.garden顶级域名沦为恶意软件温床

背景

近期，网络安全社区对 .garden 顶级域名（TLD）的安全状况产生了高度关注。这一讨论的导火索来自 Interisle 公司的 Dave Piscitello，他在大约一个月前试图探究为何 .garden 域名在网络上显得“充满敌意”或风险极高。虽然该话题一度被忽视，但近期重新被挖掘出来，并通过 DomainTools 的数据揭示了令人震惊的趋势。

核心内容

根据 DomainTools 的分析数据，.garden 顶级域名在 2026 年经历了注册量的激增，且伴随着极高的恶意风险评分。以下是详细的数据解读：

1. 注册量与风险评分的剧烈变化

• 2025年数据：全年摄入约 2,500 个 .garden 域名，平均风险评分为 55。
• 2026年至今：已摄入约 147,000 个 .garden 域名，平均风险评分飙升至 84。
• 对比：注册量增加了近 60 倍，且风险评分显著恶化，表明该域名后缀正迅速被滥用。

2. 主要风险来源分析 尽管最初怀疑 Cloudflare 是主要责任方，但数据排除了这一假设：

• Cloudflare：涉及 19,000 个域名，平均风险评分为 81。虽然略高于 2025 年的平均水平，但低于 2026 年的整体平均值（84）。如果从数据集中剔除 Cloudflare，剩余约 130,000 个域名的平均风险评分仍保持在 84。
• AliDNS (alidns.com)：这是最大的风险贡献者。涉及 68,000 个域名，平均风险评分高达 87。
• 特定组合风险：
  • AliDNS + Spaceship 注册商：涉及 65,000 个域名，平均风险评分为 87。
  • AliDNS + Dominet 注册商：虽然仅涉及 3,000 个域名，但平均风险评分激增至 94，属于极高危组合。

3. 其他名称服务器（Nameservers）的风险表现

• Spaceship.net：55,000 个域名，平均风险评分 72。
• dnsowl.com：3,500 个域名，平均风险评分 93（极高危）。
• registrar-servers.com (Namecheap)：1,000 个域名，平均风险评分 63。
• 其他低风险名称服务器（样本量小于 1,000）：
  • vercel-dns.com：风险评分 42
  • dyna-ns.net：风险评分 66
  • porkbun.com：风险评分 49
  • domaincontrol.com (GoDaddy)：风险评分 60

关键要点

• 整体风险极高：.garden 域名的平均风险评分已从 2025 年的 55 跃升至 2026 年的 84，显示出该后缀已被大规模用于恶意活动。
• AliDNS 是主要推手：使用 alidns.com 名称服务器的域名占据了绝大多数风险流量，尤其是与特定注册商（如 Spaceship 和 Dominet）结合时，风险评分极高。
• Cloudflare 并非主因：虽然 Cloudflare 托管了大量 .garden 域名，但其风险评分低于平均水平，排除后整体风险趋势不变。
• 特定组合最危险：AliDNS + Dominet 注册商组合虽然域名数量较少（3k），但风险评分高达 94，是重点监控对象。
• 传统托管商风险较低：使用 Vercel、Porkbun、GoDaddy 等知名服务商名称服务器的域名，风险评分相对较低（42-60 之间）。

意义与影响

基于上述数据，网络安全防御者应采取以下措施：

1. 全面阻断建议：鉴于 .garden 域名缺乏合理的商业网络环境需求，且被大量用于恶意目的，强烈建议防御者完全阻断 .garden 顶级域名。
2. 白名单机制：如果业务确实需要访问某些合法的 .garden 资源，应建立严格的白名单机制，仅允许经过验证的特定域名通过。
3. 细粒度阻断策略：评估现有环境是否支持基于注册商（Registrar）或名称服务器（Nameserver）特征的阻断策略。
   • 重点监控并考虑阻断使用 AliDNS 名称服务器或 Dominet 注册商的域名。
   • 特别警惕 AliDNS + Dominet 以及 AliDNS + Spaceship 的组合。
4. 持续监控：由于风险评分随时间动态变化，需持续监控该 TLD 的注册动态及关联的基础设施提供商，以应对不断演变的威胁态势。