域名停放(英文名稱為Domain Parking Services)也叫做域名?？?、域名流量停放，是一種為閑置域名而自動生成網(wǎng)頁廣告界面的網(wǎng)站系統(tǒng)。就是利用你的域名解析到一個廣告頁面，利用該域名的訪問者對該頁面的訪問量或者點擊廣告頁面的次數(shù)，來獲得廣告收入的一種方式。國外也將其稱之為WIKI技術的其中一種.一般是提供域名停放服務的網(wǎng)絡服務商，會做一個網(wǎng)站程序頁面，讓你把需要停放的域名解析到他的IP上，程序會根據(jù)來訪的域名顯示你的域名在這廣告頁面的上方。

[[356545]]

如果有人通過訪問后，有點擊廣告你將得到相應收入分成。所以，有的域名投資者會把域名做停放，用空閑或待價而沽的域名達到賺錢的目的。停放網(wǎng)頁中一般包含了廣告鏈接，廣告商為訪問者的點擊而付費，點擊費一般在每次幾分到幾元不等，站長就可以從中分享收入。平常，在研究人員通過搜索引擎或其他方式訪問某個頁面時會發(fā)現(xiàn)不同域名的頁面相似，其實是不同人在同一個域名停放服務商做的域名停放。這種收益方法沒有任何風險，簡單而有效。

域名停放類似于加入廣告聯(lián)盟，但比廣告聯(lián)盟更為簡潔和方便，域名所有者連網(wǎng)站內(nèi)容都無需提供，將一切都委托給了域名停服務商，只保留了域名所有權，無需維護。當然，加入域名停放再宣傳此域名，也可能帶來更多訪問流量，提供停放收入，這個就要域名所有者自己衡量投入和產(chǎn)出比了。

乍看之下，域名停放似乎對網(wǎng)絡不會造成什么危害，但根據(jù)跟蹤分析，停放的域名卻會對網(wǎng)絡安全構成了重大威脅，因為它們可以在任何時間點將訪問者重定向到惡意或不需要的著陸頁或完全變?yōu)閻阂狻?/p>

Palo Alto Networks 的研究人員已經(jīng)連續(xù)九年跟蹤分析停放域名了，從2020年3月到2020年9月，研究人員確定了500萬個新的域名。在同一時間范圍內(nèi)，研究人員已經(jīng)觀察到600萬個托管域已轉(zhuǎn)移到其他類別。在轉(zhuǎn)移的托管域中，有1.0%被更改為惡意類別(例如網(wǎng)絡釣魚或惡意軟件); 2.6%被更改為例如成人或賭博等不安全的網(wǎng)站; 30.6%的類別被更改為可疑類別(例如可疑或高風險)，與良性域(例如計算機和互聯(lián)網(wǎng)信息或購物)相比，停放域?qū)⑵漕悇e被更改為上述非良性類別之一的可能性高出八倍。

在這篇文章中，研究人員將進一步研究域名停放生態(tài)系統(tǒng)，并概述不同類型的濫用，包括：

1. 域名注冊濫用

作為全球Emotet活動的一部分，研究人員發(fā)現(xiàn)了valleymedicalandsurgicalclinic[.]com的惡意生命周期，雖然，這個惡意攻擊已經(jīng)不再活躍了。 Emotet是一款具有全球影響力的惡意軟件，2014年以銀行木馬的形式出現(xiàn)。今年7月以來，研究人員已在全球多個國家(包括美國，英國，加拿大，奧地利，德國，巴西，意大利、西班牙等)記錄了至少80萬條與該惡意軟件相關的垃圾郵件。

Emotet是從從銀行木馬逐漸發(fā)展為成熟的僵尸網(wǎng)絡的，美國網(wǎng)絡安全和基礎設施安全局(CISA)在一月份發(fā)布有關僵尸網(wǎng)絡的警告時指出：Emotet仍然是影響部分地區(qū)政府的成本最高且破壞性最大的惡意軟件之一。其蠕蟲特征使它在網(wǎng)絡中感染其它機器并迅速蔓延。如上所述，Palo Alto Networks已經(jīng)觀察到針對包括美國、英國、法國、日本、韓國和意大利在內(nèi)的全球各個行業(yè)(例如教育，政府，能源，制造，建筑和電信)的組織的攻擊，針對法國組織的攻擊還利用了COVID-19話題，攻擊者使用了Covid19作為網(wǎng)絡釣魚電子郵件的主題，不過這些攻擊均未成功。

2. 廣告濫用

研究人員觀察到攻擊者濫用與當前美國總統(tǒng)大選有關的Peoplesvote[.]uk域。在訪問Peoplesvote[.]uk時，大多數(shù)時候會向用戶顯示廣告列表頁面。不過，有時用戶會首先被重定向到托管漏洞利用工具包腳本的0redira[.]com/jr.php，隨后用戶被重定向到調(diào)查網(wǎng)站，詢問用戶對Joe Biden或Donald Trump的投票偏好。托管在0redira[.]com/jr.php上的漏洞利用工具包腳本以靜默方式對瀏覽器進行指紋識別，以跟蹤用戶的網(wǎng)絡活動，并隱藏著陸URL，以防止安全公司和研究人員對其進行分析和阻止。值得注意的是，截至撰寫本文時，這些頁面仍處于活動狀態(tài)。

此外，研究人員還觀察到一個域xifinity[.]com，它模仿xfinity[.]com 。當用戶嘗試訪問Xfinity網(wǎng)站但無意中輸入了額外的“i”時，就會被轉(zhuǎn)到 xifinity[.]com，并將其重定向到濫用的著陸頁，即antivirus-protection[.]com-123[.]xyz。在撰寫本文時，這兩個域均處于活動狀態(tài)。登陸頁面試圖使用戶誤以為他們的計算機已被感染，并且他們的McAfee訂閱已過期。當用戶點擊“繼續(xù)”按鈕就會將用戶重定向到提供防病毒訂閱的合法McAfee下載頁面，研究人員認為，這是攻擊者濫用McAfee的會員計劃來竊取廣告收入。

因此，企業(yè)的最佳安全性最佳做法是密切跟蹤停放的域，而消費者應確保他們正確輸入域名并在進入任何站點之前仔細檢查域所有者是否受信任。

Palo Alto Networks的下一代防火墻客戶可以通過URL篩選和DNS安全訂閱來阻止停放的類別。

域名停放的原理

個人和企業(yè)需要向注冊服務商(ICANN認可的域名經(jīng)銷商)支付年費，以購買域名并成為域名所有者。如果域名所有者沒有準備好將其域名指向的內(nèi)容或服務，則可以利用停放服務通過用戶流量獲利。設置停放服務非常簡單，僅要求域所有者將其名稱服務器(NS)記錄指向停放服務。作為回報，停放服務將向訪客顯示廣告列表，或自動將用戶重定向到廣告客戶的網(wǎng)頁。

在第一種情況下，當用戶點擊廣告時，域名所有者和停放服務獲得報酬，而在第二種情況下，每次用戶訪問則向其支付報酬。一些域名所有者購買大量域名作為一項投資，以便以后轉(zhuǎn)售它們以獲利或通過用戶流量獲利。如先前的研究和本文所顯示的那樣，托管域名可能對最終用戶構成重大威脅。因此，連同其可疑的實用程序一起，最好阻止封鎖的域名。

Palo Alto Networks已部署了全面的通道來跟蹤新停放的域，并將檢測結果發(fā)布到URL篩選。最近，研究人員還啟動了DNS安全中的停放類別。研究人員的通道具有如下功能：

• 監(jiān)控已知的停放服務提供商及其基礎架構。
• 跟蹤域注冊和被動DNS查詢，并執(zhí)行反向DNS查找。
• 抓取網(wǎng)站內(nèi)容。
• 利用機器學習來組合多個功能以對域是否已停放進行分類。

下一篇文章中，我們會詳細介紹域名注冊濫用、廣告濫用和停放服務濫用。

本文翻譯自：https://unit42.paloaltonetworks.com/domain-parking/