域名删除时间查询_网络安全的“核脏弹”：史上最危险域名即将出售

安全公牛评论

谁拥有了它，谁就拥有了一个可以被动攻击全球企业网络的超级僵尸网络，无数企业内部设备瞬间投入这个僵尸网络的怀抱。是什么让它成为史上最危险的域名？它的主人为什么要卖掉这个“火云邪神”级别的域名？这对全球企业网络安全意味着什么？近日，知名网络安全博主Krebs撰文对此进行了深度分析。原文太长，安全牛给大家扒一扒。

近日，域名所有者决定以170万美元的价格出售该域名，这则新闻不亚于一颗钻入地球的核弹，表面上看似风平浪静，但了解的人自然会尿裤子，这个域名怎么这么奇怪？

我们先来回顾一下我们的过去和现在的生活。

买域名就像买面具，1994年，作为早期域名投资者，美国版蔡文胜迈克·奥康纳以低价买下数个国宝级稀有域名，包括、、、、、等。26年来，奥康纳时不时卖出几个域名以维持亿万富翁的生活品质。但26年来，这个域名一直是奥康纳最隐秘、最敏感、最卖不出去的。准确来说，不是奥康纳不想卖这个域名，也不是没有买家，而是他不敢卖！

之所以敏感，是因为经过多年的技术测试，这个东西是一个“魔戒”，任何人拥有它，都可以访问全球数十万个企业信息系统中的海量密码流、电子邮件等专有数据流。

指环王出水了，只有微软能容纳它

如今已年逾古稀，开始精简资产的奥康纳终于鼓起勇气，不顾后果地宣布出售。170 万美元的价格，对于如此高端的四个字母商务风格的顶级绝版域名，基本上是半卖半送。之所以没能立刻卖出，和价格无关，因为这玩意儿和限量版的百达翡丽手表、科尼赛克跑车差不多，不是你想买就能买的，也不是抬价到 1500 万就能买到的。就算你用人脉关系买，这么凶悍的域名也不是一般凡人能“驾驭”的。

奥康纳表示，他希望微软能够收购该域名，并指出如果该域名落入网络犯罪分子或国家黑客手中，将会产生严重后果。

奥康纳并非言过其实，他之所以直接点名微软，是因为此次事件的巨大破坏力不亚于网络安全界的切尔诺贝利核事故，一切源于微软的一个“历史性失误”，也只有微软才能解决。

自比尔盖茨创立他的帝国以来，系统一直以独特的方式处理本地网络上的域名解析。公司内联网上的计算机使用 ( ) 对该网络上的其他内容进行身份验证。这是环境中各种与身份相关的服务的总称。系统元素借助称为 DNS 名称传递 (DNS 名称) 的功能相互查找，这是一种网络简写方法，可以轻松找到其他计算机或服务器，而无需为这些资源指定完整的合法域名。

例如，如果一家公司运行一个名为的内部网络，并且该网络上的员工想要访问名为“”的共享驱动器，那么无需键入“”来进入 ，只需键入“\\\”即可， 将处理剩下的操作。

但是，如果内部域无法映射回企业实际拥有和控制的二级域，情况就会变得很糟糕。不幸的是，在早期的支持版本（例如 2000）中，默认或示例路径被指定为“Corp”，许多公司都采用了此默认路径，而没有将其更改为自己的二级域。

更为复杂的是，一些公司随后在这个错误的“邮政编码”环境中建立（和/或集成）大型企业网络，并且情况已成定局。

麻烦的根源来自于命名空间冲突（）。当发生此类冲突时，原本只打算在公司内部网络使用的域名，最终与外部互联网上正常解析的域名地址发生重叠。敏感数据瞬间流向外部网络，并在网站上“共享”。后果可想而知。

在 20 世纪 90 年代，台式电脑和显示器的重量普遍超过 30 公斤，员工不太可能随身携带电脑，但在当今的移动办公时代，这个潜在的安全问题被无限放大。想象一下，如果将默认网络路径配置为 Corp 的公司的员工将公司笔记本电脑带到当地的星巴克，会发生什么？

也许员工笔记本电脑上的某些资源仍会尝试访问公司内联网上的 Corp 域名，但是由于系统的“DNS名称转移”功能，该计算机也会通过星巴克无线连接转到“真正的”互联网上寻找相同的资源。

这意味着域名控制者可以“被动地截取”来自数千台计算机的私人通信。任何在企业内网中被分配了corp域名的企业员工，在远程办公或外出时都可能被“喂”数据。是的，所有者不需要做任何事情，甚至不需要写一行攻击代码，大量敏感的企业数据就会“投入”主机的怀抱。

有人有开箱即用的超级企业僵尸网络吗？

作为其分析的一部分，安全专家杰夫·施密特 (Jeff ) 说服奥康纳推迟出售，以便他和其他专业人士可以更好地了解和记录每天流向该域名的流量类型。杰夫·施密特对 DNS 命名空间冲突进行了长期研究，部分资金来自美国国土安全部。

在对 2019 年进出企业​​的流量进行为期八个月的分析后，施密特发现超过 375,000 台 PC 试图发送信息，包括试图登录公司内部网络并访问网络上的特定共享文件。

在测试期间的某个时刻，施密特的公司 JAS 通过模拟本地网络登录和文件共享环境接管了连接请求。

这个结果让施密特感到害怕。

这太可怕了。我们在 15 分钟后终止了实验并销毁了数据。

一位曾与JAS合作过的知名攻击测试人员指出，在实验过程中，“泄露的证书犹如一场倾盆大雨”，这是他一生中从未见过的壮观景象。

同样，JAS 也被临时配置为接受传入电子邮件。

大约一个小时后，我们收到了超过 1200 万封电子邮件，并终止了实验。由于许多电子邮件都是敏感信息，我们立即销毁了整个数据库，没有进行进一步分析。

施密特表示，他和其他人得出的结论是，无论谁最终掌握控制权，都可以立即拥有一个遍布全球的企业电脑僵尸网络。

数以千计的企业计算机将随时准备攻击您。一旦攻击者进入企业网络，可用于横向移动攻击的计算机数量将更多。您想立即在福布斯全球 2000 强 TOP30 的企业网络中立足吗？赶快行动吧！

事实上，奥康纳本人也曾做过类似的“危险实验”。出于好奇，奥康纳曾短暂地启用了互联网上的电子邮件服务器。结果，他立刻开始收到大量敏感电子邮件，甚至包括提交给美国证券交易委员会的公司财务文件预发布稿、人力资源报告以及各种令人恐惧的信息。奥康纳说：

有一段时间，我试图给犯下这些错误的公司写信，但他们中的大多数人都不知道该怎么办。所以我最终关闭了我的邮件服务器。

清理“核废料”的难题

微软拒绝对施密特的流量调查结果发表评论，但微软发言人发表书面声明承认“我们有时在命名文件中使用‘Corp’作为标签。”

声明内容如下：我们建议客户设置二级域名，以防止路由到互联网。

本文链接到有关在 中设置域的最佳实践的文章。

多年来，已经发布了多个软件更新来帮助减少命名空间冲突的可能性。

但几乎没有一家存在漏洞的企业听从微软的建议部署补丁，主要原因有二：首先，这样做需要企业在一段时间内一次性关闭整个网络。其次，据微软称，补丁可能会破坏或减慢企业日常运营所依赖的许多应用程序的速度。

面对这两种情况，大多数受影响的公司都不太可能仅仅为了消除纸面上的风险而承担更大的更新补丁的风险。

奥康纳说：

根据微软的补丁说明，企业如果想在不影响其他功能正常运行的情况下更新补丁，必须删除全网所有服务，打完补丁再进行备份，很多服务器可能无法正常工作。

更加“诡异”的是，根据施密特向工作组提交的关于命名空间冲突的报告，监控过程中收到了一些似乎来自微软自身内网的查询，感兴趣的读者可以参考安全牛此前的文章：

施密特表示，这是微软正在努力解决的问题，因为几年前，那些在设置 时遵循微软建议的人遇到了麻烦。

即使 10 打上了所有最新补丁，只要 地址包含“Corp”，问题就会一直存在。事实上，如果它落入坏人之手，将意味着微软需要为其企业客户遭受的巨额安全损失买单。

奥康纳透露，几年前微软曾出价2万美元购买该域名，任何在互联网行业工作过两周以上的人都知道，微软的出价不是购买，而是抢夺。

当有人问奥康纳为什么不直接把地址交给微软时，奥康纳说他认为这家软件巨头应该为其产品和错误负责。毕竟，微软是第一个建议大家在内部网地址中使用 Corp 的，需要有人来填补这个漏洞。

奥康纳指出：

我认为微软应该为他们的错误承担责任。但他们并没有表现出真正的兴趣，所以我没有兴趣把它交给微软。我真的不需要钱。这个域名基本上就是一个核废料场，我不想把它传给我的孩子，让他们负担沉重。我的沮丧是：这么重要的域名，好人不在乎，坏人却争相抢夺。

参考

危险域名正在公开出售：

#更多-50407

缓解 DNS 命名空间冲突

演讲：DNS有害你的健康

减轻基于名称冲突的中间人攻击：