上述事件发生后,多方猜测,该核心域名下的子域名可能被“劫持”,用于恶意网络行为。据了解,该域名的注册服务机构被直接变更为RoLR,域名指向shadowserver服务器,直接结果就是使用该域名的大量业务无法正常解析和使用。可见,出现定位故障的域名很可能是在云服务商不知情的情况下,被域名注册管理机构停服。
根据公开资料,RoLR是互联网名称与数字地址分配机构ICANN批复的域名注册服务机构,专门接收各国各个执法机构、安全机构执法的滥用域名。而Shadowserver是一家成立于美国的国际非营利安全组织,从名称上直译为“影子服务器”,免费提供最及时、最关键的互联网安全数据。
由于DNS滥用严重,全球监管机构更加看重对域名的监测和处罚,在执法机构要求下,当域名存在一些攻击行为、病毒木马、钓鱼网站、ddos攻击等,触发一定阈值后,相关系统就会发出警告,并通过投诉到相关域名管理机构将域名解析指向Shadowserver。
“当前,域名面临监管、政策、法律、操作、合规和技术等不同视角的风险。”专门为中国品牌百强企业提供品牌保护服务的域名注册服务商中域智科CEO王春雷在接受《法人》记者采访时表示,具体侵权形式包括恶意批量注册、钓鱼域名、遭黑客滥用用语钓鱼攻击、恶意抢注、被强制性转移业务等。而域名被劫持是域名安全领域典型问题之一。
王春雷从事域名行业25年以上,他分析,当前侵权特征呈现以下几方面显著趋势:
一是恶意域名批量注册行为猖獗,形成规模化侵权链条;二是新注册域名存在较高滥用风险,尤其在新客户群体中尤为突出;三是子域名DNS滥用问题严重,成为黑客渗透的重要突破口;四是注册人针对DNS滥用暂停的申诉流程缺乏透明度,维权难度加剧;五是恶意软件与僵尸网络引发的侵权事件处理周期冗长,给企业造成持续威胁。
此外,近期部分头部品牌企业遭遇域名访问中断、强制转移等恶性事件,进一步敲响网络安全警钟。
今年4月,zoom.us作为链接全球在线会议系统的域名被中断访问了两个小时,导致全球用户无法用zoom开会。其主要原因在于zoom.us所在注册商传递给.us域名注册局的指令错误,导致zoom.us域名解析中断。
2024年网络钓鱼安全报告数据显示,当前网络域名侵权态势触目惊心:全年共发生189万次钓鱼攻击事件,子域名滥用增长率高达51%。在87.8万个恶意注册域名中,42%的钓鱼域名源自新顶级域名,暴露出网络防护体系的潜在漏洞。
域名的管理权限在谁手上
日常上网活动中,用户通过输入核心域名访问网站,背后是复杂的域名系统(DNS)在发挥作用。尤其对于顶级域名(如.com)的解析指向,其权威性和安全性至关重要。究竟是谁有权限修改域名在权威服务器中的指向地址?这个看似简单的问题,背后牵涉到互联网整个体系和多方协作机制。
10年前的46.com域名被盗事件,给域名领域从业人员留下了深刻印象,该事件导致某注册商出现严重的安全漏洞,上百个域名被恶意转出。由于当时发现得比较晚,错过了走域名转移争议流程TDRP(2004年ICANN颁布的域名转移争议解决规则)的时间,所以域名仍在海外注册商处无法追回。此案于今年5月在浙江省杭州市中级人民法院以一审判决画下句号:某知名域名托管平台被判赔偿500余万元给域名用户。该案也是国内首例因平台安全失守,导致域名被盗的判决。
对于注册并缴费的域名,用户真的拥有管理权吗?其实,大多数企业和机构对自己注册的域名,只有使用权,并没有完全的管理权。
近日,互联网域名系统国家工程研究中心(ZDNS)收到一封律师函,要求将相关域名变更注册机构并转移解析指向。函件大致内容为:G公司向美国当地法院提起诉讼,请求发起禁令并采取措施阻止“BadBox2.0”僵尸网络。
BadBox2.0是一款恶意软件,在全球范围内感染了数以百万计的物联网设备,形成了一个庞大的僵尸网络,被网络犯罪分子用于各类恶意活动。
律师函还列举了存在风险的域名及域名注册服务机构。为阻断BadBox2.0蔓延,要求域名注册服务机构和/或域名注册管理机构,在不得联系或通知注册人的情况下采取以下行动:对律师函件所列出的域名,予以变更域名注册服务机构,并把域名指到特定网站······
在这封律师函件所附的100多个域名名单中,域名注册服务机构有12家,其中包括了文章开头提到的案例。函件特别指出,这一事件的背后原因似乎已浮出水面,并表明“若对自己的域名没有完整或可靠的管理权,即使拥有再先进的技术、设备、系统,也始终处于被动之地”。为避免更多机构因此遭受损失,ZDNS披露部分调研结果警示,域名注册用户应加强域名管理风险防范。
ZDNS总经理邢志杰指出,金融安全无小事,网络基础设施为基石。第三方风险传导可能威胁核心业务。域名管理权受制于国际治理体系。企业自有技术防护手段未能有效覆盖风险。此次前述国内某云服务提供商的事件表明,核心基础资源必须掌握在自己手中,唯有自建根域名服务器和顶级域名服务器,才能保障域名系统的独立性与安全性。
域名注册用户,因缺乏域名管理权,可能导致以下三大风险:可能因连带责任被停服;联合网络安全治理,或导致停服;无申诉期被动停服。
记者了解到,国内云服务厂商在其主域名下,向全球用户提供服务,可能会被黑客组织或不法分子使用其产品和服务从事违法活动,触犯他国法律,被涉及连带责任导致主域名被停服。同样,国内的社交、视频、电子商务、网络银行等互联网服务平台,也存在连带风险。
相关法律文件中,明确提出域名停服的流程,可见,为阻止因网络风险蔓延对原告的损失,国际司法界通过域名注册管理机构和域名注册服务机构对域名停服,已经成为国际上处理网络安全问题的通用手段。
需构建全网管控体系
当前,三大问题掣肘域名安全:顶级域名占位不足,安全监测被动,应急机制不健全。
ICANN统计,中国境内500强企业仅拥有5个品牌顶级域名,与全球500强企业仅占8席的印度,所拥有的品牌顶级域名数量一致,远落后于有着98个品牌顶级域名的美国及日本、德国、英国、法国等国家。许多中国企业在域名安全监测方面存在不足,无法及时发现域名注册信息的异常变动、DNS劫持等风险。缺乏有效的安全监测手段,使得企业在面对域名安全威胁时,往往处于被动防御状态,难以及时采取措施应对。部分企业没有建立完善的域名应急机制,在遇到域名故障或安全事件时,无法迅速作出响应并采取有效的恢复措施。这导致故障影响时间延长,给企业带来更大损失。
为应对这个问题,各国政府、企业、研究机构和民间组织都在努力加强立法和技术防护,提升对DNS滥用的检测和打击能力。
在我国,有严格的法律法规规范网络行为,保护网络安全。同时,也有强大的技术研发实力,建立了完善的DNS安全防护体系。此外,中国政府和企业也非常重视公众的DNS安全意识。通过各种渠道向公众普及网络安全知识,提醒大家要提高警惕,防范DNS滥用的风险。
此外,“需要构建全网管控体系,建立高效故障恢复能力”。王春雷对记者说:
“域名系统是网络的核心服务,是应用调度的枢纽,因此必须构建全方位、立体化的域名安全监测体系。一方面,需对域名注册信息实施实时监控,及时发现域名过期、DNS劫持等潜在风险。通过智能预警系统,在风险发生前发出警报,提醒企业采取防范措施。另一方面,要从根服务器、顶级域服务器到二级及以下权威服务器、递归服务器,开展全链路监测。借助大数据分析和人工智能技术,对监测数据进行深度挖掘与分析,提前预测潜在风险,为企业安全决策提供有力支撑。”
“在我国的司法体系中,DNS劫持行为并不仅是承担相应的民事责任,视其后果,可能还应承担相应的行政及刑事法律责任。”北京金诚同达(上海)律师事务所高级合伙人张云燕对记者表示,在刑事责任方面,劫持DNS的行为属于破坏计算机信息系统的行为。刑法第286条以及相应司法解释已经对其行为方式,行为对象以及危害结果作出明确规定。若进行DNS劫持行为的同时,还伴随着其他的行为,将可能构成犯罪竞合,构成其他关联犯罪。如非法获取计算机信息系统数据罪(劫持过程中窃取用户账号密码等数据),诈骗罪(将用户导向假冒网站实施诈骗),帮助信息网络犯罪活动罪(为博彩、诈骗网站提供劫持技术支持)等。即使劫持DNS行为,未达到刑事责任要求的危害结果,根据网络安全法第二十七、六十三条,公安机关也可以对未构成犯罪的该行为处以警告,罚款或行政拘留等行政处罚。因此,不论是该DNS劫持行为本身对于社会的危害性,还是该行为所导致的相应法律责任,都是非常严重的。
责编|白 馗
编审|渠 洋
校对|张 波 张雪慧
来源|《法人》杂志2025年07月总第257期
编辑:张波