作者:陆超逸 、刘保君、段海新(清华大学-奇安信集团联合研究中心)
来源公众号:网安国际:https://mp.weixin.qq.com/s/IxXskW5r66Alyz9zFkCwCg

近期美国司法部查封了伊朗的一些媒体网站的域名,引起了许多关注和讨论。本文从技术角度分析了当前仍然不够成熟的“恶意”域名“查封”流程,涉及注册局/注册商、安全公司、政府等相关机构。本文只是技术讨论,其中的观点仅代表作者本人。

01 事件回顾

当地时间6月22日,美国宣布对36个伊朗媒体域名进行了“查封”(seizure),引发国际社会关注。据美国司法部网站公告[1],被查封的域名包括伊朗英文电视台(presstv.com)、伊朗世界新闻卫视(alalamtv.net)等,理由是这些域名的持有机构“违反了美国的制裁措施”(“in violation of U.S. sanctions”)并“传播针对美国的虚假消息”(“target the United States with disinformation campaigns”)。目前,访问上述网站将看到含有“此网站已被查封”字样的图片,并配有美国司法部联邦调查局和商务部产业安全局徽章(图1)。随后,伊朗媒体将域名presstv.com迁移至presstv.ir恢复了服务。

图1 被查封的域名presstv.com主页

此次事件并非主权国家第一次在互联网空间使用法律或行政手段“查封”其它国家机构/个人所持有的适用本国法律监管的域名。通常来说,涉及网络钓鱼、僵尸网络等滥用行为的域名会遭到全球各国监管部门的联合打击,某些国家也会依据本国法律及域名管理政策对所判定的“非法域名”进行无差别处置。此前美国执法部门已于2020年10月查封92个和伊朗伊斯兰革命卫队有关的域名,并称将继续“使用一切工具阻止伊朗政府滥用美国公司和社交网络进行政治宣传活动,秘密影响美国公众以及挑拨离间”(“use all of our tools to stop the Iranian Government from misusing U.S. companies and social media to spread propaganda covertly, to attempt to influence the American public secretly, and to sow discord”)[2]。

02 事件技术性分析

为了分析出本次“查封”事件中的执行主体,我们有必要对域名注册过程进行简要介绍。

域名空间是一个层次结构的树形分布式数据库,它的顶层是DNS根,下面是1000余个顶级域(如.com、.net、.top和.cn等)。如图2所示,顶级域由互联网数字和地址分配机构(ICANN)授权,并由域名注册局(registry)进行管理和解析。例如,顶级域.com和.net的注册局为美国的Verisign公司。注册局将域名注册业务委托给分布于全球的域名注册商(registrar),例如阿里云和GoDaddy,由注册商向普通用户出售顶级域下的二级域名(例如baidu.com)。注册商和注册局各自维护所管辖域名的WHOIS数据,记录域名的注册人和负责其解析的权威服务器等信息。

图2 域名注册和管理机制

本次域名查封是美国执法部门要求域名注册局(registry)执行的,与注册商(registrar)无直接关系。根据安全公司披露的域名清单[3],被查封的部分网站顶级域分布为:.tv(14个)、.com(11个)、.net(6个)、.org(2个)。管理上述顶级域的注册局为Verisign和PIR,二者均位于美国。注册局提供的WHOIS数据显示,在UTC时间6月22日14时左右,所有被查封域名的权威服务器被统一更改为亚马逊公司DNS服务器地址,如图3所示。

图3 注册局Verisign提供的presstv.com的WHOIS数据(部分)

在注册商层面,本次被查封的这批域名一共涉及20个注册商(包括7家非美国注册商),其中至少29个域名的注册商WHOIS数据仍维持原状,未被修改(图4)。因此,我们判断此次域名查封操作是由美国注册局批量执行的,和注册商的关系不大。

图4 注册商Instra提供的域名presstv.com的WHOIS数据(部分)

03 域名接管的现有实践

我们将“域名查封”等通过非常规方式导致域名状态发生变化的操作统称为“域名接管”。在本文的剩余部分,我们将讨论在什么样的条件下可以接管一个已注册的域名。

通常来说,注册商和注册局并没有权力主动地对其管辖的域名进行接管。2011年,美国注册局Verisign曾向ICANN寻求获取在无法院命令的情况下直接接管域名的权力,但该请求最终被驳回[4]。

根据公开资料,我们了解到有以下三种常见途径可以对已注册的域名进行接管:

1、 向域名注册机构(注册局/注册商)提起关于域名滥用(DNS Abuse)的投诉。根据2020年全球48家大型域名注册机构达成的最新共识[5],一旦某个域名经调查证实与恶意软件(malware)、僵尸网络(botnet)、钓鱼攻击(phishing)和网络诈骗(spam)相关,注册机构必须对整个域名进行关停(disable)处理。不过,对于其他存在争议的用途以及网页内容(例如版权纠纷、色情内容)是否属于域名滥用,仍未有明确的共识和规范。

域名注册机构可通过邮件或在线表单的方式接收关于域名滥用的投诉,在确认滥用投诉属实(例如属于上述共识中的恶意行为之一)或有注册机构所在地区法庭文件支持的情况下,通过此途径的投诉通常可以被接受并进行关停处理。

图5 注册商GoDaddy的域名滥用投诉页面受理类型包括恶意软件、钓鱼、欺诈等

2、通过域名仲裁启动统一快速中止程序(URS)[6]。该程序主要用于解决由商标权、域名抢注等原因产生的域名争议问题。投诉人需向域名争议解决中心等提供URS服务的机构提出申请,相关域名在仲裁期间将被锁定交易。当投诉人胜诉时,域名在剩余注册期内将被暂停使用并解析到URS信息页面(图6),直到域名被转让给投诉人。

图6 被统一快速中止程序(URS)暂停的域名

3、 通过法庭命令进行域名接管。ICANN于2012年5月发布的一份指导性文件[7]指出,在美国或其他政府管辖的区域内接管域名,需要由法院签发“扣押令”(seizure warrant)或“限制令”(restraining order),明确接管的原因和相关机构需采取的具体措施。在本次事件中,美国注册局Verisign正是依据美国法院的命令对伊朗媒体域名进行了查封。

近年来,在美国通过法庭命令接管本国注册机构管理的域名似乎已成为一种常见的司法实践。此前通过这一途径接管的案例包括极端组织域名[8]、数字货币交易所[9]和音乐网站[10]。值得注意的是,一些安全公司等非政府机构也可以向法院提起诉讼,进行域名的接管。例如,2012年微软通过法庭命令接管了域名3322.org(.org域名的注册局为美国的PIR)[11];2020年微软联合其他安全公司接管了SolarWinds攻击事件中使用的域名[12],理由均为域名被用于网络犯罪活动。英国国家网络安全中心NCSC在2019年也查封了17万多个恶意网站域名[14]。

04 争议与讨论

关于域名接管的流程和依据,虽然域名注册社区已经达成了部分共识,但对有些问题仍然存在较大的争议。目前,关于域名接管的具体流程仍然缺乏最佳实践。我们经过查阅公开资料并与技术专家进行讨论,对若干个安全社区可能关切的问题进行探讨,供同行参考。

1、 域名注册机构(注册局/注册商)会处理所有的域名接管请求吗?

不会。根据域名注册机构的普遍共识,如果有明确证据证明域名被滥用于僵尸网络等恶意行为,域名接管请求很可能被接受并处理。此外,注册机构由于受到所在国家或地区的监管,通常需要执行本国法院下达的命令。其他情况则可能取决于域名注册机构自身的评判标准。

2、 域名注册机构如何处理跨境法院发起的域名接管请求?

不确定。域名注册机构一般没有义务处理跨境法院发起的域名接管请求。这主要是由于不同地区的现行法律存在差异,跨境管辖容易引起争议。

3、 域名被美国政府“查封”后,还有恢复的可能性吗?

理论上有。通过法律途径接管域名存在上诉或抗诉途径。在本次事件中,美国政府对伊朗域名的查封遵循了美国对于“境外资产”的查封流程,被查封域名的持有者可以通过法律途径上诉。不过,最终是否能够恢复域名,取决于能否在法庭胜诉。

4、 “.com”域名被美国法院强行查封的风险是否永久存在?

不一定。本次事件中的域名被查封,主要是因为它们的顶级域(.com/.net等)由位于美国的注册局管理,因此需要执行美国法院下达的接管命令。实际上,域名顶级域的运行管理职责均由ICANN授权,遵守ICANN的共识政策及协议要求;注册局协议(Registry Agreement,RA)有一定期限,到期需要续约并存在重新竞标的可能,任何符合资质的公司或机构均可以参与竞标。如果将来美国以外的其他公司通过竞标获得了.com顶级域的管理权,则可能不受美国的管辖。当然,Verisign对 .com的RA有优先续约权,这得益于该公司在过去维护.com顶级域期间没有发生过任何服务中断事件,因此获取了技术社区和域名注册人的信任。

5、 美国执法部门可以通过类似途径查封互联网上所有的域名吗?

不能。自从New gTLD计划实施以来,互联网域名空间已有超过1000个通用顶级域被批准使用,其中约500个通用顶级域的注册局为非美国机构[13],例如“.top”、“.online”、“.网址”等。大量位于其他国家的域名管理机构无需响应美国执法部门的域名查封命令。

6、 本次事件是否证明“美国完全控制着互联网域名系统”?

不能。在域名被查封后,伊朗媒体更换域名顶级域至伊朗国家域名.ir使得网站继续正常运转。如果美国政府完全控制着域名系统,那么它可以通过根服务器把presstv.ir域名也“查封”了。该事件恰恰说明,美国政府此次没有通过控制根服务器(或者做不到),让不喜欢的某个国家顶级域名解析出现问题。

7、 我需要把.com等域名换成美国管辖以外的其他顶级域域名吗?

如果你认为你的网站内容可能触犯美国法律,可以考虑把域名切换成其他国家注册局管理的顶级域名。但是,你的网站内容仍然受到该顶级域名注册局所在国家的管辖,比如,切换成.cn就必须接受中国法律的管辖。

8、 除美国之外,其它国家有可能“查封”.com域名么?

有。由于域名注册人是通过注册商来进行域名注册,也就意味着某国政府可不通过注册局、而是通过其管辖的当地注册商,来对判定违规的域名进行诸如“冻结”“接管”“转移”等处置。

附录:知名的域名接管事件

  • 1.3322.org

    3322.org是中国某公司运维的动态域名,曾经被用作Nitol僵尸网络的域名。为打击Nitol僵尸网络,微软公司获得法院许可,接管动态DNS服务提供商 3322.org 域名 (https://krebsonsecurity.com/2012/09/microsoft-disrupts-nitol-botnet-in-piracy-sweep/)

  • 2.dajaz1.com

    知名嘻哈网站因未获得音乐版权,被美国唱片业协会举报,美国联邦当局将域名临时查封,并于一年后将其归还(https://www.wired.com/2012/05/weak-evidence-seizure/)

  • 3.libertyreserve.com

    自由储备数据货币被广泛用于地下网络犯罪交易,网站创始人因涉嫌洗钱被西班牙政府逮捕,网站随后被关停(https://krebsonsecurity.com/2013/05/reports-liberty-reserve-founder-arrested-site-shuttered/)

  • 4.Avalanche

    “雪崩”分布式云主机被网络犯罪人员广泛用于托管恶意软件,发起网络钓鱼攻击。美国、英国和欧洲的联邦调查人员共同查封600余台服务器和80余万个网站域名。(https://krebsonsecurity.com/2016/12/avalanche-global-fraud-ring-dismantled/)

参考文献

[1] United States Seizes Websites Used by the Iranian Islamic Radio and Television Union and Kata’ib Hizballah. https://www.justice.gov/opa/pr/united-states-seizes-websites-used-iranian-islamic-radio-and-television-union-and-kata-ib

[2] United States Seizes Domain Names Used by Iran’s Islamic Revolutionary Guard Corps. https://www.justice.gov/opa/pr/united-states-seizes-domain-names-used-iran-s-islamic-revolutionary-guard-corps

[3] 360 Netlab. 被拦截的伊朗域名的快速分析. https://blog.netlab.360.com/analysis-of-seized-iran-domains/

[4] Verisign Anti-Abuse Domain Use Policy. https://www.icann.org/en/system/files/files/verisign-com-net-name-request-10oct11-en.pdf

[5] Framework to Address Abuse. https://dnsabuseframework.org/media/files/2020-05-29_DNSAbuseFramework.pdf

[6] Uniform Rapid Suspension System (URS). https://newgtlds.icann.org/en/applicants/urs/procedure-01mar13-en.pdf

[7] ICANN. Guidance for Preparing Domain Name Orders, Seizures & Takedowns. https://www.icann.org/en/system/files/files/guidance-domain-seizures-07mar12-en.pdf

[8] https://www.justice.gov/opa/press-release/file/1334551/download

[9] Reports: Liberty Reserve Founder Arrested, Site Shuttered. https://krebsonsecurity.com/2013/05/reports-liberty-reserve-founder-arrested-site-shuttered/

[10] Feds Seizes Hip-Hop Site for a Year, Waiting for Proof of Infringement. https://www.wired.com/2012/05/weak-evidence-seizure/

[11] Microsoft seizes Chinese dot-org to kill Nitol bot army. https://www.theregister.com/2012/09/13/botnet_takedown/

[12] Microsoft partnered with security firms to sinkhole the C2 used in SolarWinds hack. https://securityaffairs.co/wordpress/112342/apt/microsoft-seized-c2-solarwinds-hack.html

[13] Registry Listings. https://www.icann.org/resources/pages/listing-2012-02-25-en

[14] NCSC took down 177,335 phishing websites in the past one year: https://www.teiss.co.uk/ncsc-phishing-websites-action/


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1625/