世界最大的域名注册商排名_网络安全宣传周 | 域名安全的“庙算之法”和“三种武器”

“15分钟后，我们中断了实验，并销毁了数据。”在对2019年企业内部流量进行了8个月的分析后，安全专家杰夫·施密特面对测试结果时不禁出了一身冷汗。

——它是史上最危险的域名，任何拥有它的人都可以访问全球数十万个企业信息系统中的大量密码、电子邮件和其他敏感数据。为什么会这样呢？众所周知，系统以自己的方式处理本地网络上的域名解析。在企业内联网上，所有 PC 都使用（ ）服务来验证网络上的其他内容。作为平台的核心组件，AD 存储了有关网络对象的信息。对象需要使用 DNS 名称（DNS 名称传输）功能来相互查找，以便可以轻松找到其他计算机或服务器。支持 AD 的早期版本的默认或示例路径是“corp”，这会导致重复名称，即（名词空间冲突）问题，这意味着企业内联网上的所有敏感数据都可以在公开的互联网上看到。

在错误的环境中“盖楼”，无数企业的安全问题变得比以往更加严重。施密特发现，有超过 37.5 万台 PC 在试图发送信息，包括试图登录公司内网和访问网络上特定的共享文件。

“圣殿计算法”与“三件武器”：将域名安全根基再筑一寸

其实，这个走钢丝的故事有个美好的结局。2020年，最早的互联网域名投资者之一、域名所有者Mike O'充分意识到了它的风险和网络犯罪组织对其的渴求，最终以170万美元的起拍价将其卖给了微软，具体交易价格并未透露。

但故事的结尾，王子和公主是否从此过上了幸福的生活呢？恐怕答案是否定的。

数据显示，近91.3%的恶意程序都以DNS作为入侵的主要手段。DNS本身的协议漏洞使得其很容易被利用，攻击者可以很好地隐藏自己。再加上FW、IDS/IPS等常规安全设备都无法保障DNS的安全。“……一场艰难的尝试，是一场整天面临新挑战的战争”——传统DNS在设计之初的考虑不周和先天不足，决定了它从诞生之日起就永远不会安全，也把全球互联网置于一个巨大的危险蛋壳上。

“没有网络安全就没有国家安全。”习近平总书记高度重视网络安全，多次强调网络安全至关重要。面对网络安全第一道关口，互联网关键基础资源服务机构——国家互联网域名体系工程研究中心（ZDNS）立足全球认知，提出了中国企业在域名安全方面的“圣殿计算法”和“三大武器”。

庙算之法：抢夺顶级域名，“君子不立危墙下”

观察近年来全球风波，放眼四周，国际形势急转直下，关键资源大多集中在少数人手中。而回头看我们自己，我们惊喜地发现，中国企业早已起步、筑起属于自己的“护城河”。

作为全球互联网运行的关键基石，顶级域名安全这把剑始终悬在头顶。2021年，美国司法部以传播虚假信息为由查封伊朗媒体域名，导致后者服务中断，引发广泛争议；2022年2月，乌克兰向全球域名管理机构ICANN提出申请，希望取消俄罗斯顶级域名、协助吊销相关域名的SSL证书、关闭俄罗斯境内的DNS服务器。尽管ICANN以政策和技术为由拒绝，称作为互联网公益组织，无权、无能力对俄罗斯或任何其他国家实施断网制裁。但此后，一些互联网服务提供商随即宣布暂停与俄罗斯的业务；俄罗斯政府也要求将重要域名和服务迁回俄罗斯，并开始建设独立的互联网基础设施。

可见科技改变了战争的维度。战争的硝烟不仅弥漫在两军对峙的前线，顶级域名的争夺无疑是一场关键之战。2012年，新通用顶级域名首次开放注册，各国展开争夺。但由于当时中国企业了解有限、重视程度不够，在战争中失去了主动权。目前，全球顶级域名约有1500个，中国拥有的管理权不足3%。

多年来，ZDNS积极呼吁中国企业及早布局，不要再错失有限的资源，也积极参与互联网顶级域名申请，包括在.cn等我国顶级域名上注册尽可能多的企业域名，规避风险。通过掌握更多互联网关键基础设施资源，ZDNS推动中国企业形成合力，助力数字经济发展，为中国品牌走出去奠定坚实的网络空间基础。

不仅说说而已，更要行动起来。ZDNS自主研发的新一代DNS系统“Maple”，打破了国外软件一统天下的局面。其采用全新架构设计，在高性能解析、多线智能调度、快速数据更新、可扩展性等方面取得显著领先，可实现百万级查询能力，比国外同类软件强数十倍。ZDNS基于Maple，打造了亚洲最大的新顶级域名服务平台，托管运营全球60个顶级域名；助力全球22个顶级域名成功申请及资质认证；研发了DDI（DNS、DHCP、IPAM）核心网设备，服务全球1200多家企业，包括金融、政府、教育、大型企业、广电、互联网等，连续8年实现DDI市场份额第一，在门槛最高的金融行业市场占有率超过80%。在网络基础治理领域，中国的力量正在变得不可或缺、不可忽视、不可限制。

“三件武器”之“门神”：万物新生的安全背景

中国互联网从小路走来，越过千山万水。一切都在云端，虚拟资产……网络安全也成为一场黑白分明的攻防战。数据资产不同于实物资产，被盗的那一刻意味着永久的损失，如果当时不发现泄露，事后很难挽回。DNS作为互联网服务的入口，也成为网络攻击的“致命弱点”，往往是传统安全防护的盲区。因此，DNS安全防护不仅要提高解析服务的安全性，更要保护网络通信的安全，守住互联网出入口的“大门”。

ZDNS凭借丰富的DNS行业经验和前瞻性，完整分析DNS攻击链，精准制定防御策略。在对抗初期，网络攻击者进行扫描侦察，ZDNS-通过内置威胁情报资源，检测并感知进入企业的威胁，一旦发现威胁访问，立即停止解析，从而隔绝威胁与外界的连接，病毒、木马等威胁“出不来”，断绝敏感信息泄露到外界的途径。在对抗的白热化阶段，攻击者利用漏洞发起猛烈攻击，ZDNS-内置功能齐全的深度DNS协议防护技术，拥有反射攻击、隧道攻击、放大攻击、野名攻击等多种攻击防护策略，实现攻击威胁阻断，其防护能力是大部分企业现有域名系统所不具备的。在对抗的中后期，ZDNS-的监控与审计功能可快速生成丰富维度的威胁监控报告，包括受攻陷终端地址、恶意事件域名/背景、解析类型、QPS等，全面回顾整个攻击事件，有效管控威胁。

促进监管合规。同时，系统不断强化功能属性，将安全防护前移，实现精准防御，以事前预防替代事后补救，降低DNS安全事件造成的危害。

DNS作为网络服务的入口，是一切业务访问的必经之路。ZDNS-通过深度防护DNS协议和威胁情报检测技术，守护网络通信咽喉，保护合规业务正常通信，阻断外部网络攻击，成为保障网络应用安全访问的“守门人”。总体而言，相比传统安全防护，ZDNS-服务更及时、更精准、更轻量、更全面；相比同类智能安全防护产品，ZDNS-可为客户提供DNS服务+数据双维度安全防护，强化完整DNS链路；内置高精度、广度、及时更新的情报资源，形成动态监测威胁分析+精准阻断，让恶意请求无处藏身，最终帮助客户将威胁阻断在内网，避免外部检测。

目前，ZDNS-安全威胁管理系统已覆盖企业、教育、金融、运营商等头部客户，客户规模近300家。

三种武器：云端传送：左手攻击防御，右手紧急逃生

作为最凶猛、最难防御的网络攻击之一，DDoS攻击与防御是一个世界级难题。

什么是DDOS攻击？或许我们可以这样理解：张三为了不让李四做生意，叫了100个人在自己面前排队，众人东张西望，议论纷纷，从而达到造成拥堵，挤走真正流量“李四”的目的。全球历史上最大的一次DDoS攻击发生在2018年2月，某知名开发者平台瞬间被攻击带宽高达1.1Tbps。仅仅一周之后，攻击就针对亚马逊等网站，后续攻击带宽峰值也达到了1Tbps。

ZDNS凭借10年防D服务经验和用户反馈，自主研发了云ZDNS，其最大特点是企业完全不需要做配置迁移，在企业自建DNS集群之前即可在云端部署，达到防泄漏、防攻击、运维成本低的效果。以排队为例：产品容量大，采用国内多高仿节点分布，拥有超过2000万并发DNS流量清洗能力，来者不怕，尽可能提升服务能力，不管有多少“人”排队，都能轻松应对；在安全能力加持下，系统拥有黑名单、限速、格式过滤等多种防护措施，重塑本地架构，如同利用“人脸识别”功能标记恶意“排队者”，禁止其再次进入，同时避免了“误杀好人”的可能；同时系统具备持续能力，实现配置数据不出网，基于缓存云重新构建解析配置，对本地异常的云进行接管，相当于把“业务窗口”搬到了线上，让“排队者”找不到“大厅”，攻击自然无从下手。

正常情况下，ZDNS是一把“无刃之刃”的“重剑”，可启用攻击防护模式，将所有DNS解析请求透传至用户自建解析服务器，自身不参与解析。当自建设备发生故障无法提供解析服务时，服务端可“巧夺天工”，自动接管DNS权威解析服务，将所有DNS请求快速迁移至云端，使解析服务快速脱困，保障服务可用性。实现100%互联网权威DNS防攻击效果，2022年防御量超过400万台。

当然，防御不代表消灭。对于防D这个世界级难题，彻底消灭它的方案还远未出现。好在魔高一尺，道高一丈。只要攻击还在继续，抵抗的决心就不会停歇。

三大武器之隐形大象：NWAF，解决危机的最后一公里

不知道大家还记得“时空伴侣”这个概念吗？

过去被亲情、爱情、友情等社会关系所限制的自我，在特定情境下被手机终端与基站组成的电信网络重新定义，手机仿佛成为了新的“人体器官”，空中飘浮的电子信号成为社会系统正常运转的重要依据和我们不可或缺的生存媒介。

正如当代技术哲学家唐·伊德所说，技术融入人体越多，两者之间的体现就越强，也实现了最大程度的“透明性”（）。在高度互联网化的背景下，网络安全也如此“理所当然”，容易被忽视。在日常使用中，它往往是看不见的。对于用户来说，一般只有当面临风险页面——通往危机的“最后一英里”时，才会意识到安全问题的出现。因此，用户尤其是企业用户往往希望不仅DNS要安全，WEB网站也要安全。

有意思的是，在投入/产出性价比上，据统计，IDS/IPS、WAF等产品普遍占企业安全设备投入的70%以上，但50%的应用层攻击依然能成功“绕过”WAF，0Day攻击也能轻易得逞；即便超过一半的安全事件是“误判”，企业也不得不继续追加和投入更多的沉没成本。

针对此，ZDNS采用新型数据隔离技术，打造新一代WEB应用防护服务——ZDNS NWAF。该系统在不影响互联网WEB业务服务的前提下，对客户真实WEB业务系统进行攻击隔离和战术隐藏，重点解决WEB服务“多、散、老”问题，并能有效防范源代码泄露和网络爬虫、屏蔽网站漏洞和自动化攻击、监控有害信息、对重要数据进行脱敏，从而实现高效智能的网络安全、数据安全、信息安全等Web层面的全方位防护能力。

“荒岛迎接曙光”，伴随中国互联网三十年成长，早在大家关注之前，ZDNS便已深耕域名、IP等互联网基础技术领域，并基于市场需求，演化出涵盖基础网络服务、应用发布、网络安全、监控分析、资源管理五大应用场景、十四个细分产品的完整产品体系，助力中国80%金融机构、68%中央及国家政府用户、70%中国500强企业、80%省级广电运营商、500+智慧校园实现数字化转型。

未来，ZDNS将继续聚焦未来网络基础设施升级与数字经济发展的需求，深化下一代DNS核心技术与产品的研发，以域名服务的整体基础为基础，助力各行业守护成长梦想。