国家顶级域名很少会落入个人手中,但在某些情况下,这是阻止网络犯罪分子利用过期域名进行犯罪的唯一途径。
今年1月15日,Detectify公司的创始人兼工程部负责人Fredrik Almroth,描述了他是如何对全球顶级域名(TLDs)使用的名称服务器记录进行常规扫描时,发现一个国家代码顶级域名(ccTLD)正处于随时被攻击的危险中。名称服务器是为顶级域名提供域名解析服务。
Almroth的扫描是在2020年的12月执行的,扫描结果显示,一个叫scpt-network.com的域名是刚果民主共和国(大约8700万人口)顶级域名(.cd)的名称服务器,它的可扩展配置协议(EPP)的状态代码正显示是“赎回期”。
在一篇技术博客文章中,这位安全研究人员解释道,他很担忧这个发现并立即展开了对这个域名的监控。一周后,他收到了一个预警提醒,这个域名的状态改为了“删除挂起”,这个状态通常用于所有者忘记续约或刻意不续约域名的情况。
01 避免灾难
一旦域名过期,威胁者就能抢占它,如此一来,他们也将获得.cd的域名服务器功能。
当前只要能拦截通过国家代码顶级域名(ccTLD)的流量,攻击者就能实施DNS劫持、监视、中间人攻击(MitM)以及数据窃取。
.cd这个顶级域名也将面临风险,因为攻击者控制了顶级域名(TLD)就有可能接管它们,实施分布式拒接服务(DDoS)攻击,或者渗透本地网络。
Almroth 说:“作为一个终端用户,你将不能相信任何.cd网站上看到的任何内容。如果域名服务器功能被恶意使用的话,攻击者可以利用该特权为大多数网站随意颁发新的SSL/TLS证书。同样的,文件下载等功能也可以被滥用,数据传输过程可以被操控。”
为了防止灾难发生,不让域名落入别有用心的人之手,Almroth在12月30日买下了这个域名。于是,这位研究人员暂时地获得了这个顶级域名大约50%的DNS流量控制权。
02 物归原主
1月7日,这位研究人员联系了互联网号码分配局(IANA)列出的.cd域名的联系人,以转移域名所有权。
虽然没有收到后续确认,但域名事件在14小时内得到了解决,域名服务器的代理权和流量目前都已经被重定向了。
Almroth仍旧是scpt-network.com域名的所有人,这一事件也于1月8日报告给了HackerOne上的互联网漏洞悬赏团队,不过截止至本文撰写时,还没有人与这位研究人员取得联系。
Almroth告诉我们,他确实发现了关于DNS查询的一些值得推敲的数据,但“要有任何新的发现之前还需要进一步的分析”。
互联网名称与数字地址分配机构(ICANN)的一位发言人告诉我们,该机构在国家代码顶级域名(ccTLDs)管理方面的作用非常有限,因为顶级域名“在各自的国家内运作,并对各自的社会大众负责”。
原文链接:
https://portswigger.net/daily-swig/security-pro-seizes-expired-dr-congo-top-level-domain-takes-over-50-of-dns-traffic
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
