آیا دامنه های پارک شده برای سئو خطرناک اند؟

خلاصه اجرایی
خدمات پارکینگ دامنه یک راه حل ساده برای صاحبان دامنه ارائه می دهد تا از ترافیک سایت های خود از طریق تبلیغات شخص ثالث کسب درآمد کنند. در حالی که پارک کردن دامنه ممکن است در نگاه اول بی ضرر به نظر برسد، دامنه های پارک شده تهدیدهای مهمی هستند، زیرا می توانند بازدیدکنندگان را به صفحات فرود مخرب یا ناخواسته هدایت کنند یا در هر زمانی کاملاً مخرب شوند.

ما بیش از نه سال است که دامنه های پارک شده را شناسایی می کنیم. از مارس تا سپتامبر 2020، 5 میلیون دامنه جدید پارک شده شناسایی کردیم. در همین بازه زمانی، مشاهده کردیم که 6 میلیون دامنه پارک شده به دسته های دیگر منتقل شده اند. از دامنه های پارک شده انتقال یافته، 1.0٪ به دسته های مخرب (مانند فیشینگ یا بدافزار) تغییر یافته است. 2.6٪ به غیر ایمن برای دسته های کاری (مانند بزرگسالان یا قمار) تغییر یافت. و 30.6 درصد به دسته های مشکوک (مانند مشکوک یا ریسک بالا) تغییر یافتند. در مقایسه با یک دامنه خوش خیم (مانند اطلاعات رایانه و اینترنت یا خرید)، دامنه پارک شده هشت برابر بیشتر احتمال دارد که دسته خود را به یکی از دسته های غیرخیم بالا تغییر دهد.

در این وبلاگ، ما اکوسیستم پارکینگ دامنه را بیشتر بررسی می کنیم و انواع مختلف سوء استفاده از جمله:

سوء استفاده از ثبت دامنه: ما چرخه حیات مخرب دامنه valleymedicalandsurgicalclinic[.]com را که دیگر فعال نیست، به عنوان بخشی از یک کمپین جهانی Emotet مشاهده کردیم. Emotet یکی از محبوب‌ترین خانواده‌های بدافزار است که از طریق ایمیل‌های فیشینگ توزیع می‌شود. در طول این کمپین، شبکه های پالو آلتو حملاتی را علیه سازمان ها در صنایع مختلف (مانند آموزش، دولت، انرژی، تولید، ساخت و ساز و مخابرات) در سراسر جهان از جمله ایالات متحده، بریتانیا، فرانسه، ژاپن، کره و ایتالیا مشاهده کردند. . حمله ای که سازمان های فرانسوی را هدف قرار داد از همه گیری جهانی COVID-19 نیز سوء استفاده کرد: از Covid19 به عنوان خط موضوع ایمیل های فیشینگ استفاده کرد. هیچ یک از این حملات موفقیت آمیز نبود.
سوء استفاده از تبلیغات (مورد 1): ما مهاجمانی را مشاهده کردیم که از دامنه مردمی [.]uk مربوط به انتخابات ریاست جمهوری فعلی ایالات متحده سوء استفاده می کردند. هنگام بازدید از peoplesvote[.]uk، کاربران اغلب اوقات با یک صفحه فهرست تبلیغاتی روبرو می شوند. با این حال، گاهی اوقات، کاربران ابتدا به 0redira[.]com/jr.php هدایت می شوند، که میزبان یک اسکریپت کیت بهره برداری است، و متعاقباً کاربران به یک وب سایت نظرسنجی هدایت می شوند که در مورد ترجیح کاربران رای جو بایدن یا دونالد ترامپ سوال می کنند. اسکریپت کیت اکسپلویت که در 0redira[.]com/jr.php میزبانی می‌شود، مرورگر را بی‌صدا اثر انگشت می‌گیرد تا فعالیت وب کاربران را ردیابی کند و URLهای فرود را پنهان می‌کند تا از تجزیه و تحلیل و مسدود کردن شرکت‌های امنیتی و محققان جلوگیری کند. قابل ذکر است که این صفحات تا زمان نگارش این مقاله همچنان فعال هستند.
سوء استفاده از تبلیغات (مورد 2): علاوه بر این، ما دامنه ای را مشاهده کردیم، xifinity[.]com، با تقلید از xfinity[.]com. هنگامی که کاربر سعی می کند از وب سایت Xfinity بازدید کند اما به طور تصادفی یک “i” اضافی تایپ می کند، به xifinity[.]com می رود و به صفحه فرود سوء استفاده کننده، antivirus-protection[.]com-123[.]xyz هدایت می شود. . هر دو دامنه از زمان نگارش این مقاله فعال هستند. صفحه فرود سعی می کند کاربران را فریب دهد تا فکر کنند دستگاه آنها آلوده است و اشتراک McAfee آنها منقضی شده است. با کلیک بر روی دکمه “ادامه” کاربران به صفحه دانلود قانونی McAfee هدایت می شوند که اشتراک آنتی ویروس را ارائه می دهد. ما معتقدیم که مهاجمان از برنامه وابسته McAfee برای سرقت درآمد تبلیغات سوء استفاده می کنند.
بهترین روش امنیتی برای شرکت ها، پیگیری دقیق دامنه های پارک شده است، در حالی که مصرف کنندگان باید مطمئن شوند که نام دامنه ها را به درستی تایپ می کنند و قبل از ورود به هر سایتی دوباره بررسی کنند که صاحبان دامنه مورد اعتماد هستند.

مشتریان فایروال نسل بعدی Palo Alto Networks می توانند دسته بندی پارک شده را با اشتراک های فیلتر URL و DNS Security مسدود کنند.

پارکینگ دامنه: چرا و چگونه
افراد و شرکت ها برای خرید نام دامنه و تبدیل شدن به صاحب دامنه باید به ثبت کنندگان (فروشندگان دامنه معتبر ICANN) هزینه سالانه پرداخت کنند. اگر صاحبان دامنه محتوا یا سرویس آماده ای برای نشان دادن دامنه خود ندارند، می توانند از خدمات پارکینگ برای کسب درآمد از ترافیک کاربران استفاده کنند. راه‌اندازی یک سرویس پارکینگ ساده است و فقط از صاحبان دامنه می‌خواهد تا رکوردهای سرور نام (NS) خود را به سرویس پارکینگ نشان دهند. در عوض، خدمات پارکینگ یا لیستی از تبلیغات را به بازدیدکنندگان ارائه می دهد یا به طور خودکار کاربران را به صفحات وب تبلیغ کنندگان هدایت می کند. در حالت اول، صاحبان دامنه و خدمات پارکینگ زمانی که کاربر روی یک تبلیغ کلیک می کند، پول دریافت می کنند، در حالی که در حالت دوم، به ازای بازدید کاربر، پول دریافت می کنند. برخی از صاحبان دامنه مقادیر زیادی از نام های دامنه را به عنوان سرمایه گذاری می خرند تا بعداً آنها را برای کسب سود یا کسب درآمد از ترافیک کاربران دوباره بفروشند. همانطور که توسط مطالعات تحقیقاتی قبلی و این وبلاگ نشان داده شده است، دامنه های پارک شده می توانند تهدیدهای مهمی برای کاربران نهایی باشند. به همین دلیل، همراه با کاربرد مشکوک آنها، ممکن است بهتر باشد دامنه های پارک شده را مسدود کنید. به تازگی،

ما دسته پارک شده را در امنیت DNS نیز راه اندازی کرده ایم. 

ارائه دهندگان خدمات پارک شده شناخته شده و زیرساخت های آنها را رصد می کند.
ثبت دامنه و پرس و جوهای DNS غیرفعال را ردیابی می کند و جستجوهای معکوس DNS را انجام می دهد.


محتوای وب سایت را خزیده است.


از یادگیری ماشینی برای ترکیب چندین ویژگی برای طبقه‌بندی اینکه آیا یک دامنه پارک شده است استفاده می‌کند.
آمار سطح بالا
برای تجزیه و تحلیل فضای فعلی دامنه پارک شده، دامنه‌های پارک شده را که از مارس تا سپتامبر 2020 شناسایی شده‌اند، و همچنین دامنه‌هایی که دسته آنها از پارک شده به دسته‌های دیگر در همان بازه زمانی تغییر کرده است، جمع‌آوری کردیم. به طور متوسط، ما دریافتیم که روزانه 27000 دامنه جدید پارک شده شناسایی و 35000 دامنه پارک شده موجود مجدداً طبقه بندی می شوند. به طور خلاصه، خط لوله ما 5 میلیون دامنه جدید پارک شده را شناسایی کرده و 6 میلیون دامنه پارک شده را در 6 ماه گذشته به دسته های دیگر طبقه بندی کرده است.

 نحوه تغییر دامنه های پارک شده را در این دوره زمانی به طور خلاصه نشان می دهد. برای سادگی، دسته بندی URL Filtering را به چهار دسته دسته بندی می کنیم: مخرب، غیر ایمن برای کار، مشکوک و خوش خیم. کلاس مخرب شامل بدافزار، فرمان و کنترل (C2)، فیشینگ و خاکستری است. بزرگسالان، قمار و برهنگی در فضایی غیر ایمن برای طبقه کارگر نشان داده شده است. برای موارد مشکوک، ما شامل محتوای مشکوک، ناکافی و دامنه های پرخطر می شویم. سایت‌ها بر اساس محتوای وب مشکوک مشکوک تلقی می‌شوند، در حالی که دسته محتوای ناکافی معمولاً برای یک وب‌سایت خالی اعمال می‌شود و ریسک بالا به این معنی است که دامنه رفتاری مشابه دامنه‌های مخرب نشان می‌دهد. کلاس خوش خیم همه مقوله های دیگر مانند تجارت و اقتصاد، کامپیوتر و اطلاعات اینترنتی و خرید را در بر می گیرد. شکل 1 نشان می دهد که برای دامنه های پارک شده، نرخ تغییر مخرب 1.0٪، نرخ تغییر غیر ایمن برای کار 2.6٪ و نرخ تغییر مشکوک 30.6٪ است. به عنوان مقایسه، نرخ تغییر غیرخیم دسته پارک شده هشت برابر بیشتر از نرخ تغییر غیرخیم دسته های خوش خیم است.

تفکیک نحوه تغییر دامنه‌های پارک شده که در طول شش ماه مشاهده کردیم: دامنه‌های پارک شده که تغییر می‌کردند در 1٪ مواقع مخرب، در 2.6٪ مواقع برای کار ایمن نیستند، 30.6٪ مواقع مشکوک و در 65.8٪ موارد خوش‌خیم بودند. زمان.
شکل 1. فهرستی از دسته‌هایی که دامنه‌های پارک شده‌ای که مشاهده کردیم در شش ماه گذشته به آنها تغییر کرده است.
شکل 2 توزیع تعداد روزهایی را نشان می دهد که دامنه هایی که در نهایت به عنوان مخرب و بدخیم دسته بندی می شوند، قبل از تغییر دسته پارک شده اند. ما تعداد تغییرات دسته بندی از پارک شده را برای هر 10 روز پارک شده جمع آوری می کنیم و با تعداد کل دامنه ها در هر کلاس عادی می کنیم. شکل 2 نشان می دهد که بیش از 25.9٪ از دامنه های پارک شده که به دسته های مخرب تغییر کرده اند برای کمتر از 10 روز پارک شده اند، که به طور قابل توجهی با خوش خیم متفاوت است، جایی که اکثر آنها برای حدود 60-69 روز پارک شده اند. ما حدس می زنیم که بسیاری از مجرمان سایبری دامنه خود را پیر نمی کنند (روشی که برای فرار از ویژگی های تشخیص مبتنی بر طول عمر دامنه استفاده می شود) و از آنها برای انجام حملات در اسرع وقت استفاده می کنند.

تعداد روزهایی که معمولاً برای پارک دامنه قبل از تغییر دسته مشاهده می شود. نمودار سایت های مخرب را با خطوط آبی و سایت های خوش خیم را با خطوط قرمز نشان می دهد.
شکل 2. تعداد روزهایی که دامنه پارک شده است قبل از تغییر دسته، بر اساس مشاهدات انجام شده در طول شش ماه گذشته.
اکوسیستم و بردارهای حمله
در این بخش به بررسی بیشتر مزایای شناسایی و مسدود کردن دامنه های پارک شده می پردازیم. ما با تشریح اکوسیستم پارکینگ دامنه به گروه های مختلف ذینفع شروع می کنیم. سپس نشان می‌دهیم که بزرگترین بردار حمله، ثبت دامنه است، زیرا مهاجمان می‌توانند دامنه‌های پارک شده را ثبت کنند و در هر زمانی آن‌ها را مخرب کنند. دوم، ما نشان می‌دهیم که مهاجمان می‌توانند از عدم کنترل تبلیغات توسط برخی از شبکه‌های تبلیغاتی کوچک‌تر مورد استفاده توسط سرویس‌های پارکینگ سوء استفاده کنند و در نتیجه بازدیدکنندگان را به صفحات فرود مخرب یا ناخواسته هدایت کنند. در آخر، نشان می‌دهیم که حتی خود یک سرویس پارکینگ نیز می‌تواند حریم خصوصی کاربران را تهدید کند.

سهامداران
ما گروه های ذینفع اصلی در اکوسیستم پارکینگ دامنه و روابط آنها را در شکل 3 نشان می دهیم، یعنی صاحبان دامنه، ارائه دهندگان خدمات پارکینگ، شبکه های تبلیغاتی و تبلیغ کنندگان. توجه داشته باشید که اصطلاح سهامداران همانطور که در اینجا استفاده می شود نشان دهنده نقش ها است و می تواند به یک نهاد یا چندین نهاد اشاره کند. صاحبان دامنه مالک دامنه های پارک شده هستند و انگیزه کسب درآمد از طریق ارائه دهندگان خدمات پارکینگ را دارند. ارائه دهندگان خدمات پارکینگ فیدهای شبکه های تبلیغاتی را برای کسب درآمد از ترافیک کاربران ترکیب و سازماندهی می کنند. شبکه‌های تبلیغاتی، ترافیک کاربران را از دامنه‌های پارک شده مشخص می‌کنند و تبلیغات را از تبلیغ‌کنندگان علاقه‌مند به کاربران ارائه می‌دهند.

سهامداران در اکوسیستم پارکینگ دامنه:

تبلیغ کنندگان، شبکه های تبلیغاتی، ارائه دهندگان خدمات پارکینگ و صاحبان دامنه.
شکل 3. سهامداران در اکوسیستم پارکینگ دامنه و روابط آنها.
همانطور که قبلا ذکر شد، صاحبان دامنه باید سوابق NS خود را به سرور نام سرویس پارکینگ نشان دهند

دامنه های خود را “پارک” کنند.

ما محبوبیت ارائه‌دهندگان خدمات را با بررسی سوابق DNS NS دامنه‌های پارک شده شناسایی‌شده از مارس تا سپتامبر 2020 اندازه‌گیری کردیم. شکل 4، 15 محبوب‌ترین دامنه NS را نشان می‌دهد. اکثر دامنه های پارک شده توسط NS ثبت کننده های بزرگ، از جمله GoDaddy (domaincontrol[.]com) و NameBright (namebrightdns[.]com) حل و فصل می شوند. علاوه بر ثبت کنندگان بزرگ و ارائه دهندگان میزبانی، چندین ارائه دهنده خدمات پارکینگ اختصاصی را شناسایی کردیم. محبوب ترین ارائه دهنده اختصاصی Sedo (sedoparking[.]com) است که 19.5٪ دامنه های پارک شده از آن استفاده می کنند.

فهرستی از ارائه دهندگان خدمات پارکینگ دامنه، مرتب شده بر اساس محبوبیت. ارائه دهندگان برتر عبارتند از domaincontrol[.]com، sedoparking[.]com، namebrightdns[.]com، bodis[.]com و parking crew[.]net
شکل 4. فهرستی از ارائه دهندگان خدمات پارکینگ شامل ثبت کننده ها، ارائه دهندگان میزبانی و ارائه دهندگان پارکینگ اختصاصی.
سوء استفاده از ثبت دامنه
دامنه های پارک شده می توانند زمانی که کاربران مخرب شوند، تهدیداتی را برای کاربران ایجاد کنند. شکل 1 نشان می دهد که 1.0٪ از دامنه های پارک شده در نهایت به دسته های مخرب مانند C2 و بدافزار تغییر کردند. به نظر می رسد برخی از مهاجمان قبل از استقرار محتوای مخرب، صفحات پارک شده را در دامنه های خود میزبانی می کنند تا به طور بالقوه هزینه های خود را کاهش دهند.

برای مثال، چرخه حیات مخرب دامنه valleymedicalandsurgicalclinic[.]com را مشاهده کردیم. این دامنه در 8 ژوئیه 2020 ثبت شده است. آشکارساز دامنه جدید ثبت شده ما این دامنه را پیدا کرد و خط لوله آشکارساز پارکینگ ما آن را بر اساس محتوای وب سایت به عنوان پارک شده طبقه بندی کرد. دو ماه بعد، موتور تجزیه و تحلیل بدافزار ما، آتش سوزی، اسیر چند نمونه از نرم افزارهای مخرب، مانند SHA256: [.] a9fe73484674696be756808e93f839be7157cd65995d8de9e67e40bf77c9b229 و 54ac560845b09ce00a48b604ac7c440331cbde4362839a3dbf14c378230bee21 میزبانی بر روی valleymedicalandsurgicalclinic URL کام / ujftb / بیانیه / wr7hoba7i9hz از 14 سپتامبر، 2020. علاوه بر این، ما کشف کرد که این بخشی از یک کمپین جهانی Emotet است (برای اطلاعات بیشتر به وبلاگ اخیر Emotet مراجعه کنید). Emotet یکی از محبوب‌ترین خانواده‌های بدافزار است که از طریق ایمیل‌های فیشینگ توزیع می‌شود. اسناد پیوست شده به ایمیل های فیشینگ حاوی اسکریپت های ماکرو هستند که از دستگاه های قربانیان به سرورهای C2 باز می گردند. Emotet بیشتر بارهای تروجان را دانلود می کند که اطلاعات اعتبار قربانیان را می دزدد یا حتی ماشین های آنها را به خطر می اندازد. ما می‌توانیم بسیاری از رفتارهای مشکوک را از این فایل‌ها ببینیم، 

کمپین مشاهده شده با استفاده از دامنه های متعدد در سراسر جهان راه اندازی شد. در طول این کمپین، شبکه های پالو آلتو حملاتی را علیه سازمان ها در صنایع مختلف (مانند آموزش، دولت، انرژی، تولید، ساخت و ساز و مخابرات) در سراسر جهان از جمله ایالات متحده، بریتانیا، فرانسه، ژاپن، کره و ایتالیا مشاهده کردند. . حمله ای که سازمان های فرانسوی را هدف قرار داد از همه گیری جهانی  نیز سوء استفاده کرد: از Covid19 به عنوان موضوع ایمیل فیشینگ استفاده کرد (برای موارد مشابه به وبلاگ کلاهبرداری COVID-19 ما مراجعه کنید). هیچ یک از حملات موفقیت آمیز نبود.

مراحل کمپین Emotet شامل یک وب سایت در معرض خطر یا ایمیل فیشینگ است که منجر به یک سند جعلی، سرورهای C2 و یک بار مخرب می شود.
شکل 5. تصویری از مراحل کمپین Emotet.
سوء استفاده از تبلیغات
اکوسیستم پارکینگ دامنه برای سود بردن از ترافیک کاربران به تبلیغ کنندگان بستگی دارد. همانطور که قبلاً بحث شد، خدمات پارکینگ یا فهرستی از تبلیغات را به کاربران نشان می‌دهد (و بر اساس تعداد کلیک‌های کاربر بر روی این تبلیغات پول دریافت می‌کنند) یا کاربران را به‌طور خودکار به صفحات وب تبلیغ‌کنندگان هدایت می‌کنند (و بر اساس تعداد بازدیدهای کاربر پول دریافت می‌کنند). اغلب خدمات پارکینگ و شبکه های تبلیغاتی ابزار یا تمایلی برای فیلتر کردن تبلیغ کنندگان سوء استفاده کننده (یعنی مهاجمان) ندارند. بنابراین، کاربران در معرض تهدیدات مختلفی مانند توزیع بدافزار، توزیع برنامه های ناخواسته (PUP) و کلاهبرداری های فیشینگ قرار دارند. در تجربه ما، ما اغلب توزیع grayware را مشاهده می کنیم.

 هفتمین سرویس پارکینگ محبوب ترین دامنه. با بازدید از people کاربران اغلب با یک صفحه فهرست آگهی نمایش داده می شوند، همانطور که در شکل 6 نشان داده شده است. با این حال، گاهی اوقات، کاربران ابتدا به  هدایت می شوند که میزبان یک کیت بهره برداری است. اسکریپت، و متعاقباً به یک وب‌سایت نظرسنجی هدایت می‌شود که در مورد اولویت‌های رأی‌گیری کاربران سؤال می‌کند، همانطور که در شکل 7 نشان داده شده است. اسکریپت کیت بهره‌برداری که در  میزبانی می‌شود، مرورگر را بی‌صدا برای ردیابی فعالیت وب کاربران و پنهان کردن آن، اثر انگشت می‌کند. URL های فرود قابل ذکر است که این صفحات تا زمان نگارش این مقاله همچنان فعال هستند.

این نشان می‌دهد که چگونه  اغلب ظاهر می‌شود – یک دامنه پارک شده با فهرست‌های تبلیغاتی.
شکل 6. صفحه فهرست آگهی اغلب هنگام بازدید از peo دیده می شود


این نشان می دهد که گاهی اوقات پس از بازدید از  صفحه فرود اولویت رأی گیری، چه اتفاقی می افتد.
شکل 7. صفحه فرود ترجیح رأی که ​​گاهی اوقات پس از بازدید ازو هدایت شدن به وب سایت نظرسنجی دیده می شود.
علاوه بر این، ما مهاجمانی را مشاهده کردیم که از بزرگترین ارائه دهنده خدمات پارکینگ اختصاصی، Sedo سوء استفاده می کردند. ما یک دامنه پارک شده پیدا کردیم،  که یک دامنه  است که از  تقلید می کند (برای اطلاعات بیشتر به وبلاگ  ما یا این مقاله دانشگاهی مراجعه کنید). هنگامی که کاربر سعی می کند از وب سایت بازدید کند اما به طور تصادفی یک “i” اضافی را تایپ می کند، به  می رود و به صفحه تبلیغ کننده هدایت می شود. ما تشخیص دادیم که ترافیک این دامنه به چند تبلیغ‌کننده فروخته می‌شود. یکی از تبلیغ کنندگان، ، صفحه دانلود نرم افزار را به کاربران ارائه می دهد.
علاوه بر تبلیغ‌کنندگان قانونی، ما همچنین چندین تغییر جهت به PUPها را از مهاجمان دریافت کردیم. شکل 8 یکی از صفحات فرود توهین آمیز را نشان می دهد، دامنه سطح صفحه فرود سعی می کند کاربران را فریب دهد تا تصور کنند دستگاه آنها آلوده است و اشتراک آنها منقضی شده است. با کلیک بر روی دکمه “ادامه” کاربران به صفحه دانلود قانونی McAfee هدایت می شوند که اشتراک آنتی ویروس را ارائه می دهد. ما معتقدیم که مهاجمان از برنامه وابسته McAfee برای سرقت درآمد تبلیغات سوء استفاده می کنند.

به عنوان یک دامنه اسکوات،  در مقایسه با سایر دامنه های پارک شده، حجم بازدید بالایی دریافت می کند. ما بیش از 1000 درخواست DNS برای  را در مجموعه داده DNS غیرفعال خود از ژوئن تا سپتامبر 2020 مشاهده کردیم، و دامنه همچنان از زمان نگارش این مقاله فعال است – همانطور که محافظت از آنتی ویروس نیز فعال است. از دیدگاه مالک دامنه، استفاده از سرویس پارکینگ راهی مناسب برای کسب درآمد از ترافیک کاربران است. با این حال، از آنجایی که تبلیغ‌کنندگان سوء استفاده‌کننده (یعنی مهاجمان) فیلتر نمی‌شوند، کاربران در معرض تهدیدات مختلفی قرار می‌گیرند.

این مورد سوء استفاده از پارکینگ دامنه شامل یک صفحه فرود است که جعل هویت  همانطور که در اینجا نشان داده شده است.
شکل 8. صفحه فرود جعل هویت  هنگام بازدید از
سوء استفاده از خدمات پارکینگ
ما چندین صفحه پارک شده را با استفاده از  مشاهده کردیم، که چهاردهمین ارائه دهنده خدمات پارکینگ محبوب است (نشان داده شده در شکل 4)، که اطلاعات شخصی بازدیدکنندگان را جمع آوری می کند. ما مشاهده کردیم که این صفحات اثر انگشت مرورگرهای کاربران را تولید می کنند و آنها را به دامنه پارک شده باز می گرداند. صفحات پارک شده از اسکریپت انگشت نگاری مرورگر از  استفاده می کنند که اطلاعات خصوصی مختلف را جمع آوری کرده و رفتار کاربر را ردیابی می کند. این اثر انگشت مرورگر می‌تواند برای ردیابی فعالیت‌های آنلاین بازدیدکنندگان مورد استفاده قرار گیرد، و به شبکه‌های تبلیغاتی اجازه می‌دهد تا بازدیدکنندگان را با تبلیغات متناسب با آنها هدف قرار دهند. علاوه بر این، صاحبان دامنه به صورت آنلاین شکایت کردند که رکوردهای NS دامنه آنها بدون آگاهی آنها بر روی سرورهای ztomy NS پیکربندی شده است، که می تواند نوعی ربودن دامنه در نظر گرفته شود.

این اسکرین شات نشان می‌دهد که چگونه با تبلیغات ارائه‌دهنده خدمات پارکینگ دامنه  ظاهر می‌شود.
شکل 9. نمونه ای از یک دامنه پارک شده، ، که از به عنوان ارائه دهنده خدمات پارکینگ استفاده می کند.


نتیجه


به طور خلاصه، دامنه های پارک شده می توانند کاربران را در معرض تهدید قرار دهند زیرا می توانند بازدیدکنندگان را به صفحات فرود مخرب یا ناخواسته هدایت کنند یا در آینده کاملاً مخرب شوند. با توجه به کاربرد مشکوک آن‌ها و این واقعیت که سیستم ما می‌تواند به سرعت دامنه‌های پارک شده را در صورت داشتن دسته‌های جدید دوباره طبقه‌بندی کند، پیشنهاد می‌کنیم که مشتریان فایروال نسل بعدی شبکه‌های Palo Alto دسته پارک شده را با فیلتر کردن URL یا امنیت DNS مسدود کنند. در حالی که ممکن است برخی به دلیل مثبت کاذب احتمالی این امر را کمی بیش از حد محتاط تلقی کنند، پیشنهاد می کنیم هشدارهایی را برای دید بیشتر در حداقل حداقل تنظیم کنید.

 

 

0