Abstract–撤除行动旨在破坏涉及恶意域的网络犯罪。在过去的十年中，已经报道了许多成功的删除操作，包括针对Conficker蠕虫的操作，以及最近针对VPNFilter的操作。尽管它在打击网络犯罪中发挥着重要作用，但域名删除程序仍然令人惊讶地不透明。对于拆卸操作的工作方式以及是否进行尽职调查以确保其安全性和可靠性，似乎没有深入的了解。

在本文中，我们报告了有关域名删除的第一个系统研究。我们的研究是通过收集大量数据而实现的，这些数据包括各种沉洞提要和黑名单，长达6年的被动DNS数据以及历史WHOIS信息。在这些数据集上，我们构建了一种独特的方法，该方法广泛使用了各种反向查找和其他数据分析技术，以解决在确定撤消域，沉洞算子和撤消持续时间方面的挑战。将方法学应用于数据，我们发现了超过620K的撤消域，并对撤消过程进行了纵向分析，从而有助于更好地了解操作及其缺点。我们发现，在过去10个月内被攻陷的域名中，有超过14%的域名被重新投放到了域名市场，一些被释放的域名在被同一个或不同的沉洞捕获和查封之前又被恶意行为人回购。此外，我们表明，与沉洞域相对应的DNS记录配置错误使我们能够劫持FBI占用的域。此外，我们发现过期的沉洞已导致大约3万个被撤消域名的转移，这些域名的流量现在受到新所有者的控制。

I. INTRODUCTION

域名撤消是防范网络犯罪的强大工具。当某个域参与非法活动（例如恶意软件分发，药品和假冒商品交易）时，可以由执法机构（例如FBI）或其他下属机构（例如Conficker工作组[4]）进行扣押）。扣押是基于法院命令或正式投诉，以阻止正在进行的网络犯罪活动。然后，通过将所有访问重定向到沉洞或拒绝解析该域，来阻止占用的域。一旦变得“干净”，即不再参与任何恶意活动，便可以稍后发布。

理解域名撤消方面的挑战。尽管在ICANN准则[55]和其他公共文章[14、31、38]中都提到了域名扣押的问题，但对该流程缺乏突出而全面的理解。深入探索对于打击网络犯罪至关重要，但绝非易事。域撤消过程非常不透明，非常复杂。特别是，它涉及几个步骤（投诉提交，撤消执行和发布，请参阅第二部分）。它还涉及多个方（主管部门，注册管理机构和注册商），以及多个域管理元素（DNS，WHOIS和注册表池）。另外，关于被撤消的域名，被撤消的各方以及控制它们的运营商的信息很少。因此，需要收集此信息以使研究成为可能。此外，评估各方的安全性和性能需要不懈的努力，因为每一方都管理自己的DNS设置。

我们的研究。在本文中，我们报告了有关域名撤消的第一个系统研究，旨在回答一系列对理解此过程的安全性和可靠性至关重要的问题。例如，一个滥用域在被撤消之前能保持活动状态多长时间？扣押的域在被释放之前被限制了多长时间？一旦发布，该域名将在多长时间后开始提供购买？此过程中是否存在安全漏洞？什么是最好取下来的做法？

我们广泛的数据收集为这些问题的答案提供了可能，这些数据收集包括多个沉洞清单的提要，八个域黑名单，跨越过去六年的被动DNS（PDNS）数据以及我们的行业合作伙伴提供的历史WHOIS数据。使用这些数据集，我们设计并实现了一种独特的方法，该方法利用各种反向查找技术来查找已取下的域。更具体地说，我们通过搜索各种在线帖子来手动建立一个沉洞名称服务器和IP地址的列表，然后对已知的沉洞注册者信息（例如联系信息）进行WHOIS查找，以查找隐藏的沉洞。此外，我们的方法利用PDNS来确定其沉洞持续时间和发布日期，并解决PDNS数据聚合所带来的挑战。

为了发现名称服务器无法解决的已撤消清单的撤消域名，因此对于PDNS不可见，我们设计了一种算法，该算法可自动分析历史WHOIS数据以识别这些域名及其撤消持续时间。使用此类域和持续时间信息，我们不仅可以分析撤消域的生命周期，而且还可以研究撤消操作的有效性及其提供的安全保证。

发现。通过处理和分析收集到的数据集，我们的研究为难以捉摸的撤消过程提供了新的思路，并揭示了新的对安全至关重要的观察。特别是，我们发现了60万个被占领的域，并分析了它们在六年内的撤消生命周期。平均而言，恶意域名已被撤消两年（请参阅第IV-B节）。我们观察到，某些恶意域在被释放后已再次由犯罪分子控制。例如，域名ugnazi.com在2012年被撤消，并在2017年被攻击者重新注册（请参阅第V-B节）。

我们的研究揭示了一些撤消行为的行政和管理的某些弱点。最令人担忧的是，一些沉洞域名服务器的域名已过期，并被公众允许回购。我们确定了一个沉洞运营商Conficker工作组，其中有三个沉洞域名服务器的域名在2011年到期，并由不同方进行了回购，从而使新所有者可以访问超过3万个已撤消域名。

有趣的是，我们还发现，某些撤消方利用Cloud DNS服务进行沉洞，并在停止使用Cloud DNS服务后将其NS记录过时。我们在FBI的撤消行动中发现了此类问题，并成功接管了FBI撤消过期NS记录的域，并将其流量重定向到我们控制下的网络服务器。

我们的研究揭示的另一个问题是扣押域的错误设置。这些域中的某些域很快就过期了，远早于其预期的撤消持续时间结束。这使得它们被退回注册池，并且可以被对手重新购买。在过去10个月中被撤消的域名中，有超过14％的域名已被释放回域名市场。该时间远远短于发布后将域与恶意活动完全断开的预期“忘记”持续时间。这种有问题的处理方式使这些域很容易落入对手的手中。

贡献。本文的贡献如下：
•对域撤消有新的了解。我们对域名撤消进行了首次深入研究，这是一个难以捉摸的过程，几乎没有公开的细节。使用跨越六年的大型被动DNS数据集和独特的方法，我们能够调查19个沉洞运营商，并对他们的撤消过程有了新的了解。
•撤消方的安全性分析。基于新的理解，我们进一步分析了域名撤消方的安全保护。我们发现了其域名服务器的问题设置以及它们所控制的域中的配置错误。这些发现将有助于确定一组最佳实践，这些最佳实践对于避免此类陷阱很重要。
路线图。本文的其余部分安排如下：第二部分提供了背景信息。第三节介绍了我们的研究中使用的方法和数据集。第四节分析了各方在沉洞时间上的差异以及沉洞过程中的一些漏洞。第五节报告了先前撤消的域的恶意重用以及恶意域的可用性。第六节讨论了研究的局限性以及配置撤消操作的最佳实践。第七节回顾了相关的先前研究，第八节总结了论文

II. BACKGROUND

域名撤消是指由于违反了参与域名注册过程的ICANN、注册机构和注册机构定义的可接受使用策略（aup），而从其当前注册所有者手中收回域名的过程。违反AUP的范围可能从名称争议（例如商标拼写错误）到非法内容分发（例如销售假冒产品的网站和托管恶意内容的网站）。域名撤消是一个复杂的过程，涉及多个级别（有时在不同国家/地区）的各方的协作，每个缔约方都有自己的规则和规定。这些各方包括：撤消请求者，撤消权限和撤消执行者。它还涉及Internet名称系统的受影响元素，例如DNS，WHOIS和注册表域池。

撤消过程由撤消请求者发起，该请求者实质上报告了该域的违规行为，并提交了暂停其操作的请求。该请求可以采用向域名注册商投诉的形式，例如[16]，也可以通过法院命令，例如撤消Citadel域[3]。使用法院命令的撤销请求迫使命令中指定的各方遵守，例如注册管理机构，注册服务商和托管提供商。这些法院命令通常是根据ICANN [55]提供的指南准备的，该指南详细介绍了向法院提交撤消请求的必要步骤。撤消权限机构是专门从事域名撤消的第三方服务，例如品牌保护公司，但在大多数情况下，我们发现它们与撤消要求者在同一方。撤消执行者通过修改Internet名称系统以反映法院命令中指定的更改来执行撤消操作，如下所述。

在某些情况下，撤消操作涉及将域的所有权转让给撤消请求者（例如，执法部门）。在这种情况下，在为法院准备的文件中指定了拥有域名的请求。转移所有权的好处是，它为撤消请求者提供了对域的完全控制权，例如获得对其接收的流量的度量。可能免收注册费，特别是对于执法机构或针对大型恶意软件活动进行操作时[5，55]。但是，当不需要拥有域名时，法院会命令注册管理机构或注册服务商实施请求的更改，但无需将所有权转让给撤消请求人。

A.运作要素

域名撤消是通过更改Internet名称系统（实质上是撤消其当前所有者的访问权限）来完成的。这可以通过重定向域的流量（即沉洞）并从域中删除列表来实现。

域沉洞。沉洞是一种将撤消的域名的流量重定向到新目的地的方法。被撤消的一方出于多种原因选择沉洞；一些团体打算为访问该域的受害者显示警告标语，而另一些团体则模仿命令与控制中心（C＆C）的操作，以防止受感染的计算机尝试连接到新的C＆C域或收集流量以进行研究[ 57]。沉洞由第三方服务来操作和管理（例如Shadowserver [32]），撤消权限（例如FBI）或撤消执行程序（例如GoDaddy）。

从技术上讲，通过更改域的DNS记录的配置来执行域沉洞。 DNS是将域名映射到其IP地址的分层系统。为了正确解析域，所有者必须在注册商处设置NS记录，该记录依次指向域/主机的IP地址（即A记录）。为了使沉洞生效，法院命令中指定的注册服务商和注册管理机构将已撤消域名的DNS记录设置为指向沉洞。这可以通过将名称服务器（即NS记录）设置为指向沉洞的名称服务器来完成。结果，流量将从恶意域转移。图1显示了恶意域msofwarestore.com的DNS记录在被FBI沉洞之前和之后的变化。另外，图2显示了一个不太受欢迎的选项，该选项将域的NS记录的A记录设置为直接指向沉洞IP的IP地址。

域除名。域退市实质上是通过从DNS中删除域并以不存在（即NXDomain）响应任何DNS查询来停用域的过程。但是，从DNS删除不足以将某个域除名，因为它可能会返回到注册表中可用域的池中。删除列表的步骤更进一步，它可以修改域的WHOIS记录并placing a hold on the domain，从而阻止其释放回注册表，直到其过期或保留被取消。

WHOIS域数据库是一个Internet目录，其中包含域注册信息，例如其注册者，管理员和技术支持人员的联系方式。此外，WHOIS记录包括域可扩展配置协议（EPP）状态代码[12]，该状态码定义了如何管理域注册。 EPP代码可以指示域是否处于活动状态，或者是否可以传输，修改或删除该域。例如，OK EPP代码表示正常状态。 EPP代码有两种类型：客户端代码和服务器代码。允许注册服务商设置客户端EPP状态代码，而服务器EPP状态代码只能在必要时由注册管理机构设置，以覆盖注册服务商可能设置的其他EPP代码（即客户端EPP代码）。在域撤消过程中，注册管理机构和注册服务商可以通过将其EPP状态代码分别设置为SERVERHOLD和CLIENTHOLD来删除域。以这种方式搁置域名会导致该域名在DNS中不存在，并且无法通过注册服务商购买。通常，以这种方式撤消的域将保持除名状态，直到其旧的注册记录到期为止。

除了域名沉洞和退市之外，我们还观察到非常罕见的案例，其中在扣押过程中将某个域名保留。保留域是由其TLD注册表锁定的域。这些域不被包括在可用域的公共池中。保留域被锁定的原因有多种（例如，由于名称冲突或域名较短），而不一定是由于撤消过程。我们认为这些保留的领域超出我们的研究范围，因为它们是在扣押行动很少使用，并且不清楚如何从中识别撤消的域，还会将噪声引入我们的域列表。

例。微软因利用其产品中的漏洞对僵尸网络进行撤消操作而闻名。微软已经撤消了五个僵尸网络，分别是Dorkbot [9]，Ramnit [28]，Shylock [33]，Citadel [3]和ZeroAccess [35]，他们通过起诉未具名的被告John Dos获得了域名和IP扣押令。违反了操作僵尸网络的联邦和州法律，对Microsoft客户造成伤害，以及商标侵权。在检查了所提供的被引侵权行为的证据后，法院发布了数百个域名和IP地址的扣押通知。这些通知详细说明了域名扣押方法的具体细节，该方法是通过将其NS记录设置为指向Microsoft的沉洞* .microsoftinternetsafety.net来使被扣押的域沉洞。顺便说一下，根据列出的域的顶级域名（TLD）和注册记录，在这些撤消操作中，Microsoft是撤消请求者和沉洞操作者，而撤消执行者是许多注册管理机构和注册服务商。

B. Threat Model

在我们的研究中，我们考虑一个能够利用域名撤消过程中的漏洞来重新获得对先前被撤消域名的控制权的对手。这不仅使域撤消过程的效率降低，而且还为新的攻击媒介（例如利用过时的沉洞配置设置）打开了大门。

III. FINDING TAKEN-DOWN DOMAINS

在本节中，我们将详细介绍用于识别因沉洞或退市而被撤消的域名的技术的设计和实现。我们使用如图3所示的方法管线对被占领域进行了测量研究。我们分析了大约100万个恶意域，以识别被占领域及其撤消持续时间。为此，我们首先收集了一组恶意域，包括列入黑名单的域和托管在沉洞服务器上的域。为了收集后者，我们首先从不同的来源中识别出一组沉洞名称服务器/ IP，然后定义了一组标准来验证这些沉洞。此外，如第III-A节所述，我们利用了一些技术来发现新的沉洞。然后，我们收集了由这些沉洞解析的域，以找到606,880个域，这些域与来自八个黑名单的465,942个域组合在一起。最后，如第III-B节和第III-C节中所述，我们使用了被动DNS（PDNS）和历史WHOIS来确定被撤消的域。结果，我们发现了625,692个被扣押的域名，并描述了其撤消持续时间。

A. Data Collection

我们的恶意域列表DM是从两个来源收集的：可能的沉洞域（即DS）（使用已识别出的沉洞算子来检索）和黑名单域（即DB）。为了识别被删除的域（通过沉陷或从列表中删除）并分析其生命周期，我们还为列表中的每个恶意域收集了PDNS和历史WHOIS。

识别沉洞操作员。我们的目标是编制一个清单，确认用作域名池的名称服务器/ IP。然后，我们使用此沉洞列表来收集历史上指向它们的所有域。在III-B节中也使用了该沉洞清单。

为了获得用于沉洞的名称服务器和IP的列表，我们在Internet上进行了搜索，以收集三种类型的沉洞供稿：删除通知和报告，域删除列表以及现有的沉洞列表。我们手动查看了已发布的拆除法庭命令[3、9、28、33、35]和描述拆除事件的安全报告（例如[14、31、38]），以查找沉洞IP，沉洞名称服务器和恶意域名将沉洞。然后，我们在报告期间使用PDNS数据检查了这些沉洞域的NS和A记录中的更改，以查找负责沉洞域的名称服务器/ IP。此外，我们使用了ZeuS域删除列表，其中包括一个由于已被清理或没收而不再造成危害的域列表[37]。我们检查了这些沉洞域的名称服务器/ IP。我们还利用了一些沉洞清单，例如新兴威胁规则[11]和其他在线清单[6，22]。

在将任何沉洞列入我们的经过验证的列表之前，必须满足以下条件：1）沉洞必须由可识别的一方进行操作； 2）域名服务器专用于沉洞，以及3）使用的域的所有权名称服务器沉洞未因过期而更改。

为了查找未记录的沉洞名称服务器，我们还使用了沉洞操作员的电子邮件地址来检索与其相关的所有域（即通过电子邮件进行反向查找）。例如，我们使用商业工具[8]在FBI电子邮件cyd-dns@ic.fbi.gov上执行反向WHOIS查找。该电子邮件地址是从删除域名444pay.org的WHOIS记录中获得的。结果，反向WHOIS查找返回了大约1,700个域的列表。大多数是被占领的域，而不是托管沉洞的域。为了识别用作沉洞名称服务器的域，我们使用PDNS检索了使用这些可能的沉洞之一作为名称服务器的所有域，并且仅考虑了返回1000个以上域的沉洞。接下来，我们随机采样了这些返回的域，并检查了它们的名称是否存在先前的恶意使用迹象。这样，我们可以放心地确定解析此域的名称服务器是一个沉洞。我们从域名语义（例如，包含“药丸”，“药品”等关键字）或其与黑名单的联系中推断出先前的恶意使用。通过这种方式，我们发现了一个名为kratosdns.net的域，FBI将该域用作域名服务器来侵入恶意域。

表I显示了我们编译的沉洞操作员及其对应的名称服务器/ IP。这些沉洞属于19个沉洞运营商，包括执法机构（FBI）或其承包商，技术合作机构（Microsoft），安全公司和工作组以及注册商。我们进一步利用经过验证的沉洞清单来收集可能的沉洞域。也就是说，我们收集了所有碰巧指向这些沉洞之一的域/子域（即执行了崇敬查找）。更具体地说，我们查询PDNS以返回所有指向任何用作沉洞的名称服务器/ IP的域/子域，表示为DS。该列表用作可能的沉洞域列表，该列表具有606,880个顶点域（即不含主机/子域部分的域名）。

收集列入黑名单的域。我们用一组列入黑名单的域对我们的恶意域列表进行了补充。表II包含了我们使用的八个公共黑名单，以及它们对应的唯一域。提供历史数据的黑名单包括：hpHosts [17]，PhishTank [26]和Malware Domain Blocklist [20]。对于PhishTank，我们排除了标记为广告/跟踪（ATS），误导性营销（MMT）或被验证标签（TBV）的任何域，因为我们仅对恶意域感兴趣。一些黑名单不提供历史数据。它们是：ZeuS Tracker [36]和Malc0de [19]。为了补充它们，我们使用WayBack Machine [18]来抓取这些列表上域的任何可用快照。我们还考虑了Conficker [2]和Ransomware Tracker [29]等恶意软件黑名单。从黑名单中提取的唯一顶点域表示为DB，总共465,942个域。

我们将***可能陷入沉洞的域DS的列表与列入黑名单的域DB的列表结合起来，形成最终的恶意域DM列表。*** 我们筛掉了属于以下域的域：云服务，动态IP服务，批量注册，URL缩短服务和adNetworks。 DM中的唯一域总数为1,067,968。为了从DM（通过沉陷或从列表中删除）中识别出已删除的域并分析其生命周期，我们为DM中的每个域收集了以下数据源：

•PDNS。为了研究被删除域名的生命周期，我们利用了Farsight [13]提供的被动DNS（PDNS）数据。该数据集包括被动收集的DNS解析和某些受支持的TLD区域的区域文件。该数据集包含域的历史成功解析，存储了各种记录类型，包括A，NS，CNAME，SOA，PTR等。数据以聚合格式提供。对于DM中的每个域，我们在2017年11月查询了所有A和NS记录。

•WHOIS。保留在域上后，该域将不会在DNS中处于活动状态。结果，无法再从我们的PDNS数据中找到它。为了找到这样一个领域，我们依靠行业合作者提供的历史WHOIS数据[25]。此数据集覆盖了我们55％的恶意域DM。

B. Identifying Sinkholed Domains and their Durations

在这里，我们将详细介绍如何使用为DM中的域收集的PDNS数据，通过沉洞（即沉洞域）来识别已删除的域，以及如何描述其沉洞持续时间。

识别沉洞的域。我们利用为DM中的域收集的PDNS数据来识别沉洞的域。注意，如第III-A节所述，可能的沉洞域DS的列表包含在DM中。 DS中出现的此类顶点域不一定会沉洞，而它们的子域却是。因此，我们遍历了DM中每个域的PDNS记录的解析历史，以通过检查其A和NS记录来寻找沉洞的迹象。我们认为，仅当其顶点域或其名称服务器被沉洞时，该域才被沉洞。 我们消除了仅在很短的时间内（一秒钟）才能看到的那些记录。

我们使用以下标签之一标记了每个域的PDNS记录：沉洞，可能沉洞或未沉洞。我们利用表I中的沉洞清单来标记NS和A记录。如果在沉洞列表中找到了该记录的名称服务器/ IP，则我们将该记录标记为“沉洞”。请注意，我们扩展了沉洞清单，以包括IP范围。更具体地说，鉴于安全组织下属的现有IP漏洞，我们使用IP WHOIS来识别其IP范围并将其添加到沉洞列表中。请注意，此列表仅用于标记恶意域的记录，并且在这些范围上未执行其他反向查找。我们相信可以确定，如果恶意域解析为属于恶意沉洞运营商的IP范围，则该恶意域就会沉洞。如果记录的名称服务器包含关键字，例如sinkhole或search（例如ns.search.com），或者指向保留IP（例如localhost），或者包含未经确认的sinkholes（例如，我们无法识别其操作员的那些），我们将记录标记为possiblySinkholed。最后，其余标记为notSinkholed。至此，对PDNS记录进行了标记，我们确定了608557个沉洞顶点域。因此，下一步是分析沉洞持续时间。

识别sinkholed域的持续时间。标记完每条记录后，我们再次根据其相关的PDNS记录来尝试找出每个域的下沉持续时间及其发布时间戳。在这里，我们将沉洞持续时间定义为域名由沉洞名称服务器解析或解析为沉洞IP的持续时间。我们还将发布时间戳定义为域从沉洞区释放时的时间戳。

为了确定这些时间戳，首先我们必须了解PDNS数据提供者Farsight [13]如何汇总DNS记录，这在估计持续时间方面提出了挑战。 Farsight提供的PDNS数据是汇总记录集。如果以下字段相同，它将收集多个DNS查询记录以生成一条记录：bailiwick，记录类型（即rrtype）和查询答案（即rdata）。但是，计算下沉持续时间并非易事。在没有考虑其他重叠记录的情况下，从先见后见减去最近见过的字段可能会导致下沉持续时间的估算不正确。图4展示了一个假想的域名，恶意网站PDNS记录的示例。如图4a所示，该域由一个宿坑名称服务器ns.mySinkhole.com解析。但是，该域也由另一个名称服务器（即ns.namseserver.com）解析，并与先前的记录重叠，如图4b所示。因此，在计算下沉持续时间时，我们必须考虑ns.namseserver.com在三月期间的发生，以将下沉持续时间分为两部分：2018-01-15至2018-03-14和2018-03-31至2018-06-30。

另一个挑战是，Farsight PDNS中的DNS查询记录是从两个来源独立收集的：TLD区域文件（对于某些受支持的TLD）和Farsight的DNS传感器。此外，从传感器接收的数据也根据其TLD或二级域分别汇总。因此，对于每个陷入困境的域，其沉陷记录均来自TLD区域文件（适用于受支持的TLD），Farsight基于TLD的汇总数据以及基于第二级域的汇总数据。因此，有关持续时间的数据分散在来自不同资源的多个记录中。然后，问题就变成了如何利用所有这些来源的记录来估算域的潜伏期。

来自所有这些来源的记录都被用来估算域的沉洞持续时间。我们比较了域的不同记录，以将较长的持续时间分成较短的记录或合并两个重叠的持续时间。具体来说，我们首先确定了域的沉陷记录的持续时间是否与notSinkholed记录重叠。如果是这样，我们必须为该域的“坑洞”时间戳记更新“第一次看到”和“最后一次看到”字段，以排除notSinkholed的记录的时间间隔。然后，我们查看了两个凹坑记录之间的重叠，这使我们能够扩展域的凹坑持续时间，以包括两个记录的时间间隔。这样，我们可以更准确地估算出给定域的沉洞持续时间，并据此估算出其释放时间戳。此信息用于我们在第IV节和第V节中报告的测量研究中。

请注意，我们研究中测得的沉洞生命周期主要基于域名在PDNS中的可见性。当Farsight的传感器未遵守该域的分辨率要求时，这种可见性可能会受到限制。不过，这些信息使我们能够对域的潜伏期进行粗略估计，这对于了解域的下沉过程非常重要。

C. Identifying Delisted Domains

与沉洞域名相比，除名域名更难以观察，因为它们无法通过DNS解析。因此，一旦将其删除，它们就不会出现在PDNS数据中。为了识别此类域，我们使用了WHOIS数据。

域WHOIS状态标识。为了识别被除名的域名，我们使用了域名的WHOIS记录。如第二节所述，域的WHOIS记录包括域的注册状态（即EPP代码）。将域的状态设置为SERVERHOLD / CLIENTHOLD表示撤消执行者可能执行撤消操作。在我们的研究中，我们利用了360 Netlab [25]提供的一组历史WHOIS数据来确定域名何时被除名。此历史数据集覆盖了DM中约55％的域，最早的WHOIS记录可追溯到2014年11月。

当注册处撤消域时，其EPP状态代码将设置为SERVERHOLD。同样，当域名由注册服务商撤下时，将使用CLIENTHOLD EPP状态代码来保留该域名，实质上是从注册表的DNS区域文件中删除该域名，因此将无法解析。但是，请务必注意，这两个EPP状态代码并非专门用于域占用。它们有时是由注册管理机构或注册服务商出于其他目的而设置的，例如，在WHOIS验证持续时间过去之后，或域名可能被删除时[12]。如算法1所示，为了识别被除名的网域，我们使用了一组启发式方法来确定是否发生了下架动作。

具体来说，我们首先检查REDEMPTIONPERIOD或PENDINGDELETE是否出现在域的状态字段中，这表明已删除。然后，我们寻找自动续订的标志（即AUTORENEWPERIOD）。如果这些代码中的任何一个都与保持标志一起设置，则强烈表明该保持不是由撤消动作引起的。一个问题是并非所有注册管理机构/注册商都实施了上述EPP状态代码。换句话说，某些域在到期后可能没有上述标志。因此，我们必须设置其他启发式方法来确定某个域是将要删除还是处于自动续订阶段。

因此，我们首先检查了***the hold***是否位于域的到期日期之后。如果不是这样，我们仍然必须考虑是否由于自动续订而设置了暂缓状态，这会导致某些注册机构将域名再延长一年，甚至在所有者付款之前。这样的新域名将放置在CLIENTHOLD上，等待所有者支付。我们通***过查看其更新日期和到期日期***来识别此类记录。如果相差一年，我们保守地认为该保留是由于未付款所致，并且不认为该域名已被除名。

此外，注册管理机构要求新创建的WHOIS记录在15天内由其注册人进行验证。之后，将CLIENTHOLD设置为未验证的。我们检查了域名创建后15天内是否已保留该域名。如果是这样，我们就不会将其视为除名域名。

由于我们的数据集中可用的快照数量有限，因此提出的算法仅根据其WHOIS数据的一个快照来识别已除名的域。但是，此方法可能会导致某些域的标记不正确[46]。具体来说，它将错误地将一个扣押域标记为一个非扣押域（即引入假阴性）。例如，它将将在其自动续订日期有意更新的扣押域错误地标记为非扣押域。同样，它会把一个在过期后被查封的域名误解为一个未被查封的域名（在.org域中观察到这种情况）。为了衡量此类贴错标签的案件的发生率，我们通过抽样和人工验证对我们的算法进行了评估。特别是，我们调查了52个域，其中至少有两个快照（一个在到期前，另一个在到期后并保留）。对于此集合，我们计算了到期前保留的域数，仅发现了3个案例（5.77％）。通常，我们使用的算法在我们的分析中引入的域少于4％。因此，对我们的研究影响很小。

请注意，在撤消操作中还观察到了一些其他EPP状态代码，例如TRANSFERPROHIBITED，DELETEPROHIBITED和UPDATEPROHIBITED。但是，它们不是很强的撤消指标，可以用于提供额外的保护。这些EPP代码不影响域的解析。实际上，设置这些记录的删除操作必须伴随DNS重定向（即沉孔）。因此，我们忽略了这些代码，而是依靠如第III-B节中提到的沉洞检测来捕获这些撤消的域。

撤消时间延长。我们还研究了恶意域名先沉洞然后被除名的情况。这些案例是使用我们的方法来识别沉洞的域（请参阅第III-B节）和除名的域。一旦我们确定了一个已除名的域，我们就会在使用PDNS发现的沉洞域中进行查找。如果域名在沉洞后被搁置，则其删除期限会延长到其WHOIS记录的到期日期。

IV. ANALYZING TAKE-DOWN OPERATIONS

在本节中，我们将基于对我们研究中发现的625,692个被没收域名的生命周期以及主要接管方的安全漏洞的分析，来讨论我们的新发现和新认识。

A. Landscape

使用第三节介绍的方法，我们总共发现了625,692个被占领的域。已确认的沉洞域名数量为608,557（96.55％），已除名域名的数量为21,757（3.45％）。图5说明了列入黑名单的，沉洞的和除名单的域之间的重叠。正如我们在此处看到的那样，首先有0.7％的域名陷入了沉寂，然后被除名。此外，公共黑名单上的5.6％的域名也被冻结，而3.68％的域名被搁置。

如前所述，域名删除通常用于破坏僵尸网络C＆C，在这种情况下，被抢占的域名通常是由域名生成算法（DGA）生成的[53]。 因此，我们在被扣押的域列表中标识了DGA域，以衡量针对C＆C域的下架行动的普遍性。具体来说，我们利用DGA检测工具[7]来测量域字符的随机性，该工具在我们的数据集中报告了405,330（64.78％）个此类域。大量DGA域的存在不足为奇，因为在删除操作中，一旦对DGA进行了逆向工程，就会倾向于抢占（通过抢先注册）所有可能的域。

B. Understanding Sinkhole Operations

考虑到它们在整个拆卸程序中的重要性（超过97％的通过沉洞扣押的域名扣押），我们还更加仔细地调查了沉洞操作。

抢先行动。撤消方有时会抢先抢占一些更可能实际用于恶意行为者参与网络犯罪的域。这些域中的大多数都是DGA域，其参与方经过反向工程以识别机器人将来可能连接的所有可能域。一旦发现这些域，它们就会被恶意使用之前沉洞。

通过检查PDNS记录，我们确定了被抢占的域名。具体来说，如果某个域的第一条记录指向一个沉洞，则表明该域是在其生命周期的一开始就被捕获的。因此，它被认为是可能的抢占性域名抢夺。我们在数据集中发现了388,378个此类域。但是，由于PDNS数据的历史记录有限（在我们的数据集中发现的最早记录是在2010-04-09上），因此该方法错误地将恶意活动的域归类为先发制人，然后在2010年早些时候沉洞。为了解决这个问题，我们利用了Wayback机器上域的历史网页快照[18]。我们从数据集中收集了第一天发现的5296个域的快照。在PDNS最早出现之前，有9个在Wayback Machine中具有快照，因此已从我们的抢先式抓获列表中删除。

最终，在608557个已确认的沉陷域中，我们发现抢占了388369个（63.81％）。然后，我们利用DGA域检测工具[7]分析了这些域，发现其中92％的确是由DGA生成的。我们随机抽样了其余8％的域（即非DGA域，但被抢先删除），发现它们实际上是DGA域，但被该工具误分类为nonDGA。我们分别在图6a和6b中显示了每个漏洞运营商和TLD注册管理机构（在我们的数据集中排名前15位的最频繁的TLD）针对恶意域采取的预防措施的百分比。我们观察到，Microsoft，FBI和Shadowserver采取的抢先行动所占的比例很高，因为他们沉陷的域中有90％以上是抢先行动所致。这可能是由于他们参与了诸如ZeuS和Conficker [5，15]之类的普遍运动。此类活动导致抢先注册了预期会与此类活动联系的大量DGA域。此外，这些信誉卓著的演员可能已经设法免收了注册费[5，55]，因此没有财务限制来注册大量域名。关于不同TLD中的抢占行为，.cn，.in，.me和.name抢占了90％以上的域。这可能表明他们对通知和法院命令的高度回应。

活动持续时间。我们将域的活动持续时间定义为从其在PDNS中首次出现到发现其沉陷之时的时间跨度。此持续时间揭示了域删除行动中各方的干预。为了准确地测量该持续时间，我们排除了先占的领域，因为它们没有活跃的持续时间。

图7a在方框图中显示了不同算子对沉陷域的活动持续时间的分布，其中方框是从第一个四分位数到第三个四分位数的四分位数间距（IQR），其中包含50％的数据中位数。方框中的水平线表示中位数，the表示平均值。如图所示，NameCheap和GoDaddy倾向于相对较快地进行干预（以较低的中位数表示），这是可以预期的，因为它们以注册商的身份运作，因此可以立即对投诉或下达命令采取行动。同样，我们发现检测到垃圾邮件相关活动的Spamhaus反应迅速，在不到100天的时间内删除了75％的域名。但是，显然，安全公司/组织的漏洞运营商在删除恶意域方面的响应时间有所不同。例如，域名被
与Spamhaus相比，Arbor的活动时间更长。

此外，我们在数据集中发现FBI陷入了大约2,000个域（非抢先）。其中有718个长期处于活动状态（≥三年），使分布向上移动，如图7a所示。我们随机抽样了200个域，以检查它们的性质，发现其中大多数是药物域。这可能表明与其他类型的恶意域（例如，涉及恶意软件分发和虐待儿童的域）相比，不太可能报告这些类型的域。

图7b说明了具有最沉陷域的TLD在活动持续时间内的分布。正如我们在这里看到的那样，.biz，.info，.link，.pw，.work和.xyz等几乎TLD似乎很快就会介入，这可能表明对删除请求和法院命令的快速响应，因为由其相应的中位数趋于非常低和IQR趋于非常窄来证明。属于这些TLD的域的活跃时间很短，可能是由于它们参与了臭名昭著的竞选活动，需要立即采取行动。

沉洞持续时间。图8a显示了每个运营商的域下沉持续时间的分布。我们可以看到，注册服务商陷入困境的大多数域（例如GoDaddy和NameCheap）往往具有相对较短的潜伏期。根据他们的第三个四分位数，我们发现这些域很少保留一年以上的时间。我们观察到某些域名从注册服务商的陷阱转移到了其他运营商，例如FBI。这将导致注册服务商的下沉持续时间较短。这表明一些污水处理店经营者可能会首先与注册服务商联系，并提出请求，直到完成合法化后勤工作为止。

我们还观察到，Microsoft或FBI删除的域往往会长期陷于瘫痪（如其分布的高中位数所示）。这可能是由于他们在准备法院下达命令时能够提供令人信服的证据。例如，Microsoft可能会鼓励他们针对其产品进行长时间的长期宣传，并且可以通过提供受影响用户的数量作为证据来说服法院。同样，FBI倾向于长时间保留侵犯版权的域名，例如megaupload.com。这似乎是联邦调查局（FBI）采取的预防措施，旨在防止恶意行为者获得对该域的控制权。此外，类似于我们对这两家运营商采取大量先发制人行为的理由，财务原因也可能在长期的下沉持续时间中起作用。

我们还观察到了下沉持续时间的变化。一方面，一些运营商具有相对一致的下沉持续时间。例如，Shadowserver，SecurityScorecard，Kaspersky，Spamhaus和Zinkhole的IQR范围很窄，这可能表明这些运营商具有统一的策略，适用于大多数陷入困境的域。另一方面，我们观察到FBI和Microsoft漏洞的持续时间有很大差异。这可能与域所涉及的恶意活动的类型有关。特别是，参与持久战役的域的沉陷持续时间较长，而不再构成危害的域会更快地释放。另一个可能的解释是，这种变化是由于外部因素引起的，例如下面讨论的注册表策略。

图8b显示了不同TLD的下沉持续时间分布。一般而言，.org，.info，.biz和.ws下的大多数域与其他TLD相比，下陷持续时间长，如相应的第三四分位数以相对较高的持续时间扩展（平均大约两个年份）。这可能表明这些域名的删除持续时间是由这些注册管理机构的政策强制执行的。例如，.org域名长期不活跃的趋势与.org注册机构的政策一致，根据该政策，.org域名将保留该域名，直到法院进一步下达命令为止[27]。我们还观察到.biz注册表采用的一种有趣的安全做法，其中恶意域保存在其保留集中。例如，域4rme78bhg4bb3c64fw.biz最初被FBI删除。但是，即使在过期并经过PENDINGDELETE持续时间之后，注册管理机构仍将此域保留在其保留集中，而不是向公众发布。建议对最恶意的域使用此策略，以防止它们被重新注册和滥用。

沉洞跳水。通过对沉洞域的生命周期进行分析，我们发现4,418个域不止一次沉洞。大约70％的人被同一个沉洞操作员沉洞。出现这种情况的原因可能是域过期，然后是重新注册或其他原因，例如PDNS的“可见性”。为了估算重新注册的情况，我们根据第一个沉陷动作的最后一次看到的日期和第二个沉陷动作的第一次看到的时间，计算了两次沉陷动作之间的时间。我们将其称为发布持续时间。如果此时间超过75天，则可能表明它是新的注册。我们发现340个域似乎是重新注册的域，平均释放时间为237.5天。

尽管不那么普遍，但我们观察到，大约有1,360个域被不同的漏洞运营商扣押了不止一次。我们调查了这些“跳跃”域，发现其中大约200个域由GoDaddy然后由NameCheap暂停。这些域中约有10％的发布持续时间不到75天，这表明GoDaddy可能已立即删除了这些域，而对手又对其进行了重新注册。对手也可能设法将域名转移到另一个注册商，并恢复了他的恶意活动，直到再次被新的注册商淹没为止。此外，我们发现10个域首先被Conficker工作组（CWG）[4]淹没，然后被NameCheap坑陷。他们释放时间的平均长度约为一年。由于这些域名似乎是DGA域名，并且已被CWG淹没，因此可能表明对手对与旧战役有关的域名感兴趣。考虑到我们排除了名称冲突的情况，在这种情况下，新注册人碰巧注册了与DGA域匹配的名称。

关于漏洞之间“跳跃”的另一种解释是，当某个域仍构成安全风险时，它已从第一个漏洞中过早地释放，因此该域又被另一个漏洞运营商淹没。例如，我们发现大约有300个域从Spamhaus跳至Microsoft，Shadowserver或Arbor Networks。如图8a所示，Spamhaus陷落的域中有50％被陷陷的时间少于400天，这可能表明第二位运营商认为这些域仍然构成风险，因此决定再次陷井。另一个可能的原因是，第二个污水坑的操作员想要控制流量并评估损坏，将受感染主机通知ISP或下载脚本以破坏受感染主机上的恶意软件。

C. Exploits during Take-down Operation

沉洞名称服务器在域名删除过程中起着关键作用，因为它托管着大量沉洞的域。因此，名称服务器应该是稳定，可靠并且也得到良好管理的。但是，我们在实际服务器中发现了两个配置错误的问题，这些问题导致删除操作效率降低。

晃来晃去的沉洞。悬空的DNS记录是指向“陈旧”信息的DNS记录。具体而言，悬空记录是指向不再分配给域所有者的服务的DNS记录（例如NS，A）[48，59]。这可以为域劫持攻击开辟一条途径，在这种途径中，攻击者设法接管过时的资源，从而操纵名称解析过程。在我们的研究中，我们发现该安全风险处于沉洞的领域。错误的配置允许攻击者通过将A记录设置为他/她控制的IP地址来劫持沉洞的域。我们已向域的TLD注册管理机构报告了此问题。

具体来说，我们发现一家执法机构利用了Amazon提供的托管DNS服务（即Amazon Route 53）。该服务用于管理恶意域carders.org的DNS记录，这是删除操作的一部分。扣押期间域的DNS配置如图9所示。后来，当DNS服务的执法人员账户被停用时，Amazon Route 53将记录集释放到可用池中。但是，（。org）TLD区域上域的NS记录仍指向DNS服务提供的先前值。结果，NS记录变成了悬空记录，因为该域的所有者（即下达方）并未将其从（.org）TLD区域中删除。因此，一旦对手获得了至少一个为被撤消域名设置的域名服务器的值，他/她就可以设置一个新的A记录并将其分配给他/她控制的IP。结果，对手可以通过他/她选择的IP捕获域的所有流量。

我们在联邦调查局（fcard）拒绝的域中发现了此类问题。我们成功劫持了该域，并将其指向我们控制下的IP。首先通过检查FBI占用的域来识别此域，FBI还利用托管DNS提供程序，例如Amazon Route53。如III-A节所述，我们通过执行反向WHOIS查找来收集FBI拥有的域的列表。在FBI的电子邮件中。然后，我们检查是否通过托管DNS提供商解析了任何域，并找到了一个使用Amazon Route 53的域carders.org。如图9所示，2012年6月27日沉洞时[34]，carders.org由Amazon Route 53提供了四个名称服务器。这些记录仍显示在（.org）TLD区域中。另外，如图所示，该域的A记录的最后时间戳是2013-01-05，并且在2013年初之后没有看到其他A记录。因此，我们进一步验证了Route 53上托管梳理者的托管区域通过使用dig实用工具查询四个名称服务器来停用.org。结果，所有查询都返回ServerFail，这表明该帐户已被停用。因此，carders.org拥有悬挂的NS记录集。

为了证明可以控制该悬挂点，我们还使用Amazon Route 53为carders.org创建了一个托管区域，希望将图9中至少一个原始域的名称服务器分配给我们。经过几次尝试，我们成功地在NS记录（即ns-1168.awsdns-18.org）上获得了一个这样的服务器，并为carders.org设置了新的A记录到我们控制下的IP（18.188.96.3）。图10显示了carders.org的新NS和A记录。

我们首先将此问题报告给FBI（通过cyd-dns@ic.fbi.gov在2018-05-20检索的WHOIS记录中找到）。我们没有收到他们的回复，可能是因为该域已经过期。因此，我们将此问题报告给了公共利益注册机构（.org TLD注册机构）。我们建议他们通过在2018-10-11上将ServerHold放在域中来解决该问题。

沉洞已过期。我们发现某些沉洞名称服务器的域被允许在不更新宿陷域的NS记录的情况下过期。这使对手可以购买用作域名服务器沉没漏洞的过期域，在其上设置名称服务器，然后为沉陷域设置A记录以指向他/她控制的IP。此类更改通常是隐秘的，因为污水坑运营商可能不会不断检查这些域是否仍按预期的那样指向沉洞的IP。

我们的研究揭示了这种问题的潜在影响，尤其是在主要的沉洞运营商Conficker Working Group（CWG）中发现的问题。 CWG是一个组成团体，旨在遏制和消除Conficker蠕虫[4]。它的核心成员包括Verisign（注册），Shadowserver基金会，Neustar（注册），Microsoft等。该联盟使用了三个名称服务器（即ns.cwgsh.com，ns.cwgsh.net和ns.cwgsh.org）来入侵Conficker蠕虫域。但是，这些域名服务器自己的域于2011-02-26到期，并被多次重新注册，如表III所示。这些域的新所有者（即cwgsh.com，cwgsh.net和cwgsh.org）完全控制了数千个曾经指向该漏洞的Conficker域的流量。

我们研究了托管在这三个沉洞名称服务器上的Conficker域。最初，这些名称服务器占用了212K域。他们的网域过期后，他们管理的一些被占领的网域被移至新的恶意漏洞（即ns.conficker-sinkhole。{com，net，org}），并且一些过期了。但是，即使在88,392个域到期后，仍然使用这三个域名服务器。表III显示了新所有者重新注册cwgsh。{com，net，org}一天后，在这三个CWG漏洞池中托管的域的数量。在此，我们根据PDNS报告的last_seen和first_seen日期计算了域的数量，并确定是否为ns.cwgsh。{com，net，org}设置了A记录，这表明有可能尝试捕获占用域的流量。我们还注意到ns.cwgsh.org的第四次重新注册的IP地址指向130.245.32.52（纽约州立大学石溪分校），这可能表明它已由研究人员注册。

目前尚不清楚这三个域的新所有者对他们从占用的域中收到的流量到底做了什么。但是，我们观察到它们确实在积极地利用其中的一些。例如，一个过期的沉陷漏洞域的新所有者集A记录了他/她在zzyiwabmkz.info（沉陷域之一）下创建的新主机，如图11所示。在这些被占领域中，最受欢迎的TLD是。 org，.info和.ws。有趣的是，我们注意到在ns过期后大约一个月内，所有.org陷坑域的NS记录要么更新为指向新的ns.cwgsh.org.ns-not-in-service.org陷井。 cwgsh.org，否则它们已过期。但是，此特定更新无效，因为两个过期的陷井ns.cwgsh。{com，net}仍在NS记录集中；例子如图12所示。在井坑期满后几个月，对.ws域进行了更有效的更新。具体来说，.ws域被设置为可以通过新的ns.conficker-sinkhole。{com，net，org}解决。相反，截至2018年7月1日，未对约3万个.info域执行更新。

截至2018年7月1日，仍指向三个过期的沉洞的被抓获域名总数为29,677个，均属于.info TLD。我们将此问题报告给了.info TLD注册表Afilias [1]，并向他们提供了有问题的域的列表。尽管最好的做法是潜入恶意域，只要它们具有风险即可，但当潜孔服务器的域到期时，此处理可能导致被捕获的域长时间链接到已失效的潜孔域。因此，建议沉洞经营者和注册管理机构为其被占领的域（尤其是需要长时间拆除的域）维护更新的NS记录。

V. TRACING RELEASED DOMAINS

在本节中，我们报告了被占用域的恶意重用。我们首先评估释放之前已撤消域名的可用性。然后，我们揭示发布域的实际重用情况。

A. Domain Availability

我们首先通过通过其API查询注册商（即Dynadot [10]）来分析数据集中被删除的域名是否可供购买。该注册服务商支持广泛的TLD，并提供了数据集中约95％的已下架域名的可用性信息。从2017年10月到2018年5月，我们每周两次查询此API，以监控这些被撤消的域名是否在市场上。我们发现在过去六年中，所有已删除域名中有35万个域名（56.46％）已被释放。其中52.13％是DGA域。更有趣的是，我们还发现在过去的10个月中被撤消的域名中有7,148个（占14.14％）已释放回公共注册表域池中。该时间段被认为是很短的，因为感染的宿主在如此短的时间内被清除的可能性很小[56]。此外，曾经进行非法活动的域仍然可以吸引他们的客户。

查看不同TLD中所有已发布域的百分比（图6c），我们观察到.org和.in的可用下域名占其可用域名总数的不到20％，其次是.biz（34.51％）和.me （33.09％）。关于.org的观察结果与我们在IV-B部分中的发现一致，该结果表明.org TLD长时间保留了大部分被占用域名。

B. Malicious Reuse

我们调查了被扣押的域名在购买后是否再次被滥用。但是，由于沉洞域和黑名单之间的重叠部分有限，我们不能依靠历史黑名单来证明对被撤消域名的恶意重用（请参阅第IV-A节）[45]。此外，黑名单不仅包含已发布和可重用的域，而且还包含沉洞的域，这使得在域释放后证明恶意重用是不切实际的。因此，我们必须诉诸更保守的方法。

为了解决此问题，我们采用了一系列启发式方法来确定已确认占用的先前域的重用。具体来说，我们首先确定了不同参与者至少两次陷入的领域。对于它们中的每一个，我们将两个沉洞持续时间之间的时间跨度标记为其释放持续时间。然后，我们过滤了发布期限超过75天（允许重新注册）的域。此外，我们通过检查PDNS以确定它们是否已分配给IP，来检查这些域在释放期间是否确实处于活动状态。这样，我们获得了133个域。为了证明对这些域的恶意使用，我们检查了Wayback Machine [18]以查看它是否具有这些域的历史快照，并发现28个具有快照的域。此外，我们手动调查了他们网页的历史快照（可使用28个域的快照），以检查其在计算的发布持续时间内的滥用行为。因此，我们发现了两个已确认的案例：

on-drugstore.com。该域名被扣押了三次。在每次扣押之前，该域始终托管一个销售非法药品的网站。从历史上的WHOIS中，我们发现它是在2008年12月7日首先被删除的，然后在2009年3月1日移至另一个注册服务商（即NameCheap [24]）。从那时起，该域再次处于活动状态。第二次删除发生在2010年6月7日，当时域名注册商根据历史WHOIS和PDNS至少封存了10天。然后，该域名由注册服务商删除，并于2010-06-17根据历史WHOIS信息再次与另一个注册服务商（即101域）重新注册。然后，该网站启动并运行。这是第三次也是最后一次，该域名于2017年3月16日被包括FBI在内的执法机构撤下并搁置。有趣的是，自2007年7月以来，其注册人的电子邮件地址似乎保持不变，这表明该域名在所有3次扣押中均被同一运营商滥用。有趣的是，我们发现此域是知名健康和美容护理零售商Drugstore.com的蹲域。因此，我们认为对手一直在追踪该域名，因为它与一个流行的互联网品牌相似，令人困惑，即使它被取下3次，该品牌也将吸引大量流量。

ugnazi.com。该域属于黑客主义者团体。 FBI在2012-06-26 [23]将其删除，其注册人信息已更改为FBI。但是，在域期满后，注册人信息变为私有，注册商根据历史WHOIS信息从NameCheap [24]转移到Enom [30]。 2014年2月2日从Wayback Machine上获得的网站快照表明该域名可供出售。记录显示，在2014年7月22日，该域名已被一个声称是原始hacktivist团体的团体购回，并且在撰写此研究之日仍在运行。

VI. DISCUSSION

域名下架规定。我们的研究发现了今天实施的拆卸程序中的缺点。我们发现，下沉持续时间在不同的运营商之间有所不同，如图8a所示。例如，Microsoft的平均下架期限为三年，而注册服务商的平均下架期限为一年。此外，域名下架和释放是运营商特定的，在某些情况下（例如，第IV-B节中的域名跳跃）存在缺陷。最后，过时的DNS配置（例如云DNS服务中的已停用帐户和名称服务器域已过期）可能会导致严重的后果，例如域劫持攻击，攻击者可以在此劫持一个恶意的名称服务器，并随后使用它来控制所有域。不幸的是，除了ICANN提供的一般准则[55]之外，没有针对这些程序的行业范围内的规定，允许下架机构和执行者根据自己的意愿进行下架。

根据我们对这些删除程序的分析，我们建议制定具体政策来规范这些程序。这些策略应解决诸如DNS设置的更新频率，删除持续时间和发布过程之类的问题。在此，我们建议您考虑几种做法

确定域删除的持续时间应考虑到该域所涉及的恶意行为的性质。应将域接收的流量作为释放域的决定因素。当域陷入困境时，漏洞运营商应监视接收到的流量，以确定何时不再存在恶意流量。 Rezaeirad等。 [56]设计了一种流量分析器来研究沉没的流量，可以进一步利用该流量分析器来确定域何时不再接收恶意流量。对于与恶意软件活动有关的域（例如C＆C域），特别推荐此过程。

对于其他类型的恶意域，例如梳理或药品，我们建议在发布它们之前考虑三个因素。第一个因素是恶意域的普及；与不受欢迎的域名相比，抢占释放的流行恶意域名更可能被重新注册。另一个因素是域的当前流量；如果该域仍在接收流量，则表明该域如果释放并重新注册，可能会恢复其恶意活动。最后一个至关重要的因素是域的恶意程度；如果该域名涉及严重的犯罪行为，例如虐待儿童，那么冒险释放它是不明智的。应当无限期地删除这一特定类别的高风险域，并且切勿将其发布给公众。从技术上讲，这可以通过将这些域保留在注册表的保留域列表中来执行，这将防止它们在到期后可供购买。通过考虑这些因素，域名持有者可以非正式地决定适当的移除持续时间。

局限性。请务必注意，下架生命周期（即下沉持续时间和活动持续时间）受PDNS的“可见性”限制。因此，如果域的TLD不在其支持的TLD区域集的每日供稿列表中，则被占用域的生命周期的准确性将取决于该域的解析请求。换句话说，持续时间的精确度取决于是否发生了解析请求，并因此被PDNS传感器捕获。另一个限制是，由于我们数据集中每个域的快照数量有限，因此第III-C节中的算法可能无法正确标记某些域。但是，所提出的算法将少于4％的域引入了我们的分析。因此，对我们的研究影响很小。

VII. RELATED WORK

研究域名下架情况。先前有关域删除的工作主要集中在删除过程的有效性（就删除域的覆盖范围，恶意域有效期等方面而言）。 Hutching等人[42]进行了用户访谈，以揭示从事域名下架的不同方（例如，执法，下架服务）的专业知识。 Moore等。 [51]研究了多种网络犯罪类型的域删除速度，例如网络钓鱼和虐待儿童。特别是，他们通过分析恶意活动持续时间和访问者数量，研究了域名删除对网络钓鱼的影响[50]。他们得出结论，域名删除不能完全缓解网络钓鱼。 Nadji等。 [53]研究了僵尸网络删除操作的恶意域覆盖范围，并提出了一种在僵尸网络删除期间识别丢失的恶意域的系统。 Asghari等。 [39]分析了Conficker坑的日志，并测量了针对该僵尸网络进行的沉坑工作的有效性。 Rezaeirad等。 [56]通过沉没RAT服务器研究了远程访问木马（RAT）的受害者。 Kuhrer等。 [45]通过识别黑名单中的漏洞服务器，调查了恶意软件黑名单的有效性。据我们所知，我们进行了首次系统研究，以提供有关域名删除程序（例如沉孔配置，生命周期）的详细视图，并揭示了它的多个弱点。

DNS配置错误。 Pappas等。 [54]发现DNS错误配置很普遍，这降低了DNS的可靠性。江等。 [43]发现，由于上层DNS中的数据过时，恶意域仍可解决。刘等。 [48]提出了与悬挂DNS记录相关的安全威胁，例如域名劫持。 Vissers等。 [59]讨论了可能通过域名服务器劫持域名的可能情况。同样，Borgolte等人[40] 展示了通过云服务提供的过时A记录进行临时域劫持的情况。我们调查了Sinkhole服务器的DNS错误配置问题及其对域删除过程的影响。

域滥用。大量研究调查了DNS生态系统中的滥用情况。 Korczynski等。 [44]调查了根据新gTLD注册的域中的滥用情况。 Visser等人[60]研究了.eu TLD中的恶意活动。最近，一些研究调查了域重新注册模式及其与域滥用的关系。郝等。 [41]发现垃圾邮件发送者通常会重新注册过期的域。 Lauinger等。 [46]讨论了域名的生存期，并展示了注册服务商以不同方式实施某些阶段的持续时间的方法。 Moore等。 [52]发现失败的银行网站已被重新注册，并且可能用于恶意目的。杠杆等。 [47]研究了域名过期后重新注册的恶意行为，并揭示了其恶意行为。 Miramirkhani等。 [49]研究了域丢弃捕获服务，发现有重用恶意域的趋势。与以前的研究相比，我们的研究揭示了删除域名重新注册的恶意，并探讨了其可能的根本原因。

VIII. CONCLUSION

本文包括对域删除的首次系统研究，以了解此过程并研究其安全性和可靠性。我们强调了利用WHOIS信息和PDNS数据来确定被撤消域名并描述其被撤消生命周期的能力。在分析625,692个拆卸域及其生命周期时，我们的研究为拆卸操作提供了新的亮点，并着重强调了有关井下作业者的安全关键性观察。这有助于确定一组最佳实践，这些最佳实践对于避免这些服务中的漏洞并增强其抵御网络犯罪的有效性至关重要。

ACKNOWLEDGMENT

我们感谢我们的牧羊人胡安·卡瓦列罗（Juan Caballero）和匿名评论者的宝贵见解和建议。这项工作得到了美国国家科学基金会的部分资助，资助号为CNS-1838083、1801432、1527141、1618493、1801365。本文中表达的任何观点，发现，结论或建议不一定反映NSF的观点。

Cracking the Wall of Confinement: Understanding and Analyzing Malicious Domain Take-downs相关推荐

malware analysis、Sandbox Principles、Design Implementation
catalog 0. 引言 1. sandbox introduction 2. Sandboxie 3. seccomp(short for secure computing mode): API级 ...
2020年NLP所有领域最新、经典、顶会、必读论文
本资源整理了近几年,自然语言处理领域各大AI相关的顶会中,一些经典.最新.必读的论文,涉及NLP领域相关的,Bert模型.Transformer模型.迁移学习.文本摘要.情感分析.问答.机器翻译.文本 ...
App Store 审核被拒整理
整理以前和现在遇到的审核被拒第一:2.2 Details We discovered one or more bugs in your app when reviewed on iPhone runn ...
李菲菲课程笔记：Deep Learning for Computer Vision – Introduction to Convolution Neural Networks
转载自:http://www.analyticsvidhya.com/blog/2016/04/deep-learning-computer-vision-introduction-convoluti ...
iOS: Crash文件解析
原文出处: smileEvday 欢迎分享原创到伯乐头条开发程序的过程中不管我们已经如何小心,总是会在不经意间遇到程序闪退.脑补一下当你在一群人面前自信的拿着你的App做功能预演的时候,流畅的操 ...
regex 正则表达式_使用正则表达式（Regex）删除HTML标签
regex 正则表达式 Most of the data in the world are unstructured data form because, in human communication ...
iOS Mach异常和signal信号
摘要: 本着探究下iOS Crash捕获的目的,学习了下Crash捕获相关的Mach异常和signal信号处理,记录下相关内容,并提供对应的测试示例代码.Mach为XNU的微内核,Mach异常为最底层 ...
字符串第一个出现的单个字符_如何在不编写单个应用程序的情况下找到我的第一个开发人员工作
字符串第一个出现的单个字符 I've read a lot of different stories from other self-taught developers who've made a s ...
iOS Crash文件的解析（一）
iOS Crash文件的解析(一) 2015-01-22 11:45 编辑: suiling 分类:iOS开发来源:一片枫叶的博客 0 3913 iOS开发应用管理Crash文件进程调试招聘信息: ...
理解崩溃和崩溃日志（WWDC 2018 session 414）
WWDC 2018 session 414: Understanding Crashes and Crash Logs 每个人在写代码的时候,或多或少都会犯错.有的错误就会导致程序崩溃,这非常影响用户 ...

Cracking the Wall of Confinement: Understanding and Analyzing Malicious Domain Take-downs