最近，Blue Coat安全实验室团队深入研究了组成Web的主机名称，其中许多主机转瞬即逝的特质确实令人惊讶。

　　在最近90天的流量中，Blue Coat安全实验室共统计到了超过6.6亿个主机名称。(全球每10.6个人就有一个主机名)。尽管主机数量之多值得注意，但是更引人注目的是：许多主机在90天窗口期内，只出现一天;我们将这些主机称为“一日游主机”。 71%(约4.7亿)主机稍纵即逝，以至于它们在12周的周期内只出现在一天的流量中。尽管新网站和服务上线的速度非常快，互联网具有高度分布的特征，但这一比例似乎还是有些极端——到底是怎么回事?

 

　　昙花一现的存在，让专家们不得不怀疑这些网站瞬息存在的目的。 难道这不是向拼写错误或未分配的主机名发起的无意义请求? 安全专家的思考方向或许会有偏执的一面，但正是这些偏执也给了我们暗示： 这些应当是随机产生的域名，用来控制全球数百万受感染的机器。所以，深入挖掘这些数据，Blue Coat安全实验室带给我们全新的答案。这些被戏称为“一日游”瞬息而逝的主机名称当中，绝大多数在互联网内容的分享和交付中起了重要的作用，但它们也为恶意活动提供了掩护。

　　如何识别大玩家

　　主机名可以是数字IP地址，或者文本域名(或子域名)。在一日游主机中，1.64亿使用IP地址作为其主机名称，平均每天高达180万。在普通网络流量中，在三个月周期中只出现一天的公开路由的IPv4地址空间约占5%。 纵观拥有这些IP地址的自治系统(AS)，互联网服务提供商和电信公司显然占据了前十名，但是其各自比例如此之低，以至于没有一个实体能够脱颖而出。

　　查看这些主机的顶级域名(TLD)开始对这些行为的根源所在带来一些启发。TLD.com让其它TLD相形见绌;它比其它所有TLD加在一起还要多2.5倍。也许其它带有.net和.info后缀的TLD也占有一定比例，但显而易见的是，短暂的域名更喜欢.com这样的后缀，而不是其它后缀。进一步挖掘DNS层级会让大玩家现身。

　　Blue Coat安全实验室指出， “一日游”网站最大的推手包括谷歌、亚马逊和雅虎等一些重要的互联网公司。 Blue Coat还提出，“一日游”网站10大推手中有一个是最流行的色情网站。这些最频繁地使用“一日游”网站的50大父域名中，22%是恶意的。这些域名使用短命网站来推动攻击并管理僵尸网络，利用“新知与未知”的网站来入侵安全解决方案。

　　企业必须持续地抵御网络攻击，进一步加强安全性：一方面， 安全控件必须获得自动化的实时情报，可以发现这些“一日游”网站，并分配风险级别。仅仅靠静态或缓慢的防御不足以保护用户和公司数据。 另一方面，基于政策的安全控件必须能够根据实时情报来阻止恶意攻击。

　　更清晰地了解敌人的动向才能真正防患于未然，Blue Coat提供超过业界最先进和尖端水平的安全技术。我们对安全技术赋予业务价值的能力提供了全新的可能性，通过五大中心，一系列全面的技术、产品、服务和能力来交付，带给您完全保护，同时帮助您意识到并开发新的机会。

　　报告和信息图

　　完整报告《一日游主机：恶意软件如何在短命网站中隐藏自己》详见：https://www.bluecoat.com/security-report-one-day-wonders

　　责任编辑：余芯