外观
花 20 美元买下过期的 whois 服务器域名,能做什么?
一句话回答:安全研究员哈里斯花 20 美元买下了 .mobi 域名类型旧的 whois 查询服务域名(dotmobiregistry.net),搭了一台假的 whois 服务器后,5 天内收到 250 万条查询——来自政府、军队、大学、安全公司——理论上可以篡改微软等网站的 SSL 证书,让加密传输形同虚设。
什么是 whois
每种顶级域名(.com、.cn、.net、.mobi)都有自己的 whois 查询服务器,就像一本官方目录:一个域名谁买的、从哪买的、什么时候到期,都记录在内。whois 是互联网信任体系的基础设施之一——SSL 证书颁发机构在签发证书时,需要通过 whois 查询域名所有者信息并发送验证邮件。
事件怎么发生的
- .mobi 的 whois 服务地址从旧域名(dotmobiregistry.net)迁到了新域名(whois.nic.mobi),但没有发布公开声明;
- 迁移后两个地址并行使用了几年(旧地址自动转发到新地址),看上去一片祥和;
- 旧域名到期后没人续费——安全公司 watchTowr 的 CEO 哈里斯花 20 美元把它买了下来;
- 他搭了一台自己的 whois 服务器,结果几小时收到 76,000 个 IP 的查询,5 天收到约 250 万条。
谁还在用旧地址
反向查询这些 IP 后发现:大量政府网站(多个国家的 .gov)、瑞典武装军队、几乎所有大学、甚至专做网络安全的公司(Group-IB、Detectify)——全部还在访问已经过期的旧地址。
最大危害:SSL 证书可被篡改
真正可怕的不是恶作剧(比如查谷歌域名返回仙人掌 ASCII 画),而是可以利用 whois 控制权破坏 SSL/TLS 加密链条:
- 证书颁发机构(如 GlobalSign)签发 SSL 证书时需验证域名所有权,依靠 whois 查找域名所有者的邮箱;
- 控制 whois 服务器后,把任何 .mobi 域名的联系邮箱改成自己的;
- 向证书颁发机构重新申请证书,验证邮件发到了攻击者邮箱——证书就在域名所有者毫不知情的情况下被替换了;
- 拿到证书后理论上可拦截流量、冒充服务器,用户的敏感信息传输将失去保护。
实测中已经做到了在 GlobalSign 的网页上把微软 microsoft.mobi 的验证邮箱替换成自己的,证书申请已经走到了最后一步。
为什么这么多系统还在用旧地址
- 按规范写法,程序每次使用 whois 时应去 IANA 官网实时查询最新服务器地址;
- 但 whois 地址几乎从不变,加上实时查询有网络风险,很多程序员选择把地址写死(硬编码);
- 服务商换地址时通常两个地址并行过渡,这次是忘了续费旧地址,过渡直接断裂。
whois 本身的脆弱性
whois 协议从 1982 年阿帕网时代诞生,2004 年的标准文档沿用至今,20 年没更新:公开大量信息(域名所有者邮箱被垃圾邮件冲爆)、缺乏加密和认证机制。ICANN 在 2013 年提出过用 RDAP 替代 whois,但就像 IPv4 过渡到 IPv6,用户太多,进展缓慢。
常见误区
- "控制 whois 就能劫持网站" —— whois 和 DNS 是两套系统。篡改 whois 不会改变网站指向的服务器 IP(那是 DNS 的事),真正的破坏力在于利用 whois 篡改 SSL 证书。
- "这种漏洞只是个例" —— 互联网信任链条上类似的"忘记续费""硬编码旧地址"的薄弱环节大量存在。引用哈里斯的话:"我们不太可能是最后一个在如此重要的过程中发现不可原谅的缺陷的人。"
相关条目
作者:人工大黑 · 转写自视频《如何花20美元掘一下互联网的根?》
