過期Whois服務(wù)器成為黑客攻擊的新武器

近日，網(wǎng)絡(luò)安全公司watchTowr創(chuàng)始人本杰明·哈里斯撰文透露過期Whois服務(wù)器可能會(huì)成為黑客攻擊的新武器。哈里斯在購買過期域名dotmobiregistry.net時(shí)意外發(fā)現(xiàn)，該域名曾用于管理.mobi頂級(jí)域名的Whois服務(wù)器。然后mobi的服務(wù)器不知何時(shí)已經(jīng)遷移到新的域名whois.nic.mobi，卻未通知任何人，全球大量服務(wù)器仍然引用舊域名。

過期Whois服務(wù)器成為攻擊武器

哈里斯購買并重新啟用該域名后，在五天時(shí)間內(nèi)接收到了約250萬次的查詢請(qǐng)求，請(qǐng)求來自全球的政府機(jī)構(gòu)、域名注冊(cè)商、安全服務(wù)商等不同領(lǐng)域用戶。這意味著哈里斯不僅能夠攔截對(duì).mobi域名的所有查詢，還能通過偽造的Whois信息操控證書頒發(fā)流程，從而獲取對(duì)大量網(wǎng)站的非法控制權(quán)。

出于道德，哈里斯并沒有進(jìn)行任何非法操作，但他指出廢棄Whois服務(wù)器域名一旦落入黑客手中，就會(huì)變成殺傷力巨大的流氓Whois服務(wù)器，其最危險(xiǎn)的用途之一就是偽造證書。例如，針對(duì)example.com的申請(qǐng)將提示證書頒發(fā)機(jī)構(gòu)向該域名的權(quán)威Whois中列出的管理電子郵件地址發(fā)送電子郵件。如果另一端的一方點(diǎn)擊鏈接，證書將自動(dòng)獲得批準(zhǔn)。

哈里斯還發(fā)現(xiàn)能夠通過對(duì)偽造服務(wù)器發(fā)送的查詢請(qǐng)求進(jìn)行長期追蹤，間接推測(cè)相關(guān)通信的發(fā)件人和收件人，從而獲取大量重要數(shù)據(jù)和敏感信息。

此外，一些查詢流氓Whois服務(wù)器的安全服務(wù)和Whois客戶端本身也存在漏洞，攻擊者可以利用這些漏洞在查詢?cè)O(shè)備上執(zhí)行惡意代碼。這使得本應(yīng)受到信任的Whois服務(wù)器變成了潛在的攻擊源。

什么是Whois？

Whois起源于1982年，當(dāng)時(shí)被設(shè)計(jì)為一個(gè)查詢數(shù)據(jù)庫，用于識(shí)別負(fù)責(zé)維護(hù)IP地址和域名的實(shí)體。隨著時(shí)間的推移，Whois發(fā)展成為一個(gè)全球性的數(shù)據(jù)庫，收錄了所有注冊(cè)的頂級(jí)域名(TLDs)的詳細(xì)信息。

簡單地說，Whois是一個(gè)查詢域名信息的搜索引擎，通過這個(gè)搜索引擎，用戶可以查詢域名是否已經(jīng)被注冊(cè)，以及注冊(cè)域名的各項(xiàng)信息，這些信息通常包括域名所有人、域名注冊(cè)商、注冊(cè)時(shí)間、過期時(shí)間、DNS解析服務(wù)器等。

此外對(duì)于域名的注冊(cè)服務(wù)機(jī)構(gòu)而言，要確認(rèn)域名數(shù)據(jù)是否已經(jīng)正確注冊(cè)到域名注冊(cè)中心，也經(jīng)常會(huì)用到Whois。由此可見Whois協(xié)議在域名系統(tǒng)中所扮演的重要角色。

Whois查詢信息有哪些？

通過Whois查詢，用戶可以獲取以下主要信息：

? 域名注冊(cè)狀態(tài)：確認(rèn)域名是否已經(jīng)被注冊(cè)，以及是否處于活躍狀態(tài)。

? 域名注冊(cè)人信息：包括域名注冊(cè)人的姓名（或組織名稱）、聯(lián)系方式（如電子郵件地址、電話號(hào)碼、郵寄地址等）。這些信息有助于直接聯(lián)系域名所有者，進(jìn)行必要的溝通和交流。

? 注冊(cè)時(shí)間與到期時(shí)間：顯示域名的注冊(cè)日期和到期日期。這有助于域名管理者了解域名的生命周期，在域名到期前進(jìn)行及時(shí)續(xù)費(fèi)。

? 域名注冊(cè)商信息：可以查看域名是在哪個(gè)注冊(cè)商注冊(cè)的。這樣出現(xiàn)問題時(shí)，可以及時(shí)找注冊(cè)商溝通解決問題。

? DNS服務(wù)器信息：指的是查詢域名是由哪些DNS服務(wù)器提供域名解析服務(wù)。這對(duì)于了解域名的技術(shù)配置和網(wǎng)絡(luò)設(shè)置非常重要。

? 域名狀態(tài)信息：顯示域名的當(dāng)前狀態(tài)，如是否允許轉(zhuǎn)移、刪除或更新等。這些狀態(tài)信息有助于用戶了解域名是否受到特定限制或保護(hù)。

需要說明是，有些域名持有者為了保護(hù)個(gè)人信息不被泄露，會(huì)啟用域名隱私保護(hù)服務(wù)。這樣一來，在進(jìn)行Whois查詢時(shí)，就無法直接獲取到域名持有者的信息，從而形成對(duì)域名持有者隱私的保護(hù)。

Whois的功能和作用

Whois數(shù)據(jù)庫主要功能是提供一個(gè)透明、公開的環(huán)境，以便讓任何人都可以查詢域名相關(guān)信息，這不僅有助域名管理，在進(jìn)行域名交易、打擊網(wǎng)絡(luò)犯罪、處理域名糾紛等方面也發(fā)揮了重要作用。

域名管理：通過Whois查詢，可以了解域名的健康狀況和生命周期，這有助于域名管理者在域名到期前進(jìn)行續(xù)費(fèi)，確保域名的持續(xù)可用，并在發(fā)現(xiàn)域名異常時(shí)進(jìn)行及時(shí)處理。

域名交易：對(duì)域名投資者和企業(yè)而言，Whois信息是評(píng)估域名價(jià)值、進(jìn)行域名交易的重要參考，通過查詢一個(gè)域名的注冊(cè)歷史和所有者信息，投資者可以更好地決定是否進(jìn)行投資。

防詐騙：Whois查詢可以提供域名的詳細(xì)信息，這些信息有助于用戶識(shí)別潛在的網(wǎng)絡(luò)詐騙行為。例如當(dāng)收到陌生郵件或鏈接時(shí)，用戶可以通過Whois查詢來確認(rèn)域名的真實(shí)性，從而避免上當(dāng)受騙。

法律糾紛處理：在涉及域名爭議的法律糾紛中，Whois信息也能提供重要的數(shù)據(jù)參考。通過查詢域名的注冊(cè)信息，可以確定域名的注冊(cè)者信息和所有權(quán)，從而為解決法律糾紛提供支持。

Whois面臨的挑戰(zhàn)

盡管Whois數(shù)據(jù)庫在維護(hù)網(wǎng)絡(luò)空間秩序、促進(jìn)域名市場(chǎng)發(fā)展等方面發(fā)揮著不可或缺的作用，但也面臨著隱私保護(hù)的挑戰(zhàn)。如何在確保網(wǎng)絡(luò)空間透明度和保護(hù)個(gè)人隱私之間尋找平衡，是當(dāng)前Whois面臨的主要問題。

而從上面的事例中可以看出，一直被人們忽略的過期Whois服務(wù)器也隱藏著巨大的安全威脅，如何追蹤、監(jiān)控以及處理過期Whois服務(wù)器，避免Whois功能的濫用，提升Whois數(shù)據(jù)庫的安全性，也成為業(yè)界和監(jiān)管機(jī)構(gòu)必須正視并亟待解決的緊迫問題。

審核編輯 黃宇