国外注册的域名需要备案吗_美国查封伊朗媒体域名事件背后的技术分析

文/陆超毅、刘宝俊、段海欣

（清华大学-奇安信集团联合研究中心）

概括

近期，美国司法部查封部分伊朗媒体网站的域名，引发大量关注和讨论。本文从技术角度分析当前尚不成熟的“查封”“恶意”域名的流程，涉及注册局/注册商、安全公司、政府等相关机构。本文仅为技术探讨，所表达观点仅代表作者个人观点。

01

活动回顾

当地时间6月22日，美国宣布“查封”36个伊朗媒体域名（），引发国际关注。据美国司法部网站公告[1]，被查封的域名包括伊朗英语电视台（）、伊朗世界新闻卫星电视台（）等，理由是这些域名持有者“违反美国制裁”（“in of US”）和“散布针对美国的虚假信息”（“the with”）。目前，访问上述网站时，会看到一张写着“该网站已被查封”的图片，并附有徽章（图1）。随后，伊朗媒体将域名迁移至.ir并恢复服务。

图1 被屏蔽域名的主页

此次事件并非主权国家首次利用法律或行政手段“封杀”互联网空间中其他国家机构或个人持有的、受本国法律监管的域名。一般来说，涉及钓鱼、僵尸网络等滥用行为的域名，都会受到全球监管机构的联合打击。一些国家也会根据本国法律和域名管理政策，对“非法域名”进行无差别处理。此前，美国执法机构曾在2020年10月封锁了92个与伊朗伊斯兰革命卫队有关的域名，并表示将继续“使用一切工具，阻止伊朗政府滥用美国公司和社交网络进行政治宣传，暗中影响美国公众并挑拨离间”[2]。

02

事件技术分析

为了分析此次“查封”事件的执行主体，我们有必要对域名注册的流程进行简单介绍。

域名空间是一个分层的树形分布式数据库，最顶层是DNS根，其下有1000多个顶级域名（例如.com、.net、.top、.cn）。如图2所示，顶级域名由互联网名称与数字地址分配机构（ICANN）授权，由域名注册局（）管理和解析。例如，顶级域名.com和.net的注册局都是美国的公司。注册局将域名注册业务委托给阿里云、等分布在全球的域名注册商（），注册商将顶级域名下的二级域名出售给普通用户（例如）。注册商和注册局各自维护其管辖范围内的域名的WHOIS数据，记录域名的注册人、负责解析的权威服务器等信息。

图2 域名注册管理机制

此次域名的查封是域名注册局（）应美国执法机构的要求进行的，与注册商（）没有直接关系。根据该安全公司[3]披露的域名列表，被查封的部分网站的顶级域名为：.tv（14）、.com（11）、.net（6）、.org（2）。管理上述顶级域名的注册局为和PIR，均位于美国境内。注册局提供的WHOIS数据显示，在UTC时间6月22日14:00左右，所有被查封域名的权威服务器统一更改为亚马逊的DNS服务器地址，如图3所示。

图 3 注册中心提供的

WHOIS 数据（部分）

从注册商层面来看，本次查封的域名共涉及20家注册商（含7家非美国注册商），其中至少有29个域名的注册商WHOIS数据保持不变，未进行修改（图4）。因此我们认为此次域名查封行动是美国注册局分批进行的，与注册商关系不大。

图4 注册商提供的域名

WHOIS 数据（部分）

03

域名接管的现行做法

我们将“域名扣押”和其他通过非常规手段改变域名状态的行为称为“域名接管”。在本文的其余部分，我们将讨论在什么条件下可以接管已注册的域名。

一般而言，域名注册商及注册局并没有权力主动接管其管辖范围内的域名。2011年，美国注册局曾向ICANN申请直接接管域名，无需法院命令，但最终遭到拒绝[4]。

根据公开的信息我们得知，抢注域名的常见方式有三种：

1. 向域名注册局（注册局/注册商）投诉域名滥用（DNS Abuse）。根据2020年48家主要域名注册局达成的最新共识[5]，一旦确认域名与恶意软件（）、僵尸网络（）、钓鱼攻击（）和网络欺诈（垃圾邮件）有关，注册局必须关闭整个域名（）。但对于其他有争议的用途和网络内容（如版权纠纷、色情内容）是否构成域名滥用，目前还没有明确的共识和规定。

域名注册局可以通过电子邮件或在线表格接收有关域名滥用的投诉。如果滥用投诉被确认为真实（例如，属于上述共识中提到的恶意行为之一）或有注册局所在地区的法院文件支持，通过该渠道收到的投诉通常可以被受理，域名将被关闭。

图5：注册商的域名滥用投诉页面

接受的类型包括恶意软件、网络钓鱼、欺诈等。

2. 通过域名仲裁启动统一快速中止程序（URS）[6]。该程序主要用于解决因商标权、域名抢注等引起的域名争议。投诉人需要向域名争议解决中心或其他提供URS服务的机构提出申请。仲裁期间，相关域名将被锁定。如果投诉人胜诉，域名将被暂停注册剩余期限，并解析到URS信息页面（图6），直到域名转移至投诉人手中。

图 6 统一快速暂停系统 (URS) 暂停的域名

3. 通过法院命令接管域名。ICANN 于 2012 年 5 月发布的指导文件[7]指出，为了接管美国或其他政府管辖范围内的域名，必须由法院发布“扣押令”或“限制令”，明确接管的理由以及相关机构必须采取的具体措施。在本案中，美国注册局依据美国法院的命令扣押了伊朗媒体域名。

近年来，通过法院命令接管国内注册商管理的域名似乎已成为美国常见的司法做法。此前通过该渠道接管的案例包括极端组织[8]、数字货币交易所[9]和音乐网站[10]的域名。值得注意的是，一些安全公司等非政府组织也可以向法院提起诉讼，要求接管域名。例如，2012 年，微软通过法院命令接管域名（.org 域名的注册机构为美国 PIR）[11]；2020 年，微软和其他安全公司接管了攻击中使用的域名[12]，理由都是这些域名被用于网络犯罪活动。英国国家网络安全中心 NCSC 也在 2019 年查获了超过 17 万个恶意网站域名[14]。

04

争议与讨论

虽然域名注册社区对域名接管的流程和依据已经达成一些共识，但一些问题上仍然存在很大争议。目前对域名接管的具体流程还缺乏最佳实践。我们通过查阅公开资料以及与技术专家的讨论，对安全社区可能关注的几个问题进行了探讨，供同行参考。

1. 域名注册机构（注册局/注册商）会处理所有域名接管请求吗？

不是。根据域名注册局的普遍共识，如果有明显证据表明域名被滥用于僵尸网络等恶意活动，域名接管请求很可能会被接受并处理。另外，由于注册局所在国家或地区的监管，通常需要执行该国法院的命令。其他情况则可能取决于域名注册局自身的判断标准。

2. 域名注册机构如何处理跨境法院发起的域名接管请求？

不确定。域名注册局一般没有义务处理跨境法院发起的域名接管请求。这主要是由于不同地区现行法律存在差异，跨境管辖容易产生争议。

3、域名被美国政府“查封”后，还能恢复吗？

理论上是的。域名被没收可以通过法律途径提出上诉或抗议。本案中，美国政府对伊朗域名的扣押遵循了美国对“外国资产”的扣押程序，被扣押域名的持有者可以通过法律途径提出上诉。但域名最终能否恢复，取决于此案能否在法庭上胜诉。

4、“.com”域名被美国法院强制扣押的风险是否永远存在？

不一定。此次事件中的域名被查封，主要是因为其顶级域名（.com/.net等）由位于美国的注册局管理，因此需要执行美国法院发布的接管令。事实上，域名顶级域名的运营管理职责由ICANN授权，并遵守ICANN的共识政策和协议要求；注册局协议（RA）有一定的期限，到期需要续签，并有重新竞标的可能，任何符合条件的公司或组织都可以参与竞标。如果未来美国以外的其他公司通过竞标获得.com顶级域名的管理权，则可能不受美国管辖。当然，.com的RA拥有优先续签的权利，得益于该公司在以往维护.com顶级域名的过程中，没有出现过任何服务中断的情况，因此获得了技术社区和域名注册人的信任。

5、美国执法机构能通过类似手段查封互联网上所有域名吗？

不是。新通用顶级域名计划实施以来，已有1000多个通用顶级域名获准在互联网域名空间使用，其中约500个通用顶级域名注册机构为非美国机构[13]，如“.top”、“.”、“.网址”等。大量位于其他国家的域名管理机构无需响应美国执法机构的域名扣押命令。

6、此次事件是否证明“美国完全控制了互联网域名系统”？

不是。域名被夺取后，伊朗媒体将域名顶级域名改为伊朗国家域名.ir，这样网站才能继续正常运转。如果美国政府**完全**控制域名系统，那么它完全可以通过根服务器“夺取”.ir域名。这次事件恰恰说明，美国政府这次没有控制根服务器（或者说没有能力控制根服务器），给一个它不喜欢的国家的顶级域名解析带来问题。

7、我是否需要将.com等域名更改为美国境外的其他顶级域名？

如果您认为您的网站内容可能违反美国法律，您可以考虑将您的域名切换为其他国家注册局管理的顶级域名。但您的网站内容仍受顶级域名注册局所在国家的管辖。例如，如果您切换到 .cn，则必须受中国法律的管辖。

8、除美国外，其他国家是否也有可能“夺取”.com域名？

是的。由于域名注册人是通过注册商注册域名的，这意味着政府可以采取“冻结”、“接管”和“转让”等措施，这些措施不是通过注册商，而是通过其管辖范围内的本地注册商。

附录：著名的域名盗用事件

1.

这是一个由中国公司运营的动态域名，曾被用作Nitol僵尸网络的域名。为了打击Nitol僵尸网络，微软获得了法院许可，接管了动态DNS服务提供商的域名（）

某知名嘻哈网站因未取得音乐版权遭美国唱片协会举报，美国联邦当局暂时查封域名，一年后归还（）

自由储备数据货币被广泛用于地下网络犯罪交易，该网站创始人因涉嫌洗钱被西班牙政府逮捕，网站随后被关闭。

4.

“雪崩”分布式云主机被网络犯罪分子广泛用于托管恶意软件、发动网络钓鱼攻击，美国、英国和欧洲的联邦调查人员联合查获了600多台服务器和80多万个网站域名。

参考

[1] 被电台、联盟军和卡塔伊布军使用。

[2] 伊朗警卫队使用的名称。

[3] 360. 对伊朗被屏蔽域名的快速分析。

[4] 防滥用使用。

[5] 滥用。

[6] 快速（URS）。

[7] ICANN。 代表名称，&。

[8]

[9] ：，网站。

[10] 联邦调查局嘻哈网站一年，以证明。

[11] dot-org 消灭 Nitol 机器人军队。

[12] 与黑客攻击中使用的 C2 公司合作。

[13]。

[14] NCSC 在过去一年内删除了 177,335 个：