如何检测幽灵域名

幽灵域名是指那些已经被从TLD服务器中删除，但却仍然可被DNS服务器所解析的域。其出现的原因分以下两种：

对应域授权数据的TTL值尚未耗尽。请注意，如果对象域的TTL不会被刷新，那么则不应将其视为幽灵域名。

授权数据的TTL值利用DNS服务器漏洞进行不断刷新。

下面是一些颇具指导意义的办法，以帮助大家揪出幽灵域名。

在域中通过遍历DNS分层结构的方式执行DNS查询，即本文中“DNS查询”章节中的内容。

利用特定DNS服务器对某个域的A记录发起查询。

如果DNS查询步骤无法给出回应，但却能通过使用特定DNS服务器得到查询结果，那么目标域很可能属于幽灵域。我们无法确定得出确切结论，因为很可能这种现象是由于授权数据的TTL尚未耗尽所造成(当然也不排除其中存在TTL重置活动)。所以，目前最大的难题就是界定哪些属于幽灵域而哪些不是。

以下步骤可能具有一定辅助作用：

记录目录授权数据的TTL值。

等待域TTL值剩余时间耗尽，并再次发起查询。如果该DNS服务器仍然能够解析目标域，那么我们可以肯定该域为幽灵域。

综述

在这篇文章中，我们就论文中公布的漏洞展开讨论。归纳来说，就是通过非法更新DNS服务器缓存的方式，人为刷新特定域授权数据的TTL值。这意味着该域在被从TLD服务器中清除后，仍然可以长期处于可解析状态。其后我们又讨论了一些方法，用于界定某个特定域是否属于幽灵域。

(责任编辑：)