顶级域名扩展成商用计算机安全隐患

通用顶级域名 (Generic Top-level domains, gTLDs) 近期的爆炸式发展可能造成企业内部使用的内部域名与公网上的注册域名之间的冲突,让企业的计算机产生风险。

许多企业已经配置了一些域名,而很多时候,这些域名使用的是编出来的顶级域名,它们在几年以前还不存在于互联网上,比如 .office 、 .global 、 .network 、 .group 、 .school 等。使用内部的基于域的名称空间可以更容易地锁定、管理并访问系统。

问题在于,过去的两年中,互联网名称与数字地址分配机构 (Internet Corporation for Assigned Names and Numbers, ICANN) 为了进一步扩张,批准了超过900个新的公开通用顶级域名,这可能会对使用基于域名的企业网络上的应用和xie造成未知的安全影响。

比如网络代理自动发现协议(Web Proxy Auto-discovery, WPAD) ,本地网络上的计算机会使用该协议,自动查找应当使用的网络代理设置。

WPAD在IE和Windows中是默认开启的,这也是企业网络环境中最常见的浏览器-操作系统组合。火狐、谷歌Chrome和苹果Safari等浏览器也在Linux和OS X等其它平台上支持该协议,只不过并非自动开启。

计算机应当使用WPAD协议和本地DNS服务器,寻找应当下载并使用的wpad.dat代理配置文件。对于基于域名的网络而言,这一文件可能存储在以wpad.internal_domain.tld.为主机名的Web服务器上。

出现的问题是这样:当计算机,比如一台笔记本电脑被带离企业的网络环境,并连接到了不同的网络上,由于企业的内部DNS服务器无法使用,WPAD NDS查询请求将会被发送到公共DNS服务器上。

由于通用顶级域名扩展产生的影响,攻击者可以用企业内部通行的域名注册一个共有域名,并将恶意的代理配置文件托管到主机上,供上述情况下的笔记本电脑下载。这意味着这类计算机的网络流量将经过一个攻击者控制的代理服务器,产生非法流量窥探或篡改的可能性。这也被称为中间人攻击。

为了揭示此问题的广度,来自Verisign公司和密歇根大学的研究人员分析了全球13台DNS根服务器中的2台在2013年9月到2015年7月之间shWPAD请求。这两台服务器是属于Verisign公司的。

数据表明,平均每天大约有2000万次WPAD请求传到服务器,对应的潜在受害者数量可能高达660万人。研究人员发现,泄露的WPAD请求涉及ICANN在2015年8月25日前授权的738个新域名中的485个。

该问题可能比上述情况的影响更大,因为ICANN自去年8月起又授权了201个新的通用顶级域名,而且,研究人员分析的数据仅仅来自全球13台DNS根服务器中的2台。

受影响最大的通用顶级域名如下:.global .ads .group .network .dev .office .prod .hsbc .win .world .wan .sap .site。大约65%的受影响WPAD请求来自美国。

该问题促使美国计算机紧急响应小组 (United States Computer Emergency Readiness Team, US-CERT) 在本周一发布了安全警报。小组对网络管理员提出了一些建议:

在配置设备时,如非必要,禁用浏览器和操作系统的自动代理发现功能;

使用全球DNS下广受承认的域名作为企业和内部地址空间的根域名,比如企业亲自注册并拥有的域名。

本文转自d1net(转载)

时间: 2024-10-23 04:38:03

顶级域名扩展成商用计算机安全隐患的相关文章

互联网名称和号码分配机构批准通过了新顶级域名扩展计划

据国外媒体报道,互联网名称和号码分配机构(ICANN)昨日批准通过了新顶级域名扩展计划.这是自上个世纪八十年代以来互联网业界最大的变革之一.而随着各个公司和其他组织可能将展开诸如.cancer,.chocolate甚至任何它们想要申请注册域名的争夺战,2012年恐将拉开新一轮域名注册混战的序幕. 在新加坡召开的特别会议上,ICANN投票通过了大幅增加域名数量的提案.该域名提案消除了对域名后缀的所有限制,任何词语都能作为域名后缀使用,厂商们也可以将自己的品牌作为域名后缀使用. 目前,全球共有22个

互联网名称和号码分配机构通过了新顶级域名扩展计划

据国外媒体报道,互联网名称和号码分配机构(ICANN)昨日批准通过了新顶级域名扩展计划.这是自上个世纪八十年代以来互联网业界最大的变革之一.而随着各个公司和其他组织可能将展开诸如.cancer,.chocolate甚至任何它们想要申请注册域名的争夺战,2012年恐将拉开新一轮域名注册混战的序幕. 在新加坡召开的特别会议上,ICANN投票通过了大幅增加域名数量的提案.该域名提案消除了对域名后缀的所有限制,任何词语都能作为域名后缀使用,厂商们也可以将自己的品牌作为域名后缀使用. 目前,全球共有22个

ICANN曝新顶级域名申请名单 中国机构占4.5%

中介交易 SEO诊断 淘宝客 云主机 技术大厅 昨晚ICANN正式公布了备受瞩目的新通用顶级域名全球申请名单,共收到1930个新顶级域名申请.中国机构申请顶级域名数量为87个,仅占全球申请量的 4.5%.中国(不含港澳台)机构申请顶级域名数量为41个,其中超过半数(20个以上)为 中网(knet.cn)公司提供申请咨询.技术平台托管等服务,中网已经成为国内最大的新顶级域名代理托管服务商. 根据ICANN公布的名单,中国机构申请的新顶级域名分为三类:一是提供公开注册服务的通用商务域名,例如CNNI

国内首份《互联网根和顶级域名发展报告》发布

和讯科技消息 4月9日,"中国新通用顶级域名高峰论坛"昨日在京举行.会上还同时发布了由互联网域名系统北京市工程研究中心完成的<互联网根和顶级域名发展报告>(以下简称"报告"),这是国内首份关于新通用顶级域名的专业报告. 报告显示,自2011年6月ICANN批准并启动了新通用顶级域名扩展计划以来,全球已有1154家机构申请了1930个新通用顶级域名,谷歌作为新通用顶级域名申请的领军人物,一家企业便申请了98个与其品牌及业务相关的新顶级域名,亚马逊则紧随其后

新顶级域名公布 名商网等42家中国机构申请

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 ICANN(互联网名称与数字地址分配机构)13日在伦敦公布了最新的1930个新顶级域名(New gTLD)申请名单,其中大部分为美国企业申请.名单中有42家来自中国的企业和机构共申请了七十多个新顶级域名,其中23家来自内地.16家来自香港.3家来自台湾,另外还有些中国企业是通过境外公司申请的新顶级域名. 中国机构申请的新顶级域名分为三类:一是

新顶级域名抽签细则由ICANN公布

近日,互联网名称与数字分配机构(ICANN)为新顶级域名申请人下发了有关抽签的最终通知,这让1923份新顶级域申请名单再次成为公众关注的焦点.     可想而知,新顶级域名扩展后,域名格局将被大大的改变,这在很大程度上会影响申请者的全球品牌价值,甚至可以创造出新的商业模式.然而,在这份近2000份的申请名单中,ICANN表示每年只能处理1000个,孰先孰后就成为了申请人最为关注的问题.     在今年10月份ICANN多伦多会议上,ICANN董事会提出通过抽签来决定审批顺序的提案,同时,出于全球

新顶级域名提案正式获批 或引发域名资产争夺战

新通用顶级域名提案在ICANN(国际互联网名称与数字地址分配机构)新加坡会议上正式获得批准通过..com..net..org等二十几种互联网通用顶级域名将会增加至几百甚至上千种..移动..微博..苹果将有可能成为全球华人通用的新顶级域名.ICANN宣布,将启动新通用顶级域名全球宣传计划,预计在2012年1月12日正式开放申请,首轮开放时间仅为3个月.任何符合新申请条件的公司.注册机构.组织都可以提交申请,并在ICANN批准后成为该新通用顶级域名的注册局.中国万网官方微博率先发布该消息后,引发了众

ICANN昨日晚间正式公布新通用顶级域名全球申请名单

摘要: ICANN昨日晚间正式公布新通用顶级域名全球申请名单,54家中国机构申请87个新顶级域名,中信集团.京东商城.搜狐.人人网等公司均出现在此次申请名单. ICANN数据表明,全球有115 ICANN昨日晚间正式公布新通用顶级域名全球申请名单,54家中国机构申请87个新顶级域名,中信集团.京东商城.搜狐.人人网等公司均出现在此次申请名单. ICANN数据表明,全球有1154机构申请了1930新顶级域名,除传统的英语字符以外,还包括国际化域名(IDNs),如中文.法文.阿拉伯语等多个语种的新顶

新顶级域名抽签结果的公布

备受瞩目的新顶级域大名单现场抽签活动于17日在洛杉矶落下帷幕.互联网名称与数字分配机构(ICANN)表示,将会在24小时内将最终抽签结果发布在其官网上. 根据抽签结果显示,在有效的1917个申请中,".香格里拉"排在第21位,".中信"排在第5位,".一号店"排在第19位,".大众汽车"排在第36位,".工行"排在第41位,".xin"排在第236位--这也显示出国内企业对域名品牌价值的