域名解析怎么写_拨开俄乌网络战迷雾-域名证书测绘篇

一、引言

俄乌战争超越了传统战争模式，是一场集网络攻击和舆论影响于一体的混合战争。俄罗斯发动战争的第二天，乌克兰就呼吁全球黑客支援，并向全球域名管理机构ICANN申请对俄罗斯实施制裁，禁止俄罗斯域名解析和证书使用。ICANN以证书由第三方机构管理，与其无关为由拒绝，但随后有媒体称有CA机构响应乌克兰请求，对俄罗斯实施证书制裁。

本文绘制了俄罗斯、乌克兰重要顶级域名相关证书状况图谱，发现了针对俄罗斯的证书制裁事例，核实了证书制裁相关新闻的真实性，在一定程度上追踪了俄罗斯、乌克兰在网络空间的活动，发现了俄乌战争局势的线索。

二、俄乌网络战证书引发舆论混乱

2.1 证书制裁相关新闻时间线概览

图2.1 俄乌网络战证书制裁相关新闻时间线

2.2乌克兰向俄罗斯申请证书制裁

2022年2月28日，乌克兰副总理向全球域名管理机构ICANN发送邮件，希望ICANN取消俄罗斯顶级域名、协助吊销相关域名的SSL证书、关闭俄罗斯境内的DNS服务器。邮件原件[1]如下：

图2.2 乌克兰请求制裁的原始电子邮件

2.3 ICANN 因政策和技术原因拒绝该提议

2022年3月2日，ICANN回应称，作为互联网的公益组织，其没有权利或能力对俄罗斯或任何其他国家实施断网制裁，并以政策和技术为由拒绝。原邮件[2]如下：

图 2.3 ICANN 拒绝该申请的原始电子邮件

2.4 俄罗斯媒体CNews声称停止向俄罗斯提供证书服务

ICANN 表示，证书由第三方证书颁发机构 (CA) 颁发，每个 CA 都可以选择自己的位置。2022 年 3 月 5 日，俄罗斯科技媒体 CNews 报道[3]，根据该频道的消息（据[4]推测是 2022 年 3 月 3 日），它已停止接受为俄罗斯的 .ru 和 .рф 顶级域名颁发 SSL 证书的申请。但未收到任何回复。

图2.4 CNews报道暂停服务（俄译中）

2.5 扩大针对俄罗斯证书的制裁顶级域名范围

2022年3月11日，美国也选择支持乌克兰，对俄罗斯实施证书制裁[5]。同时，不仅制裁了俄罗斯的.ru和.рф，还将白俄罗斯、鞑靼斯坦等多个顶级域名也纳入其中。具体名单[6]如下：.by、.、.ru、.、.、.su、.tatar、.бел、.москва、.рус、.рф。

图2.5 俄罗斯证书服务被拒绝邮件通知

3. 跟踪俄罗斯和乌克兰主要域名证书状态

本文从多个公开的百万级域名排行榜中获取俄罗斯、乌克兰国家顶级域名相关的Top 1k域名，解析各个域名对应的证书，分析证书的CA分布、过期状态、生效日期等，验证上述相关消息的真实性，并对俄罗斯与乌克兰的网络战活动进行推测。

域名列表包括Alexa、Cisco等；过滤的顶级域名包括乌克兰2个（.ua乌克兰国家顶级域名、.укр=.xn--j1amh乌克兰IDN顶级域名），俄罗斯3个（.ru俄罗斯国家顶级域名、.su前苏联国家顶级域名、.рф=.xn--p1ai俄罗斯IDN顶级域名）；观察期为2022年3月11日至3月27日。

3.1 发现证书制裁实例

在3月11日获取的域名证书中，发现3月14日获取的证书撤销列表（CRL）中，有一份open.ru的域名证书，其原始到期日期为2022年6月6日。3月14日，重新获取open.ru的证书进行验证，发现其证书确实发生了变化，发证机构CA从变为了原来的CA。从新证书有效期开始计算（3月4日），结合CNews获得的消息时间（3月3日），有理由怀疑这是俄罗斯为应对证书制裁而进行的操作。3月7日，旧证书被添加到CRL中，但3月11日根据域名仍然能获取到旧证书，反映出俄罗斯的证书更新速度较慢，猜测可能是受到证书申请、证书更换等流程的影响。

图 3.1 Open.ru 新旧证书（观察日期：2022 年 3 月 11 日和 3 月 14 日）

3.2 俄罗斯和乌克兰域名近期排名

如图3.2所示，俄罗斯和乌克兰顶级域名在三个域名排行榜中的总访问量排名为： > Alexa > 。访问量较少可能是因为其数据来源于被动DNS数据[7]，而Alexa来源于浏览器访问数据[8]。Alexa访问量在21日左右出现下滑，应该和其每天获取的域名总数下滑有较大关系[9]。但如果结合同期数据的暴涨，也有可能是网站访问失败导致DNS请求量增加，从而影响排名。观察期内访问量波动较小，较为稳定。

图3.2 俄罗斯和乌克兰域名在不同排名中的总量波动情况

如图3.3所示，俄罗斯和乌克兰顶级域名在各大域名排行榜中每日访问域名总数波动情况如下。3月20日之后，乌克兰域名数量呈上升趋势，俄罗斯域名数量呈下降趋势，均受到Alexa域名总数波动一定影响。虽然俄罗斯域名数量仍是乌克兰的10倍左右，但一定程度上或许说明乌克兰近期在网络空间受到的关注度有所提升，而俄罗斯可能因为各类网络制裁，导致网站访问量减少，从而导致域名排名下滑，访问量减少。

图3.3 俄罗斯、乌克兰受攻击域名总数波动情况

3.3 重点域名证书获取情况

为了消除域名排名的影响，我们从俄罗斯和乌克兰顶级域名热度排名靠前的1k个域名作为后续分析的重点域名，并获取了域名对应的证书。每天成功获取证书的域名数量如图3.4所示，整体数量随时间波动较小，比较稳定。

图3.4 俄罗斯、乌克兰每日成功获取证书的域名数量

3.4 证书CA分发

基于上述从俄罗斯和乌克兰约1.4k个域名获取的3.5k个证书（包括叶证书、中间证书和根证书），以3月27日的观测为例，对证书CA的分布情况进行统计分析，如图3.5所示。对比俄罗斯和乌克兰所有证书的叶证书和CA的分布情况，可以看出叶证书CA的分布更加集中；而无论是对比叶证书还是所有证书，俄罗斯证书CA的分布都比乌克兰更加分散，便于风险分担。其中俄罗斯证书CA占比约为20%，有一定的影响力。

图3.5 俄罗斯和乌克兰CA证书分布（3月27日观察）

同时跟踪观察期内3月27日证书份额前10名CA的波动情况，如图3.6所示。各大CA证书份额整体排名基本稳定，各证书份额均有一定波动，其中俄罗斯证书份额略有下降趋势。

图3.6 俄罗斯和乌克兰证书份额最大的10个CA的分布波动

3.5 证书到期状态

如图3.7所示，观察期内，俄罗斯及乌克兰所有证书中过期证书约70张，叶证书中过期证书约50张，数量略有波动。从左到右、从上到下，过期证书平均占比分别约为3.84%、7.17%、4.47%、7.95%。叶证书过期概率较大，根证书及中间证书状态相对稳定。3月19日，俄罗斯证书过期数量及占比垫底。结合图3.3，3月20日俄罗斯及中国域名命中数量垫底。怀疑前一天证书过期，也可能影响第二天域名排名。

图3.7 跟踪俄罗斯和乌克兰证书的到期状态

3.6 证书生效日期

如图3.8所示，以3月27日的观测为例，统计了生效日期在一年内的证书数量，发现俄罗斯和乌克兰近期新增生效证书数量较以往有所增加，且几乎全部为叶证书，而中间证书和根证书状态比较稳定，说明近期俄罗斯和乌克兰的证书活跃度较高，很可能是受到频繁攻击所致。

图3.8 俄罗斯和乌克兰主要证书一年内生效日期分布

四、绘制并推断俄罗斯和乌克兰的网络战活动

4.1 俄罗斯的战前准备和防御反应

如图4.1所示，进一步分析俄罗斯近60天新增生效证书数量发现，俄罗斯在某些日期（1月25日、1月30日、2月10日、2月23日、2月27日、3月1日、3月2日、3月3日、3月9日）新增生效证书数量相对较多。结合2月24日俄乌战争爆发、2月25日乌克兰呼吁黑客支援、3月5日暂停证书服务等安全事件，推测这可能是为了战前的准备、攻击防御、应对证书制裁等。俄罗斯为战争所做的一些行动在证书映射结果中有所体现。

图4.1 俄罗斯60天内新增证书分布

4.2 与乌克兰战前网络安全事件的联系

同样，如图4.2所示，我们进一步分析了乌克兰近60天新增的有效证书数量，发现乌克兰新增的有效证书数量略多于俄罗斯，主要是因为2.1-2.3和2.20版本新增证书数量较多，推测这与乌克兰2月15日指控俄罗斯对其发动了一系列网络攻击有关[10]。

图4.2 乌克兰60天内新增证书分布

五、结论

俄乌战争集网络攻击和舆情影响于一体，真假难辨。通过对域名证书的追踪和映射，我们可以发现一些俄乌战争局势的蛛丝马迹。结合舆情分析等其他维度，可以从侧面推测和佐证一些观点，看透俄乌网络战争的迷雾。

目前看来，针对俄罗斯证书在网络空间的制裁确实存在，但俄罗斯也有自己的应对策略，影响并没有想象中那么大。但如果顶级域名制裁范围进一步扩大，CA执法力度加大，其他CA顺应舆论环境对俄罗斯进行制裁，从比例上看，对俄罗斯的影响还是比较大的。这或许也是俄罗斯建立自己的根CA的原因[11]。

参考

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]%E5%B9%B4%E4%BF%84%E7%BD%97%E6%96%AF%E5%AF%B9%E4%B9%8C%E5%85%8B%E5%85%B0%E7%9A%84%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB

[11]

上一则评论