看得見的安全風險，永遠只是冰山一角。

　　近期，被稱為史上最危險域名的corp.com被微軟出資160萬美元購買，結束了長達26年的僵持。雖然這項舉動切斷了網絡犯罪分子染指濫用該域名的可能，但並不意味著域名系統（DNS）防護從此可以高枕無憂。

　　隨著物聯網應用的迅速普及、5G覆蓋提速，加強域名系統安全防護能力已成當務之急。

　　微軟封印“魔戒”，買下史上最危險域名

　　域名就是網址，誰先注冊誰就擁有使用權，它就像互聯網空間的門牌號，網站有了域名才能夠被訪問。

　　corp.com注冊於1994年，一直以來被業界稱作“魔鬼域名”，這是因為任何人隻要擁有 corp.com，就能訪問全球主要公司數十萬台 Windows系統電腦端當中海量密碼、電子郵件和其他敏感數據。為什麼會這樣？個中的原因，還要從微軟的Windows操作系統說起。

　　Active Directory（活動目錄）服務是Windows平台的核心組件，企業或組織內網的Windows計算機用它來驗証網絡上的其他內容，參與本地網絡的域名解析。

　　但是，支持Active Directory的Windows早期版本默認Active Directory路徑被指定為“corp”，不少公司沒有修改二級域名，而是直接採用了此設置。於是，當他們的員工在公共網絡訪問該路徑時，Windows會嘗試將“corp”解析為“corp.com”公有域。

　　當一個原本在內網使用的域名在公共互聯網上解析時，不管是否有意為之，DNS名稱空間沖突都會發生。這意味著，敏感數據有可能瞬間流向外網被“分享”到corp.com站點。

　　據公開報道，2019年，安全專家杰夫·施密特（Jeff Schmidt）在對流向corp.com的企業內部流量分析中發現，有超過37.5萬台Windows系統電腦端嘗試發送信息，包括嘗試登錄公司內網及訪問網絡上的特定共享文件。測試期間，這個安全團隊還一度模擬本地Windows網絡登錄和文件共享環境接管了對corp.com的連接請求，1小時內，corp.com就收到了超過1200萬封郵件，其中包括了大量的敏感信息。通過這次實驗，施密特等人得出結論：控制corp.com的人極有可能會擁有一個遍布全球的計算機僵尸網絡。

　　多年來，微軟發布數個軟件更新，試圖消除corp.com的潛在威脅，但部署這些修復程序的易受攻擊企業並不多。

　　另外，某網絡安全公司工程師告訴科技日報記者：“Active Directory安全機制的先天缺陷很難通過安全更新徹底根除，就如網友所說‘擁有了corp.com就如同獲得了魔戒’，企業內部設備訪問外網時，有可能向域名控制者發送企業內網敏感信息並不是理論推斷，很有可能就是現實。”

　　那麼，微軟買下corp.com域名，是不是等於徹底消除了那些將Active Directory構建於“corp”或“corp.com”上的全球客戶頭頂的“雷”？

　　對此，微軟未做過多回應，只是強調用戶安全至上是承諾。有安全專家指出，信息安全領域，不存在絕對的安全承諾。不僅是corp.com，將內部Active Directory網絡與任何不受控的域名“綁在一起”都存在安全風險。從目前來看，及時下載安裝最新的安全補丁，是免遭漏洞惡意攻擊的有效手段。

　　域名並非生意，安全始終是最深隱患

　　或許是因為資源有限，也或許是過往域名致富的故事太多，如今，人們更願意把域名當成一門生意來談論，相比之下，對安全問題的關注度低了很多。

　　事實上，盡管全世界的工程師們一直在努力改善域名系統的安全性和抗攻擊性，但針對域名系統的攻擊依舊是互聯網最重大威脅之一，由此引發的安全事件也是層出不窮。

　　從2009年5月19日晚19點左右開始，我國江蘇、安徽、浙江、廣西、海南、甘肅六省連續兩天出現嚴重網絡故障，很多用戶發現網速變慢或者干脆無法訪問網站。兩天后，相關部門通報這起著名的“519斷網事件”，原因為暴風影音網站的域名解析系統受到網絡攻擊，持續不斷地發送大量聯網請求，最終造成了大面積的網絡堵塞。

　　2019年2月19日，國家互聯網應急中心監測發現，部分用戶通過家用路由器訪問某些網站時被劫持到涉黃涉賭網站，發生域名劫持的家用路由器DNS地址被發現是有黑客惡意篡改，這次的破壞規模達到400余萬個IP地址。

　　國家互聯網應急中心發布的通報顯示，很大一部分網絡挾持的源頭是“放馬站點”。“所謂的‘放馬站點’，就是被注入了木馬的網站。”知名網絡安全公司奇安信的工程師介紹，網絡病毒主要在一些防護弱、訪問量大的網站通過網頁“挂馬”的方式進行傳播，當用戶訪問這些被黑客“挂馬”的網站時，就會被暗中連接到黑客最終“放馬”的站點而中毒。

　　清華大學奇安信集團聯合研究中心主任段海新介紹，作為互聯網重要的基礎設施，域名系統不僅提供了上網必須的域名解析服務，還提供了應用層的路由和負載均衡，作為信任基礎提供了郵件服務器的驗証、証書申請時域的控制權驗証，基於DSSSEC（域名系統安全拓展）還可以提供公開密鑰基礎設施服務。

　　段海新強調：“DNS是很多網絡服務的基礎，域名系統的一點小問題就是互聯網的大問題。”

　　建設數字基礎設施，不能放鬆網絡安全

　　因為運營維護技術復雜且成本較高，域名安全成為了網絡安全領域最薄弱的環節之一。如今，域名安全面臨的威脅有可能呈幾何級增長。因為，如今的移動互聯網、物聯網及5G依然需要域名系統支持，並且已逐漸深入我們的生活，很多未知的安全威脅隨時有可能出現。

　　物聯網通過海量的互聯傳感器和設備逐漸與我們的現實環境無縫對接，與傳統互聯網應用最大的不同是，在物聯網設備持續不斷地與域名系統的交互中，數據交換通常被動產生，沒有人員的參與。

　　2019年9月，互聯網名稱與數字地址分配機構（ICANN）安全與穩定咨詢委員會發布的《SAC105報告》提示，物聯網的僵尸網絡可以針對互聯網基礎設施啟動大規模分布式拒絕服務（DDoS）攻擊，感染成百上千的設備。由於此類設備通常可在無人照管的情況下運行，因此給根除這些僵尸網絡造成了很大困難。

　　針對物聯網設備的攻擊讓我們見識了新威脅的發起途徑和嚴重程度，而5G網絡的新型組網與接入方式、邊緣數據中心及服務化架構的核心網將面對何等安全挑戰，傳統安全模式是否適應5G安全建設的需求等一系列5G安全問題也正成為業界更為關注的課題。

　　工業和信息化部副部長陳肇雄強調，網絡安全保障系統要與5G等數字基礎設施同步規劃、建設、運行，加強5G、工業互聯網、數據中心、雲平台等設施的安全保障，確保數字基礎設施安全平穩可靠運行。

　　中國工程院院士鄔賀銓指出，很多安全挑戰是內生的，從基礎設施技術開發與網絡設計開始就要有內生的安全理念。網絡安全能力與基礎設施是一個整體，網絡安全能力需與基礎設施同步建設並融入其中。

　　360集團董事長兼CEO周鴻祎則表示，萬物互聯時代，越來越多的未知漏洞將會被利用，但短期內仍然無法通過一整套AI系統自動發現並抵御安全風險，仍需要發揮高水平攻防專家的力量，網絡安全的最后戰場依然是人與人的對抗。

分享讓更多人看到