顶级域名(TLD)(如 .com、.net、.xxx 和
.hu)位于域名系统的最高级别。顶级域名的定价策略、注册限制、安全措施以及与其他顶级域名的相似度(如 .cm 与 .com)都会影响犯罪分子的购买意图。
在一千余个顶级域名中,按恶意域名数量进行排行, 前 25 个顶级域名中恶意域名的数量占恶意域名总量的 90 %以上。 关注这 25
个恶意域名可以帮助我们更好地了解恶意域名,例如钓鱼域名的首选域名是那些提供免费注册的顶级域名。
前十个恶意域名比例最高的顶级域名中, 有六个是发展中国家的顶级域名 。例如恶名远播的顶级域名 .zw
比平均值还要高七个标准差,研究发现更多是因为被入侵而非恶意注册。另一个例子是 .pw 的钓鱼域名注册率高出平均值七个标准差。顶
级域名的信誉度可以作为域名是否恶意的判断特征之一。
域名系统
以域名 unit42.paloaltonetworks.com 为例。该域名分为三部分,其中 .com 是顶级域名,而 Palo Alto Networks
在 .com 下购买了 paloaltonetworks.com 注册域名的所有权。该公司可以为不同的部门注册下一级域名的使用权限,例如
unit42.paloaltonetworks.com。
示例域名
值得注意的是,顶级域名并非只有 .com 这种一级的形式,还有像 .co.uk 这种二级的形式。
顶级域名分为两类:
通用顶级域名(gTLD):在 ICANN 的监管下由私营公司控制并运营,如.com、.xxx 和 .google 等。
国家/地区顶级域名(ccTLD):由国家/地区监管并运营,通常也会交给私营公司管理,如.us、.cn 和 .hu 等。
负责运营和维护域名注册的单位是注册管理机构。如果是通用顶级域名的注册管理机构,还负责制定有关定价、身份确认和购买限制等相关政策。这些政策会影响犯罪分子是否采用该顶级域名,
免费或者较低的价格以及宽松的检查政策都会吸引犯罪分子使用。
域名数据
收集 2021 年 10 月 7 日的数据进行分析,有如下方式进行处理:
利用 Palo Alto Networks 的高级 URL 过滤服务判断域名的恶意性。
检查 Zone 文件、Passive DNS 收集、主动 DNS 请求验证域名的存在性。
不考虑域名停放、未知域名、水坑等特殊情况。
保留至少有一百个域名的顶级域名。
Palo Alto Networks 将恶意域名分为四类:
Malware(恶意软件)
Phishing(钓鱼网站)
C&C(命令控制服务器)
Grayware(风险软件)
除此之外,还有一些敏感的域名可能也需要进行过滤,如动态 DNS、成人网站、赌博网站、代理节点、Tor 等。
恶意域名数量
不出所料,.com 中的恶意域名数量最多, **有近一半的恶意域名都在 ** .com 域名下。
各类域名的累积分布图
下表显示了注册域名总数、各类恶意域名数量和敏感域名的情况。 越“平坦”的曲线表明该类域名在各个顶级域名下分布均匀,但犯罪分子往往显出偏向性:
超过 99% 的 C&C 域集中在 29 个顶级域名。
超过 99% 的域名集中在 219 个顶级域名中。
Phishing(钓鱼网站)是分布最均匀的恶意域名。
超过 99% 的钓鱼域名集中在 92 个顶级域名中。
各类域名 TOP 排行与累积分布表
.com 拥有近半的注册域名和恶意域名,不过该域名的注册机构积极清理恶意域名。
通过表中可以看到,如 .pw、.ml、.club、.cf 和 .top 在某些类型上排名靠前,但整体恶意域名的数量并不非常多。.xyz
在总量上并没有排名前十,但在钓鱼域名上恶意域名数量仅次于 .com 并且在风险软件上数量最多。
而像 .de 和 .uk 没有在任何恶意类型的前十出现, 这两个顶级域名的恶意域名数量大大低于平均值。 这表明,
负责任的顶级域名注册管理机构可以帮助遏制恶意域名的滥用。
网络钓鱼域名常用的顶级域名,有一半都不在总量排名最多的前十位,这说明网络钓鱼的攻击者对顶级域名有自己的选择方式。
通过抽检,可以发现大量针对大型科技公司的钓鱼。因为疫情大流行,与 COVID-19 相关的钓鱼域名也很多。
一些国家/地区的恶意域名数量惊人,有的比所在国家/地区的人口要多得多。与德国的 .de 相比,有些顶级域名甚至会高出数十万倍。
部分国家/地区顶级域名与德国顶级域名比较统计表
太平洋岛国托克劳管理的顶级域名是
.tk,域名注册收入占其总收入的六分之一。该顶级域名提供免费注册,不靠域名注册挣钱可以靠广告。但这域名政策带来了大量的滥用,很多垃圾邮件与敏感内容都使用该顶级域名。
由 Freenom 运营的顶级域名 .tk、.ga、.cf 和 .ml
都出现在网络钓鱼域名分类的前列。这些国家/地区域名都归发展中国家所有,可能是为了域名注册的收入就不顾恶意注册带来的问题,但实际上纵容网络犯罪带来的损失远比域名注册的收入大得多。
除了免费注册的顶级域名外,像 .xyz 和 .icu 等顶级域名只收取几美元的注册费用,低廉的价格也使得它们成为攻击者的心头好。
恶意域名比例
MAD 为中位数绝对偏差,当异常值偏向平均值时 MAD 比标准差更能反应数据情况。
各类域名在顶级域名中的比例排行
如上图所示,可以发现某些顶级域名的恶意比例非常高,例如 .zw、.bd 与 .ke。但其实这些域名的注册费用是 .com 的 4-14
倍不等,这令人非常诧异。经过分析后, 这些域名很多并非恶意注册,而是被攻击者攻陷的恶意利用。 因为网站的防护不到位,也存在更多的安全漏洞。
特别的是,.cm 在风险软件中排名第六,在钓鱼网站中排名第十二。可能是 .cm 与 .com 类似,犯罪分子将其用于网络钓鱼可以减少怀疑。
敏感域名
除了恶意域名外,组织还可能想要阻止敏感域名,如成人网站和赌博网站。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TJlkFQxp-1693105899063)(https://image.3001.net/images/20211119/1637301213_61973bdd387e1905fd206.png!small)]
顶级域名中敏感域名的统计
有些顶级域名中有相当大比例的域名都是敏感域名。尽管敏感域名的类别很多,但很多都是成人网站和赌博网站。
结论
绝大多数恶意域名都集中在少数顶级域中,这位研究与打击恶意域名提供了机会。基于顶级域名的信誉度也可以帮助对域名进行分类,如恶意或者良性。
参考来源
[Palo Alto Networks](https://unit42.paloaltonetworks.com/top-level-domains-
cybercrime/)
誉度也可以帮助对域名进行分类,如恶意或者良性。
参考来源
[Palo Alto Networks](https://unit42.paloaltonetworks.com/top-level-domains-
cybercrime/)
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
