域名一夜之间被改变解析，域名查封离我们有多远？

一直以来，我们关注域名的点都是在域名投资和域名仲裁方面（仲裁域名一个需要多长时间多少钱，划不划算？官方权威解答来了！），今天给大家分享一个域名查封的案例。

美国对伊朗网站的封杀举动引起全球网络安全专家的警惕。俄罗斯卫星网22日称，美国司法部查封了超过30个伊朗网站。报道称，此次查封目前仅针对美国管辖范围内的.com和.net网站域名，暂未涉及伊朗网站域名，因此部分网站通过更换伊朗域名.ir已重新上线。

天津大学法学院互联网政策与法律研究中心主任秦安23日接受《环球时报》记者采访时表示，这只是美国网络霸权的牛刀小试。美国不光能查封网站，它甚至能让整个国家从全球互联网版图中消失，核心在于美国控制着绝大部分根服务器和域名管理服务器。说白了，现在的互联网的核心管理权都在美国手里。虽然如今所有根服务器表面上均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，但其实后者也是美国政府控制下的一个机构，必须遵守美国的法律。

秦安同时表示，美国这种所谓查封是指国外网民无法访问伊朗网站，让伊朗在互联网世界被孤立起来，但伊朗国内可以访问这些网站。他强调说，这次美国封杀伊朗网站，表明当前网络空间面临三大障碍：首先是美国的霸权向网络空间延伸。其次，美国是互联网的缔造者，所有管理权由它说了算。此外，美国已准备好网络战争。它在相关领域具有极大优势，全球必须高度警惕。

（清华大学-奇安信集团联合研究中心）

摘要

近期美国司法部查封了伊朗的一些媒体网站的域名，引起了许多关注和讨论。本文从技术角度分析了当前仍然不够成熟的恶意域名查封流程，涉及注册局/注册商、安全公司、政府等相关机构。本文只是技术讨论，其中的观点仅代表作者本人。

01

事件回顾

当地时间6月22日，美国宣布对36个伊朗媒体域名进行了查封（seizure），引发国际社会关注。据美国司法部网站公告[1]，被查封的域名包括伊朗英文电视台（presstv.com）、伊朗世界新闻卫视（alalamtv.net）等，理由是这些域名的持有机构违反了美国的制裁措施（inviolationofU.S.sanctions）并传播针对美国的虚假消息（targettheUnitedStateswithdisinformationcampaigns）。目前，访问上述网站将看到含有此网站已被查封字样的图片，并配有美国司法部联邦调查局和商务部产业安全局徽章（图1）。随后，伊朗媒体将域名presstv.com迁移至presstv.ir恢复了服务。

图1被查封的域名presstv.com主页

此次事件并非主权国家第一次在互联网空间使用法律或行政手段查封其它国家机构/个人所持有的适用本国法律监管的域名。通常来说，涉及网络钓鱼、僵尸网络等滥用行为的域名会遭到全球各国监管部门的联合打击，某些国家也会依据本国法律及域名管理政策对所判定的非法域名进行无差别处置。此前美国执法部门已于2020年10月查封92个和伊朗伊斯兰革命卫队有关的域名，并称将继续使用一切工具阻止伊朗政府滥用美国公司和社交网络进行政治宣传活动，秘密影响美国公众以及挑拨离间（useallofourtoolstostoptheIranianGovernmentfrommisusingU.S.companiesandsocialmediatospreadpropagandacovertly,toattempttoinfluencetheAmericanpublicsecretly,andtosowdiscord）[2]。

02

事件技术性分析

为了分析出本次查封事件中的执行主体，我们有必要对域名注册过程进行简要介绍。

域名空间是一个层次结构的树形分布式数据库，它的顶层是DNS根，下面是1000余个顶级域（如.com、.net、.top和.cn等）。如图2所示，顶级域由互联网数字和地址分配机构（ICANN）授权，并由域名注册局（registry）进行管理和解析。例如，顶级域.com和.net的注册局为美国的Verisign公司。注册局将域名注册业务委托给分布于全球的域名注册商（registrar），例如阿里云和GoDaddy，由注册商向普通用户出售顶级域下的二级域名（例如baidu.com）。注册商和注册局各自维护所管辖域名的WHOIS数据，记录域名的注册人和负责其解析的权威服务器等信息。

图2域名注册和管理机制

本次域名查封是美国执法部门要求域名注册局（registry）执行的，与注册商（registrar）无直接关系

。根据安全公司披露的域名清单[3]，被查封的部分网站顶级域分布为：.tv（14个）、.com（11个）、.net（6个）、.org（2个）。管理上述顶级域的注册局为Verisign和PIR，二者均位于美国。注册局提供的WHOIS数据显示，在UTC时间6月22日14时左右，所有被查封域名的权威服务器被统一更改为亚马逊公司DNS服务器地址，如图3所示。

图3注册局Verisign提供的

presstv.com的WHOIS数据（部分）

在注册商层面，本次被查封的这批域名一共涉及20个注册商（包括7家非美国注册商），其中至少29个域名的注册商WHOIS数据仍维持原状，未被修改（图4）。因此，我们判断此次域名查封操作是由美国注册局批量执行的，和注册商的关系不大。

presstv.com的WHOIS数据（部分）

03

域名接管的现有实践

我们将域名查封等通过非常规方式导致域名状态发生变化的操作统称为域名接管。在本文的剩余部分，我们将讨论在什么样的条件下可以接管一个已注册的域名。

通常来说，注册商和注册局并没有权力主动地对其管辖的域名进行接管。2011年，美国注册局Verisign曾向ICANN寻求获取在无法院命令的情况下直接接管域名的权力，但该请求最终被驳回[4]。

根据公开资料，我们了解到有以下三种常见途径可以对已注册的域名进行接管：

1、向域名注册机构（注册局/注册商）提起关于域名滥用（DNSAbuse）的投诉。

根据2020年全球48家大型域名注册机构达成的最新共识[5]，一旦某个域名经调查证实与恶意软件（malware）、僵尸网络（botnet）、钓鱼攻击（phishing）和网络诈骗（spam）相关，注册机构必须对整个域名进行关停（disable）处理。不过，对于其他存在争议的用途以及网页内容（例如版权纠纷、色情内容）是否属于域名滥用，仍未有明确的共识和规范。

域名注册机构可通过邮件或在线表单的方式接收关于域名滥用的投诉，在确认滥用投诉属实（例如属于上述共识中的恶意行为之一）或有注册机构所在地区法庭文件支持的情况下，通过此途径的投诉通常可以被接受并进行关停处理。

图5注册商GoDaddy的域名滥用投诉页面

受理类型包括恶意软件、钓鱼、欺诈等

2、通过域名仲裁启动统一快速中止程序（URS）[6]。

该程序主要用于解决由商标权、域名抢注等原因产生的域名争议问题。投诉人需向域名争议解决中心等提供URS服务的机构提出申请，相关域名在仲裁期间将被锁定交易。当投诉人胜诉时，域名在剩余注册期内将被暂停使用并解析到URS信息页面（图6），直到域名被转让给投诉人。

图6被统一快速中止程序（URS）暂停的域名

3、通过法庭命令进行域名接管。

ICANN于2012年5月发布的一份指导性文件[7]指出，在美国或其他政府管辖的区域内接管域名，需要由法院签发扣押令（seizurewarrant）或限制令（restrainingorder），明确接管的原因和相关机构需采取的具体措施。在本次事件中，美国注册局Verisign正是依据美国法院的命令对伊朗媒体域名进行了查封。

近年来，在美国通过法庭命令接管本国注册机构管理的域名似乎已成为一种常见的司法实践。此前通过这一途径接管的案例包括极端组织域名[8]、数字货币交易所[9]和音乐网站[10]。值得注意的是，一些安全公司等非政府机构也可以向法院提起诉讼，进行域名的接管。例如，2012年微软通过法庭命令接管了域名3322.org（.org域名的注册局为美国的PIR）[11]；2020年微软联合其他安全公司接管了SolarWinds攻击事件中使用的域名[12]，理由均为域名被用于网络犯罪活动。英国国家网络安全中心NCSC在2019年也查封了17万多个恶意网站域名[14]。

04

争议与讨论

关于域名接管的流程和依据，虽然域名注册社区已经达成了部分共识，但对有些问题仍然存在较大的争议。目前，关于域名接管的具体流程仍然缺乏最佳实践。我们经过查阅公开资料并与技术专家进行讨论，对若干个安全社区可能关切的问题进行探讨，供同行参考。

1、域名注册机构（注册局/注册商）会处理所有的域名接管请求吗？

不会。根据域名注册机构的普遍共识，如果有明确证据证明域名被滥用于僵尸网络等恶意行为，域名接管请求很可能被接受并处理。此外，注册机构由于受到所在国家或地区的监管，通常需要执行本国法院下达的命令。其他情况则可能取决于域名注册机构自身的评判标准。

2、域名注册机构如何处理跨境法院发起的域名接管请求？

不确定。域名注册机构一般没有义务处理跨境法院发起的域名接管请求。这主要是由于不同地区的现行法律存在差异，跨境管辖容易引起争议。

3、域名被美国政府查封后，还有恢复的可能性吗？

理论上有。通过法律途径接管域名存在上诉或抗诉途径。在本次事件中，美国政府对伊朗域名的查封遵循了美国对于境外资产的查封流程，被查封域名的持有者可以通过法律途径上诉。不过，最终是否能够恢复域名，取决于能否在法庭胜诉。

4、.com域名被美国法院强行查封的风险是否永久存在？

不一定。本次事件中的域名被查封，主要是因为它们的顶级域（.com/.net等）由位于美国的注册局管理，因此需要执行美国法院下达的接管命令。实际上，域名顶级域的运行管理职责均由ICANN授权，遵守ICANN的共识政策及协议要求；注册局协议（RegistryAgreement，RA）有一定期限，到期需要续约并存在重新竞标的可能，任何符合资质的公司或机构均可以参与竞标。如果将来美国以外的其他公司通过竞标获得了.com顶级域的管理权，则可能不受美国的管辖。当然，Verisign对.com的RA有优先续约权，这得益于该公司在过去维护.com顶级域期间没有发生过任何服务中断事件，因此获取了技术社区和域名注册人的信任。

5、美国执法部门可以通过类似途径查封互联网上所有的域名吗？

不能。自从NewgTLD计划实施以来，互联网域名空间已有超过1000个通用顶级域被批准使用，其中约500个通用顶级域的注册局为非美国机构[13]，例如.top、.online、.网址等。大量位于其他国家的域名管理机构无需响应美国执法部门的域名查封命令。

6、本次事件是否证明美国完全控制着互联网域名系统？

不能。在域名被查封后，伊朗媒体更换域名顶级域至伊朗国家域名.ir使得网站继续正常运转。如果美国政府**完全**控制着域名系统，那么它可以通过根服务器把presstv.ir域名也查封了。该事件恰恰说明，美国政府此次没有通过控制根服务器（或者做不到），让不喜欢的某个国家顶级域名解析出现问题。

7、我需要把.com等域名换成美国管辖以外的其他顶级域域名吗？

如果你认为你的网站内容可能触犯美国法律，可以考虑把域名切换成其他国家注册局管理的顶级域名。但是，你的网站内容仍然受到该顶级域名注册局所在国家的管辖，比如，切换成.cn就必须接受中国法律的管辖。

8、除美国之外，其它国家有可能查封.com域名么？

有。由于域名注册人是通过注册商来进行域名注册，也就意味着某国政府可不通过注册局、而是通过其管辖的当地注册商，来对判定违规的域名进行诸如冻结接管转移等处置。

此次事件中，美国政府又是如何便利的直接控制这些伊朗的新闻网站的指向呢？

通过域名后缀可知，.com顶级域运营管理的公司为位于美国的Verisign。此番被美国政府查封的网站域名presstv.com，就可通过注册管理局Verisign（美国公司）之手在相关域名dns上进行了直接修改操作。

.com顶级域管理局Verisign在其域名解析系统上将域名由原来伊朗管理的DNS服务器ns1.presstv.ir和ns2.presstv.ir修改为由美国亚马逊公司（美国公司）管理的服务器：

ns-388.awsdns-48.com

ns-977.awsdns-58.net

ns-1088.awsdns-08.org

ns-1900.awsdns-45.co.uk

最终，presstv.com呈现出被美国政府所控制的页面。

伊朗斥美国关闭其媒体网站行为严重破坏言论自由，并表示美国的言论自由根本是一个谎言。甚至早在半年多前，美国就以网站被革命卫队控制，传播不实信息为由，相继关闭了伊朗近100个相关网站。

此次事件为我们日常的网络安全敲响了警钟。当譬如不法分子、黑客、霸权机构企图对网站域名进行删除、修改、锁定，并对网页进行篡改、关停都是一件非常简单的事情。任何一个疏漏有可能对域名和网站造成致命的威胁。

因此、对域名和网站进行监测显得尤为重要。

附录：知名的域名接管事件

1.3322.org

3322.org是中国某公司运维的动态域名，曾经被用作Nitol僵尸网络的域名。为打击Nitol僵尸网络，微软公司获得法院许可，接管动态DNS服务提供商3322.org域名（https://krebsonsecurity.com/2012/09/microsoft-disrupts-nitol-botnet-in-piracy-sweep/）

2.dajaz1.com

知名嘻哈网站因未获得音乐版权，被美国唱片业协会举报，美国联邦当局将域名临时查封，并于一年后将其归还（https://www.wired.com/2012/05/weak-evidence-seizure/）

3.libertyreserve.com

自由储备数据货币被广泛用于地下网络犯罪交易，网站创始人因涉嫌洗钱被西班牙政府逮捕，网站随后被关停（https://krebsonsecurity.com/2013/05/reports-liberty-reserve-founder-arrested-site-shuttered/）

4.Avalanche

雪崩分布式云主机被网络犯罪人员广泛用于托管恶意软件，发起网络钓鱼攻击。美国、英国和欧洲的联邦调查人员共同查封600余台服务器和80余万个网站域名。（https://krebsonsecurity.com/2016/12/avalanche-global-fraud-ring-dismantled/）

参考文献

[1]UnitedStatesSeizesWebsitesUsedbytheIranianIslamicRadioandTelevisionUnionandKata’ibHizballah.https://www.justice.gov/opa/pr/united-states-seizes-websites-used-iranian-islamic-radio-and-television-union-and-kata-ib

[2]UnitedStatesSeizesDomainNamesUsedbyIran’sIslamicRevolutionaryGuardCorps.https://www.justice.gov/opa/pr/united-states-seizes-domain-names-used-iran-s-islamic-revolutionary-guard-corps

[3]360Netlab.被拦截的伊朗域名的快速分析.https://blog.netlab.360.com/analysis-of-seized-iran-domains/

[4]VerisignAnti-AbuseDomainUsePolicy.https://www.icann.org/en/system/files/files/verisign-com-net-name-request-10oct11-en.pdf

[5]FrameworktoAddressAbuse.https://dnsabuseframework.org/media/files/2020-05-29_DNSAbuseFramework.pdf

[6]UniformRapidSuspensionSystem(URS).https://newgtlds.icann.org/en/applicants/urs/procedure-01mar13-en.pdf

[7]ICANN.GuidanceforPreparingDomainNameOrders,Seizures&Takedowns.https://www.icann.org/en/system/files/files/guidance-domain-seizures-07mar12-en.pdf

[8]https://www.justice.gov/opa/press-release/file/1334551/download

[9]Reports:LibertyReserveFounderArrested,SiteShuttered.https://krebsonsecurity.com/2013/05/reports-liberty-reserve-founder-arrested-site-shuttered/

[10]FedsSeizesHip-HopSiteforaYear,WaitingforProofofInfringement.https://www.wired.com/2012/05/weak-evidence-seizure/

[11]MicrosoftseizesChinesedot-orgtokillNitolbotarmy.https://www.theregister.com/2012/09/13/botnet_takedown/

[12]MicrosoftpartneredwithsecurityfirmstosinkholetheC2usedinSolarWindshack.https://securityaffairs.co/wordpress/112342/apt/microsoft-seized-c2-solarwinds-hack.html

[13]RegistryListings.https://www.icann.org/resources/pages/listing-2012-02-25-en

[14]NCSCtookdown177,335phishingwebsitesinthepastoneyear:https://www.teiss.co.uk/ncsc-phishing-websites-action/

美国东部时间6月22日，美国司法部宣布查封伊朗的36个网站

。查封的理由是，这些网站的域名归一家美国公司所有。所指的域名是顶级域名（gTLD）。这些网站首页显示的被美国查封的通知上，附有美国联邦调查局和美国商务部产业安全局的印徽，公然宣示美国的主权。

一、美国司法部公告（参考译文）

内容如下：

今天，根据法院命令，美国查封了伊朗伊斯兰广播电视联盟（IRTVU）使用的33个网站和真主党（KH）运营的三个网站，这些网站违反了美国的制裁令

。

2020年10月22日，外国资产控制办公室（OFAC，隶属于财政部）将伊朗伊斯兰广播电视联盟（IRTVU）列为特别指定国民（SDN），因为该联盟由伊斯兰革命卫队圣城旅（IRGC）拥有或控制。未经OFAC许可，SDN不得在美国获得服务，包括网站和域名服务。OFAC的声明解释说，伊朗政府的组成部分，包括IRTVU和其他类似机构，伪装成新闻机构或媒体机构，针对美国进行虚假宣传和诽谤影响活动。今天查封由IRTVU运营的33个网站，其域名归一家美国公司所有。在使用域名前，IRTVU没有获得OFAC许可。

今天查封的另外三个网站由真主党（KH）运营。2009年7月2日，OFAC将KH列为SDN，国务院将KH指定为外国恐怖主义组织。OFAC和国务院公告，KH是伊拉克的恐怖组织，该组织实施、指挥、支持或构成对驻伊拉克联军和伊拉克安全部队实施暴力行为的重大风险。OFAC进一步解释说，伊斯兰革命卫队向KH和其他伊拉克什叶派民兵组织提供致命性武器，这些组织针对并杀伤了伊拉克联军和伊拉克安全部队。KH运营的三个域名归一家美国公司所有。在使用域名前，KH没有获得OFAC许可。

商务部工业和安全局出口执法办公室和FBI对上述网站进行了调查和查封，司法部国家安全局反情报和出口管制处对被查封的资产提起诉讼。

二、美国查封伊朗网站的严重警示

1、事实上，2020年10月7日，美国司法部就以同样的理由，查封了伊朗伊斯兰革命卫队的92个网站

。美国的相关起诉书陈述：

●被查封的域名是在美国域名注册机构处注册，并使用美国注册商所拥有的顶级域名（.com，.net，.org）。

●对于每个顶级域（例如.com），都有一个注册机构（registry）的公司，负责决定确将二级域名（即权威域名）解析到相应的IP地址。

●顶级域名.com和.net的注册机构是VeriSign,Inc；顶级域名.org的注册机构是PIR（PublicInternetRegistry）；顶级域名.info的注册机构是Afilias。

上述陈述作为美国政府的立场宣示：顶级域名的所有权属于美国（注册机构）；美国拥有对所有二级域名（权威域名）的解析服务权。

2、根据威尔森（Verisign）的统计报告（2021-6），截至2021年3月底，全球注册的因特网（Internet）顶级域名数量为3.863亿个

，其中：

顶级域名.com注册数量154,998,434个占比40.12%；顶级域名.net注册数量13,326,298个占比3.45%；顶级域名.org注册数量10,422,412个占比2.70%；顶级域名.info注册数量3,889,645个占比1.01%。

顶级域名注册数量排名前十的是（M是百万数量）：

.com

（155M），

.tk

（24.7M），

.cn

（20.7M），

.de

（16.8M），

.net

（13.3M），

.uk

（11M），

.org

（10.4M），

.nl

（6.2M），

.ru

（5.7M），

.br

（4.6M）。

因特网通用顶级域名（gTLD）的注册机构都是美国公司

。

这就是说，

任何使用通用顶级域名的网站（或服务器），无须经过美国以外的主权国家的同意，随时随地可以任何直接或间接的莫须有的所谓违反美国法律的罪名被制裁，并且貌似合法地断服、断网

。

3、美国查封伊朗网站，再一次严重警示我们：

1）

因特网的根域名、顶级域名和权威域名，构成域名解析服务的不可逆供应链（含分布式多级域名解析系统DNS），其中的任何一个环节断裂都会直接地导致（有目标性的）断服、（有针对性的）断网，且并不影响物理网络的互联通性。

2）

鉴于，因特网名称与数字地址分配机构（ICANN）是在美国注册的机构，通用顶级域名（.com，.net，.org等）注册机构都是美国的公司，所提供的服务属于美国管辖。按此强加的逻辑，美国的法律对所有涉及根域名解析的系统都有管辖权，即使有了根域名镜像服务器，也不可能解决或缓解受制于人（不受美国管辖）的状况。

3）俄罗斯主权互联网（SovereignInternet）的本质是，解决了因特网域名体系的自主可控，确保95%的数据流（和域名解析服务）实现内循环，而不是重建一个物理网络

。

这一点，对于我国坚定不移地维护主权、安全、发展利益创新改造公众网络、教育科研网络（迫在眉睫），有十分重要的警示意义

。

三、中国注册使用因特网顶级域名的风险

根据中国信息通信研究院的《互联网（Internet）域名产业报告》（2020-6）：

●截至2019年12月，我国域名注册市场规模为5,108.8万个。其中，国家顶级域名.cn2,300万个；.com1,566万个。

●.com和.cn也是我国用户访问最多的两个顶级域，域名数量合计占全国活跃域名总量（3,930.6万个）的74.7%。

在活跃域名数量中，.com占比65.9%，.net占比3.8%，.org占比2.9%，.info占比1.5%，仅这4个顶级域名在我国因特网活跃应用（顶级域名）中占比74.1%。或者，

我国因特网活跃应用（顶级域名）的91.1%必须要跨境服务

。

也就是说，

一旦美国以同样的莫须有罪名强加于我，针对我国的顶级域名进行查封或关闭服务，我国公众网络将全面瘫痪

，几乎所有电子商务（如电子支付、网上购物等）、电子政务（外网）服务都将终止。这绝不是耸人听闻，是迫在眉睫的公众网信安全危机，是国家安全的全局性危机！

伊朗一再被美国轻易地（单方面）断服断网，都是涉及因特网数字资源供应链及其服务。导致因特网的断服断网，不仅是黑客攻击。这已再三警示我们：

我国亟待全面、严肃、彻底地检讨公众网络的已知（受制于人）问题和未知（断服断网）风险

。

事实再一次证明：在网信空间（Cyberspace），任何安全事件的发生都不是孤立的和独立的。

关注域名君，了解更多域名新鲜资讯

好域名，不愁卖！

在评论区show出你的米

点赞+转发

增加曝光，提高成交几率

还有机会进入下期的

域名showtime

还在等啥快！快！快！

对于域名被查封你怎么看，欢迎发表评论!

封你怎么看，欢迎发表评论!