1-001走进网络空间安全补充材料——恶意域名问题资料文件与下载

中国托管数量位居全球前列，为何这么多恶意域名找上我们

　　提起域名，很多资深网友并不陌生，但对其重要性可能并不清楚。今年3月，腾讯公司将一纸投诉书递交亚洲域名争议解决中心香港秘书处，针对域名“fuckqq.com”发起仲裁。

　　腾讯为何如此？事情要从8年前讲起。2010年在著名的“3Q大战”期间，一名粉丝为支持奇虎360，将自己持有的“fuckqq.com”域名设置为可直接跳转至360官网，这使得该域名迅速火爆网络。经过仲裁，前不久腾讯终于免费获得该域名所有权并将其雪藏。

　　相比“fuckqq.com”的任性，有一类域名则是真正的“图谋不轨”，它们就是恶意域名。近日，美国网络安全公司Palo Alto Networks威胁情报团队Unit 42发布的分析报告显示，托管恶意域名较多的国家包括美国、俄罗斯、中国、荷兰和澳大利亚，其中美国托管的恶意域名数量最多。

那么恶意域名到底是什么？为何会有如此之多的恶意域名托管在我国？它们会对互联网造成哪些影响？我国又该如何对其进行有效管理？

标出计算机在网络中的“位置”

　　域名，是互联网上计算机的名称。这个名称表现为以“.”为分割的字符方式，比如“www.baidu.com”就是一个域名。

　　北京理工大学网络攻防对抗技术研究所所长闫怀志在接受科技日报记者采访时称，域名与我们常说的IP（Internet Protocol，网络之间互连的协议）地址相对应，只不过IP地址是以“.”为分割的、供机器识别的一串数字，比如“114.243.75.22”。IP地址是给每个连接在互联网上的主机分配的一个32位地址，可以用二进制表示，也可以用十进制表示。

　　由于一连串的数字不便于记忆，因此人们通过域名解析系统（DNS，Domain Name System）将域名和IP地址对应起来，这时候只需记住好记的域名（如http://www.baidu.com）即可。闫怀志解释道：“就像手机里的通讯录一样，只要记住联系人的名字我们就可通过检索号码簿找到此人，无需记住对方的电话号码。有了某人的电话号码，你就能与他通话。同样，有了某台主机的IP地址，你就能与这台主机通信。”

　　中国大陆境内的域名（即以“.cn”结尾的域名），由中国互联网络管理中心（CNNIC）负责发放与注册登记，“.cn”域名是由我国管理的国家顶级域名，属于国家主权范围内的互联网资源。“不过，我国企业或个人注册的大量‘.com’域名，则是由美国来管理。数据显示，中国直接控制管理的域名数量不到全国域名注册总量的三成。”闫怀志说。

　　国际互联网名称与数字地址分配机构ICANN负责分配通用顶级域名以及国家和地区顶级域名系统与根服务器系统的管理工作。该机构与很多域名注册商签订合同，准许其受理顶级域名下的域名注册业务。许多域名注册商都为用户提供域名注册和托管解决方案。因此，很多机构（特别是中小规模的机构）采取了域名托管方式来注册和管理自己的域名，而不用自己注册和维护域名。域名托管公司为这些机构提供实际的服务器空间来承载相关网站，用户访问的其实是各机构托管在域名托管公司处的网站。

通过窃取隐私或敏感信息获利

　　“顾名思义，恶意域名是指一类具有恶意链接的网址，这种网址通常利用应用软件或浏览器的漏洞，在网站内植入木马、病毒程序等恶意代码，并利用伪装的网站服务内容来诱导用户访问。”闫怀志说，用户一旦进入这些网站，就有可能“中招”，导致计算机被恶意代码感染，进而引发安全问题。

　　谷歌公司以恶意域名的攻击方式，将恶意域名链接的网页分为两类：钓鱼网站和恶意软件网站。钓鱼网站是指伪装成银行或网上商店等合法机构网站的一类网站，它试图诱骗用户在其网站中输入用户名、密码或其他私人信息，这类网站对个人隐私和财产安全可造成一定威胁。

　　恶意软件网站包含恶意代码，通过在用户计算机上安装恶意软件，黑客可利用该软件来获取和传输用户的隐私或敏感信息。

　　恶意域名惯用的手段是诱导用户访问不安全的网站，使恶意代码破坏用户计算机网络、泄露用户隐私信息和敏感数据，通过欺诈等手段使用户在经济上受损。“恶意域名泛滥的根源是利字当头，很多恶意域名的所有者为了非法牟利，不惜代价铤而走险。”闫怀志说。

　　那么，该如何识别恶意域名呢？

　　有研究显示，目前恶意域名网址挖掘与识别方法，主要包括4种：基于黑名单技术的识别方法、基于启发式规则的识别方法、基于机器学习的识别方法以及基于交互式主机行为的识别方法。

　　对于普通网民来说，最重要的方法是增强安全防范意识，采取多种途径避免或减轻恶意域名可能带来的危害。

　　“一是要及时更新浏览器版本、及时打好安全补丁，也可以优先选用安全浏览器。二是要及时采用恶意域名或恶意代码查杀工具对计算机进行查杀，很多安全工具发现可疑网址时会给访问者发出安全警示。三是上网时应注意甄别来源不明或可疑网址，不要有猎奇心理或主动访问内容不良的网站，以免引火上身。”闫怀志建议道。

管理联袂技术堵住“作恶”源头

　　根据Unit 42的情报，恶意域名主要集中在美国、俄罗斯、中国、中国香港、荷兰和澳大利亚等国家或地区。

　　闫怀志认为，造成这种现象的原因主要有两个：一是这些国家和地区大多是世界主要经济大国或新兴经济体，网络建设相对较完善，网络规模庞大，恶意域名的总量自然也就很多；二是很多国家由于网络规模巨大、发展迅速，导致安全管理滞后，这就为恶意域名提供了生存空间。以我国香港为例，该地区虽然网络规模并不大，但也集中了较多的恶意域名。这主要是因为香港经济发达、国际交往活跃，且拥有独立的“.hk”域名，域名资源相对丰富，网络监管也相对宽松。这些都为恶意域名滋生提供了“土壤”。

　　中国是世界主要大国和重要的新兴经济体，2017年网民总数就达到了7.51亿、规模雄踞世界第一，网络零售规模也居全球首位，数字经济规模居全球第二。“然而，与急速膨胀的网络规模相比，我国在网络空间安全监管方面存在着一定程度的滞后。”闫怀志说。

　　“因此在中国境内集中的恶意域名总量较大，不足为奇。”闫怀志指出，不过与中国域名总体规模相比，其中的恶意域名占比仍是相对较低的。近年来中国大陆地区托管的恶意域名数量锐减，这是相关部门加强网络空间安全监管、努力提升全民网络安全意识、制定实施《网络安全法》、加大惩治力度的直接结果。

　　“要想遏制恶意域名的泛滥趋势，要从堵住该类域名的源头做起。具体来说，要从技术和管理两个方面采取措施。”闫怀志称，首先要以《网络安全法》为上位法，建立健全更为完善的法律法规监管体系，让恶意域名拥有者和托管方不敢、不想继续利用恶意域名来破坏网络安全环境。在技术方面，要实现对恶意域名的识别、警告和封锁，让恶意域名拥有者和托管方不能继续利用恶意域名来破坏网络安全形势。

　　“此外，还要加强用户的网络安全意识，提升自身对恶意域名的识别、防范能力，不让‘作恶者’得逞。”闫怀志强调。