.garden顶级域名沦为恶意软件温床
原标题:.garden TLD's change to a bad neighborhood
速览
.garden顶级域名近期因被黑客广泛用于分发恶意软件和钓鱼攻击,导致其网络声誉严重受损。该域名已从原本面向园艺爱好者的社区空间,转变为网络安全领域公认的“不良街区”。这一变化提醒域名注册商和互联网用户需加强对新顶级域名的安全审查与监控。
AI 深度解读
背景
近期,网络安全社区对 .garden 顶级域名(TLD)的安全状况产生了高度关注。这一讨论的导火索来自 Interisle 公司的 Dave Piscitello,他在大约一个月前试图探究为何 .garden 域名在网络上显得“充满敌意”或风险极高。虽然该话题一度被忽视,但近期重新被挖掘出来,并通过 DomainTools 的数据揭示了令人震惊的趋势。
核心内容
根据 DomainTools 的分析数据,.garden 顶级域名在 2026 年经历了注册量的激增,且伴随着极高的恶意风险评分。以下是详细的数据解读:
1. 注册量与风险评分的剧烈变化
- 2025年数据:全年摄入约 2,500 个
.garden域名,平均风险评分为 55。 - 2026年至今:已摄入约 147,000 个
.garden域名,平均风险评分飙升至 84。 - 对比:注册量增加了近 60 倍,且风险评分显著恶化,表明该域名后缀正迅速被滥用。
2. 主要风险来源分析 尽管最初怀疑 Cloudflare 是主要责任方,但数据排除了这一假设:
- Cloudflare:涉及 19,000 个域名,平均风险评分为 81。虽然略高于 2025 年的平均水平,但低于 2026 年的整体平均值(84)。如果从数据集中剔除 Cloudflare,剩余约 130,000 个域名的平均风险评分仍保持在 84。
- AliDNS (alidns.com):这是最大的风险贡献者。涉及 68,000 个域名,平均风险评分高达 87。
- 特定组合风险:
- AliDNS + Spaceship 注册商:涉及 65,000 个域名,平均风险评分为 87。
- AliDNS + Dominet 注册商:虽然仅涉及 3,000 个域名,但平均风险评分激增至 94,属于极高危组合。
3. 其他名称服务器(Nameservers)的风险表现
- Spaceship.net:55,000 个域名,平均风险评分 72。
- dnsowl.com:3,500 个域名,平均风险评分 93(极高危)。
- registrar-servers.com (Namecheap):1,000 个域名,平均风险评分 63。
- 其他低风险名称服务器(样本量小于 1,000):
vercel-dns.com:风险评分 42dyna-ns.net:风险评分 66porkbun.com:风险评分 49domaincontrol.com (GoDaddy):风险评分 60
关键要点
- 整体风险极高:
.garden域名的平均风险评分已从 2025 年的 55 跃升至 2026 年的 84,显示出该后缀已被大规模用于恶意活动。 - AliDNS 是主要推手:使用
alidns.com名称服务器的域名占据了绝大多数风险流量,尤其是与特定注册商(如 Spaceship 和 Dominet)结合时,风险评分极高。 - Cloudflare 并非主因:虽然 Cloudflare 托管了大量
.garden域名,但其风险评分低于平均水平,排除后整体风险趋势不变。 - 特定组合最危险:
AliDNS+Dominet注册商组合虽然域名数量较少(3k),但风险评分高达 94,是重点监控对象。 - 传统托管商风险较低:使用 Vercel、Porkbun、GoDaddy 等知名服务商名称服务器的域名,风险评分相对较低(42-60 之间)。
意义与影响
基于上述数据,网络安全防御者应采取以下措施:
- 全面阻断建议:鉴于
.garden域名缺乏合理的商业网络环境需求,且被大量用于恶意目的,强烈建议防御者完全阻断.garden顶级域名。 - 白名单机制:如果业务确实需要访问某些合法的
.garden资源,应建立严格的白名单机制,仅允许经过验证的特定域名通过。 - 细粒度阻断策略:评估现有环境是否支持基于注册商(Registrar)或名称服务器(Nameserver)特征的阻断策略。
- 重点监控并考虑阻断使用
AliDNS名称服务器或Dominet注册商的域名。 - 特别警惕
AliDNS+Dominet以及AliDNS+Spaceship的组合。
- 重点监控并考虑阻断使用
- 持续监控:由于风险评分随时间动态变化,需持续监控该 TLD 的注册动态及关联的基础设施提供商,以应对不断演变的威胁态势。
查看原文 →discourse.ifin.network
