当一个域名注册过期时,新用户可以重新申请这些域名。但是有时候这些新用户可能怀揣恶意。
互联网域名的所有权不是永久性的。
域名会暂时分配给其所有者。一旦注册过期,域名将会重新对公众开放,依照先到先得的原则,等待被潜在的新用户认领。
网民对围绕这一情况发生的可疑行为(有时甚至是滥用行为)并不陌生。我敢肯定,很多读者都曾在雨天试图再次访问一个有趣的网站,但是却看到了一个不相关的页面,上面挂满了广告横幅。这是一种利用域名剩余流量(residual traffic)的典型方法。新用户注册了一个过期的域名,希望旧网站毫无戒心的用户群能带来广告收入。另一种常见的情况是模仿一个过期的网站,试图对访问者发起网络钓鱼攻击。
这些都是信息安全领域常见的敌对场景。不幸的是,问题不止于此。域名不仅仅是通向网站的地址,也是处理网络上各种资源的通用标识符。
例如,重新申领一个已经失效的域名,你将自动获得能够访问以后发到以前该地址邮箱的邮件的权限。注册一个被弃用的DNS服务器域名,你可以将查询客户端重定向到你选择的任何地址上。在一个臭名昭着的案例中,一个安全专业人士获取了 “.io区段” 的过期服务器域名,使他能够劫持现有的所有 .io 网站的流量。
而且还有更多的麻烦。域名在很多关键安全设置中起到信任锚的作用,域名常常和其他看似无关的资源联系在一起。想象将密码重置链接发送到记录中的电子邮箱中,将能够成功访问该电子邮件账户当做身份验证。像前面提到过,劫持该电子邮件域名将引发级联效应,能够入侵所有与该邮箱关联的前用户的账户。
对于默认永久域名分配模型来说,有类似的安全风险。当用户授予一个网站访问其相机、麦克风或位置的权限时,这些访问权限都和该网站的域名进行了绑定。即使该域名的所有人变更了,之前的授权将会保留,导致新所有者滥用用户对该网站的剩余信任。而传输层安全性(TLS) 几乎不能不能帮助用户避免这些问题。TLS只验证域名,但不知道谁拥有它们。如果没有人为检查WHOIS记录,用户没有简单的方法能在产生损失前发现域名所有权变更。
人们可以通过快速在线搜索了解一些这类引人注目的事件,但好奇的读者可能会问这些漏洞实际被利用的可能性有多大,在现实中发生的频率,以及互联网用户是否面临真正的风险。
现实中,存在一个活跃并专业的域名回收系统。用户可以通过众多在线域名抢注服务,在一些域名失效时,从中购买他们想要的域名。当一个域名失效并开始对外开放的时候,抢注系统会调动大量计算资源,并向注册系统发出大量请求,和地球上所有潜在的注册者竞争。这类似于金融市场中的高频交易场景,只不过是针对域名而非股票。
在最近,波士顿东北大学的进行的一项实验中,证实了重新启用旧域名高需求的风险。研究发现,仅三家主要的抢注服务提供方就操作了75%的域名注册,并占到了域名注册尝试的80%。多达10%的.com和5%的.org域名在过期当天就被重新注册。
域名回收的第二个竞技场是注册商对即将到期的域名进行拍卖的时候。通过拍卖所得的域名构成了特殊的威胁;它们不会经历典型的到期和重新注册阶段,而是从以前的所有者转移到新的一方。因此,包括域名创建日期在内的域名注册信息不会变更,即使仔细分析WHOIS记录,也很难发现所有权发生了变化。这会带来问题,因为许多商业安全产品、域名信誉服务和黑名单维护人员都会根据域名的年龄进行一些决策,而较老的域名被认为是更值得信任。
有证据表明,域名经常更换主人,这得益于蓬勃发展的抢注和拍卖服务生态系统。遗憾的是,很多Internet应用程序甚至安全机制都严重依赖域名所有权,将其作为信任锚。域名在某种程度上通过这种方式获得永存。展望未来,安全专业人员应该将在这种情况下存在的陷阱和风险纳入威胁模型。在设计未来的系统时,我们应该努力发展必要的保护措施,以确保域所有权不会意外转移,如果最终发生这种情况,应该有完善的撤销机制进行回应并将信任转移到新的锚上。证书透明化在监控TLS证书方面发挥了奇迹般的作用。也许我们应该开始考虑倡议域名透明化。
相关阅读