黑产团伙滥用 .arpa 域名与 IPv6 反向 DNS 实施钓鱼攻击

网络黑产团伙正在滥用专用顶级域名.arpa以及 IPv6 反向域名解析（DNS）开展钓鱼活动，此类攻击可更轻松地绕过域名信誉检测机制与邮件安全网关。

一、.arpa 域名是什么？

.arpa是为互联网基础设施预留的特殊顶级域名，并非用于普通网站，主要用于反向 DNS 解析，即让系统将 IP 地址反向映射为对应的主机名。

正向解析 vs 反向解析示例

以 Google 为例：

www.google.com的 IP 地址为：

• IPv4:192.178.50.36

• IPv6:2607:f8b0:4008:802::2004

IPv4 反向解析（in-addr.arpa）

使用dig工具查询 Google 的 IPv4 地址：

bash

复制

dig -x 192.178.50.36

输出结果：

plain

复制

; QUESTION SECTION: ;36.50.178.192.in-addr.arpa. IN PTR ; ANSWER SECTION: 36.50.178.192.in-addr.arpa. 1386 IN PTR lcmiaa-aa-in-f4.1e100.net.

IPv6 反向解析（ip6.arpa）

查询 Google 的 IPv6 地址：

bash

复制

dig -x 2607:f8b0:4008:802::2004

输出结果：

plain

复制

; QUESTION SECTION: ;4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. IN PTR ; ANSWER SECTION: 4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR tzmiaa-af-in-x04.1e100.net. 4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR mia07s48-in-x04.1e100.net.

二、钓鱼攻击如何滥用 .arpa 域名？

安全研究员观测到的一起钓鱼攻击活动，正是利用了ip6.arpa这一反向 DNS 顶级域名。正常情况下，该域名仅用于 PTR 记录，实现 IPv6 地址到主机名的反向映射。

攻击原理

核心发现：攻击者只要申请并持有一段专属的 IPv6 地址段，就可以控制该网段对应的反向 DNS 区域，并在其中配置额外的 DNS 记录，用于搭建钓鱼站点。

在标准 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，用于查询 IP 对应的主机名。然而攻击者发现，在获取某段 IPv6 地址的 DNS 区域控制权后，部分 DNS 管理平台允许其配置非 PTR 类型的记录，进而被滥用于钓鱼攻击。

研究员指出：黑产团伙利用Hurricane Electric与Cloudflare平台创建此类记录——这两家服务商本身信誉良好，攻击者正是利用了这一点。同时，其他部分 DNS 服务商也支持此类配置。

三、攻击流程详解

步骤 1：获取 IPv6 地址段

为搭建攻击基础设施，攻击者先通过IPv6 隧道服务获取一段 IPv6 地址。

步骤 2：生成反向 DNS 主机名

在获得地址段控制权后，攻击者基于该 IPv6 网段生成反向 DNS 主机名，并搭配随机子域名，使其难以被检测和封堵。

步骤 3：创建 A 记录指向钓鱼服务器

与常规配置 PTR 记录不同，攻击者直接创建A 记录，将这些反向 DNS 域名指向钓鱼站点服务器。

步骤 4：构造钓鱼邮件

该钓鱼活动中的邮件通常以奖品、调研奖励或账户通知为诱饵，并将恶意链接伪装成图片嵌入邮件。

步骤 5：受害者点击与跳转

链接地址如：

plain

复制

d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa

而非常规域名，受害者在界面上无法直接看到可疑的 .arpa 域名。

当受害者点击钓鱼邮件中的图片时，设备会通过第三方 DNS 服务商，解析到攻击者控制的反向 DNS 域名服务器。

在部分案例中，权威域名服务器由Cloudflare托管，反向 DNS 域名最终解析至 Cloudflare IP，从而隐藏后端钓鱼基础设施的真实位置。

四、流量分发与反溯源机制

点击图片后，受害者会先被跳转至流量分发系统（TDS）。该系统会根据以下条件判断目标是否有效：

• 设备类型

• IP 地址

• 页面来源

符合条件者→ 跳转到钓鱼页面
不符合条件者→ 跳转到正常网站

短存活周期

此类钓鱼链接存活时间极短，通常仅有效数天。链接失效后，会跳转至域名错误页面或正规网站。研究人员认为，这种做法是为了增加安全研究人员分析与溯源的难度。

五、为何难以检测？

1. 缺乏 WHOIS 信息

由于 .arpa 域名专用于互联网基础设施，不包含普通注册域名的公开信息，如：

• WHOIS 注册信息

• 域名年龄

• 联系方式

这导致邮件网关与安全工具更难识别其恶意属性。

2. 利用可信服务商

攻击者借助Hurricane Electric和Cloudflare等信誉良好的服务商托管基础设施，进一步降低了被标记为恶意的概率。

3. 结合多种攻击手段

研究人员还发现，该钓鱼活动同时结合了其他攻击手段，包括：

• 劫持悬空 CNAME 记录

• 子域名影子劫持

使攻击者能够借助正规机构的子域名下发钓鱼内容。

研究员目前已发现超过 100 个相关案例，攻击者劫持了知名政府机构、高校、电信运营商、媒体机构及零售企业的 CNAME 记录。

通过将安全工具普遍信任的反向 DNS 机制武器化，攻击者可生成能够绕过传统检测规则的钓鱼 URL。

六、防御建议

与所有钓鱼防御建议一致，抵御此类攻击最有效的方式仍是：

⚠️避免点击邮件中来历不明的链接，直接通过官方网站访问相关服务。

补充建议：

1. 加强邮件网关规则：增加对.arpa域名的检测与告警

2. 监控反向 DNS 异常：关注非 PTR 类型记录的配置

3. 用户安全意识培训：教育员工识别可疑邮件特征

4. 多因素认证（MFA）：即使凭证泄露，也能增加攻击难度