微軟買下魔鬼域名：自己挖的坑，跪著也要填完

前段時(shí)間，微軟豪擲 160 萬美金，從一位 70 歲的域名投資者邁克·奧康納 (Mike O’connor) 手里，買下了一個(gè)魔鬼域名，并且發(fā)布了一則聲明，將此事昭告天下。

為了保護(hù)系統(tǒng)，我們鼓勵(lì)客戶在規(guī)劃內(nèi)部域名和網(wǎng)絡(luò)名稱時(shí)養(yǎng)成安全的安全習(xí)慣。我們?cè)?2009年 6 月發(fā)布了一份安全建議，并發(fā)布了一項(xiàng)有助于保護(hù)客戶安全的安全更新。在我們對(duì)客戶安全的持續(xù)承諾中，我們還獲得了http://corp.com 域名。

一個(gè)貌不驚人的域名，到底有什么魔力，能吸引互聯(lián)網(wǎng)巨頭和知名域名投資者圍著它轉(zhuǎn)圈圈？而且一轉(zhuǎn)就是 26 年，其中必有蹊蹺。

邁克·奧康納是最早期的一批域名投資者之一，1994 年，他注冊(cè)了 http://corp.com 這個(gè)域名，當(dāng)年，域名還沒什么熱度，奧康納趁著市場(chǎng)低迷，用很低的價(jià)格，買到了幾個(gè)堪稱大熊貓級(jí)別的域名，比如 http://pub.com、http://television.com、http://cafes.com 等。

后來，互聯(lián)網(wǎng)深入了世界的每一個(gè)角落，越來越多的公司發(fā)現(xiàn)了域名的價(jià)值，爭(zhēng)相開始注冊(cè)和搶購，此時(shí)，域名已經(jīng)成為互聯(lián)網(wǎng)領(lǐng)域的虛擬房地產(chǎn)，一個(gè)好的域名，不僅升值快，還足夠保值，一些小企業(yè)家，甚至愿意用美國舊金山一居室的價(jià)格，購買一個(gè)域名。

對(duì)企業(yè)來說，一個(gè)簡(jiǎn)單而且容易拼寫的域名，是吸引流量的關(guān)鍵。

比如，1996 年，網(wǎng)站 CNET 找到奧康納，提出想要以 5 萬美元的價(jià)格，購買一個(gè)叫做“ television.com”的域名，但奧康納拒絕了，在他看來，這個(gè)域名的價(jià)值遠(yuǎn)不止這個(gè)數(shù)。

正是在市場(chǎng)的熱捧之下，奧康納靠買賣域名，掙了不少錢，稱得上是互聯(lián)網(wǎng)領(lǐng)域的包租公，躺著就能賺錢。

但是，在躺賺的幾十年里，奧康納從來沒想過要賣掉 http://corp.com 這個(gè)域名，因?yàn)樗鼘?shí)在是太特殊了。

不管是誰，只要擁有 http://corp.com，就能訪問到全球各大公司數(shù)以萬計(jì) Windows PC 中的敏感數(shù)據(jù)，包括密碼、電子郵件等，換句話說，http://corp.com 的擁有者，就算躺在家里，也會(huì)有無數(shù)企業(yè)拼命想要藏起來的秘密送上門來，等著你批閱。

為什么會(huì)出現(xiàn)這種情況呢？這就需要先搞明白域名和 IP 之間的關(guān)系，在這兒，我拿百度來舉例。

如果想上百度搜索一個(gè)問題，一共需要幾步？三步。

第一，打開百度的網(wǎng)站；
第二，輸入想要搜索的問題；
第三，回車。

有意思的是，要想打開百度的網(wǎng)頁，有兩種辦法。第一種，輸入百度域名：http://baidu.com；第二種，輸入百度 IP：14.215.177.39。兩種方法實(shí)現(xiàn)的效果是一樣的。

很顯然，域名比 IP 好記的多，但是，IP 才是你所要訪問網(wǎng)站的唯一地址，所以，當(dāng)你輸入域名時(shí)，電腦其實(shí)會(huì)自動(dòng)把域名轉(zhuǎn)化為 IP 地址，這就出現(xiàn)了一個(gè)問題，你的電腦怎么知道 http://baidu.com 就是 14.215.177.39 呢？很簡(jiǎn)單，在你的電腦系統(tǒng)里，存有一份文件，這份文件非常像一個(gè)通訊錄，里面存儲(chǔ)著姓名（域名）及相對(duì)應(yīng)的電話號(hào)碼（IP 地址），如果你輸入 IP，電腦最省事兒，如果你輸入的是域名，電腦就會(huì)幫你做轉(zhuǎn)換，相當(dāng)于你給家人打電話，可以手動(dòng)輸入電話號(hào)碼，也可以輸入姓名，讓手機(jī)幫你找號(hào)碼。

就算如此，其實(shí)還有一個(gè)問題，你手機(jī)里只會(huì)有你認(rèn)識(shí)人的電話，不會(huì)有全世界人的電話，同理，你電腦里存儲(chǔ)的域名及其對(duì)應(yīng) IP 的數(shù)量也是有限的，如果你要訪問的網(wǎng)站，電腦里沒有相關(guān)信息，怎么辦？這就需要一個(gè)中間人，讓他去搜集全世界網(wǎng)站的域名及對(duì)應(yīng) IP，這樣一來，有問題找中間人就好了，而這個(gè)中間人的名字，叫做 DNS 服務(wù)器。

在企業(yè)內(nèi)網(wǎng)上，所有的 Windows 計(jì)算機(jī)都需要用到微軟的一種服務(wù)，叫做活動(dòng)目錄（Active Directory）。在 Windows 環(huán)境下，內(nèi)網(wǎng)上的計(jì)算機(jī)想要輕松找到其他計(jì)算機(jī)，就需要 DNS 的存在，而 http://corp.com 的特殊性就在于，支持活動(dòng)目錄的 Windows 早期版本（如 Windows 2000 Server）中，微軟設(shè)置的默認(rèn)路徑剛好就叫做“ corp ”，許多公司在使用時(shí)，也會(huì)默認(rèn)使用這個(gè)設(shè)置，就像去買貓咪，如果老板說它已經(jīng)有名字了，叫豆包兒，絕大多數(shù)人都會(huì)默認(rèn)這個(gè)名字。

這個(gè)問題就叫做“名稱空間沖突” (namespace collision) ，意思是，本來只是在公司內(nèi)網(wǎng)上使用的域名，卻和開放互聯(lián)網(wǎng)上的域名重合了，所以，內(nèi)網(wǎng)上的敏感數(shù)據(jù)，就能夠在公開網(wǎng)絡(luò)上的重合域名下被看到。

曾有安全專家做過一個(gè)實(shí)驗(yàn)，他們模擬了本地 Windows 的網(wǎng)絡(luò)登錄和文件共享環(huán)境，接管了對(duì) http://Corp.com 的連接請(qǐng)求，僅一個(gè)小時(shí)，他們就收到了超過 1200 萬封電子郵件，其中不乏敏感信息，為避免意外發(fā)生，他們立刻停止了實(shí)驗(yàn)，并銷毀了數(shù)據(jù)庫。

所以說，如果域名 http://Corp.com 真的到了壞人手里，不知有多少企業(yè)會(huì)丟掉底褲。

面對(duì)這個(gè)問題，微軟一直在想辦法解決，比如通過軟件更新，但收效甚微。

早些年，考慮到用戶安全問題，微軟也想過要把 http://corp.com 這個(gè)域名買下來，但是，微軟的出價(jià)僅僅是 2 萬美金，被奧康納果斷拒絕了。

今時(shí)不同往日，已經(jīng) 70 歲高齡的奧康納，不想把如此高風(fēng)險(xiǎn)的東西留給自己的親人，這才決定賣掉這個(gè)域名，但賣給其他人又不放心，最好的接盤俠就是微軟，因?yàn)樗�有的難題，都與微軟脫不了干系。

這就有了微軟豪擲 160 萬美金，買下魔鬼域名的新聞。

很難說由微軟掌握這個(gè)域名，就是絕對(duì)安全，但就目前看來，這已經(jīng)是最好的選擇了。