中国信息通信研究院互联网治理研究中心 2025年8月 互联网域名产业报告 （2025 年） 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。 转载、摘编或利用其它方式使用本报告文字或者观点的，应 注明“来源：中国信息通信研究院”。违反上述声明者，本院 将追究其相关法律责任。 前 言 域名是互联网的关键基础资源，是数字时代的重要网络入口和 要网络入口和 身份标识。域名系统（DNS）是互联网的关键基础设施和“中枢神经 系统”，攸关互联网安全稳定运行，也是支撑各国经济社会运行和推 动数字经济发展的重要基础。 2024 年以来，在国际局势变乱交织、数字主权实践深化、互联网 碎片化问题突出、联合国进程影响深远、新兴技术发展应用、全球经 济不确定性凸显、域名市场增长放缓等多重因素的影响和挑战下，互 联网名称与数字地址分配机构（ICANN）继续推动全球域名治理与政 联网名称与数字地址分配机构（ICANN）继续推动全球域名治理与政 策制定提质增效。新一轮通用顶级域（gTLD）开放进程日趋临近，域 名注册数据政策生效实施，DNS 滥用治理合约措施成效彰显，根服务 器系统新治理机制方案初步完成构建。 截至 2024 年 12 月，全球域名注册市场规模约为 3.74 亿个， “.COM”域名数量继续小幅下滑，新 gTLD 域名数量创历史新高； 我国域名注册市场规模约为 3302 万个，延续窄幅波动走势，市场集

持续验证能力——确保防护有效性 • 开展安全测试服务渗透测试 • 建立安全产品有效性验证能力 • 红蓝对抗 • 高级红队服务 威胁及暴露面管理能力CTEM——全网风险识别 • 梳理组织互联网/暗网等IP/域名/证书/端口/数据库等 • 检测企业的暴露面存在的弱点（漏洞、配置） • 检测员工手机号/邮箱/微信信息等人员暴露面 • 检测供应链及分子公司暴露面 反入侵与自动化平台能力——快速拦截、修复、响应 能力储备 腾讯拥有全球最大、覆盖最全的安全大数据库，并通过持续运营，对海量数据多维度分析，可以快速对威胁及时作出智能处置，助力企业安全 应用场景： • 入侵发现，接入检测模型，对于高危MD5、域名、IP等进行告警。 • 入侵追溯，追溯特定事件攻击行为 • 数据来源覆盖PC端、手机终端、企业邮箱和公有云上的各类产品，构建最实 时、最全的威胁情报数据库。 云管端最全安全数据库 主要威胁情报来源 PoC无害化扫描 加固复测 响应+缓解 风险推送 漏洞推修流程 分析研判 流程对接 受影响IP、域名清单 拉群通知 漏洞监测与分析 复现验证 情报影响面扫描 编写扫描规则插件 CMDB（常态化） 导入外部暴露面资产 分子公司名单（按需） 外部资产信息 业务测试域名（按需） ...... 发现能力（暴露面管理）：建立两高一弱、移动应用、供应链、人员等风险识别能力 700+漏洞情报渠道

基于上述能力，行业客户可以根据边缘平台上业 务应用部署情况，按需随时进行业务流量本地分流规 则的配置工作，随时响应业务需求，大大提升网业协 同效率。 4.2.2 DNS规则配置 图 5展示了当边缘平台部署新的基于域名访问的 业务应用 ME APP2 之后，MEP 与 UPF 交互并配置 DNS 规则的流程。在 ETSI 定义中，MEP 应支持 DNS han⁃ dling 能力，MEP 将 DNS 请求的监听规则配置给 业务的正确引流。在步骤④中，MEP 下发规则的操作 同样可以通过 MEP 平台开放给 ME APP2 或者通过边 缘侧部署的自服务系统开放给行业客户，由客户按需 进行配置。 本文建议针对每条 DNS 域名规则都进行唯一 ID 标识，以便 MEP 可以按需向 UPF 下发针对特定规则条 文 涛，谭 蓓，江晓筠 5G边缘云网业协同方案研究 网业协同 Network and Service Collaboration 目的修改、删除及更新工作，并可以发起向 UPF 的 DNS规则查询工作，确定当前UPF的规则配置情况。 与 IP 分流规则类似，DNS 规则配置适用于基于域 名访问的业务应用场景。DNS 规则与 IP 规则结合，可 以实现特定域名业务的边缘引流工作。 4.2.3 黑白名单控制 UPF与平台联动可以为行业客户提供边缘应用的 终端访问控制能力，黑名单内的终端不允许访问某边 缘应用，白名单内的终端可以访问某边缘应用。根据

流量调度，或者是需要算网协同调度平台对用户自治系统内部署的应 用副本和算网协同调度平台调度部署的应用副本间对终端用户的访 问请求做负载分担处理，所以需要在调度请求中携带自治系统中部署 的推理应用信息如<应用 ID、位置、域名、IP 地址>等。 图 3-6 分总调度-算网资源调度使用-北向调度 ② 全局缩略图方式调度  需求提交 12 当算力使用者通过自治系统进行算网调度操作时，如果本地资源 无法满足业务需 流量调度，或者是需要算网协同调度平台对用户自治系统内部署的应 用副本和算网协同调度平台调度部署的应用副本间对终端用户的访 问请求做负载分担处理，所以需要在调度请求中携带自治系统中部署 的推理应用信息如<应用 ID、位置、域名、IP 地址>等。  调度方案返回 算网协同调度平台将可选的调度方案返回给自治系统，自治系统 进行人工或者自动的选择，确定调度方案。  请求发送与部署 根据确定的调度方案，算网协同调度平台将请求发送给目标资源， 流量调度，或者是需要算网协同调度平台对用户自治系统内部署的应 用副本和算网协同调度平台调度部署的应用副本间对终端用户的访 问请求做负载分担处理，所以需要在调度请求中携带自治系统中部署 的推理应用信息如<应用 ID、位置、域名、IP 地址>等。 19  直接向算网协同调度平台请求调度 算力使用者也可直接向算网协同调度平台提需求。此时，算网协 同调度平台从全局出发，综合考量包括自治系统资源在内的整体资源 池，依

IP、服务器端口、域名等信息。可让客户快速了解当前 已存在的 Web 业务资产信息，并针对梳理的 Web 资产实现自动安全防护。 技术指标 ◎支持透明串接、反向代理、旁路镜像、路由牵引、嵌入式部署等多种部署模式部署。支 持链路聚合。 ◎支持自动发现网络环境中存在的 Web 服务器，包括 HTTP 业务、HTTPS 业务。可记录服 务器的 IP、端口、协议、IP 类型域名等信息。并且针对 HTTP 向服务器返回信息插入特殊的 HTTP 报头（包括 X-Frame-Options、X-Content-Type-Options、Content-Security-Policy，以客户端免受相应攻击。 ◎支持针对特定的域名和 URL 进行无头浏览器、脚本扫描等行为的检测和阻断。 ◎支持通过签名、加密等方式防止 Cookie 被篡改，支持 Cookie 防劫持，支持 Cookie HttpOnly 属性、Secure 可将仅记录和拦截的攻击日志通过用户设置的接收通知 方式 ( 例如邮件或短信 ) 发送给用户。 ◎安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。在长河 WAF 服务的控制台集中 配置适用于多个防护域名的策略，快速下发，快速生效。并根据流量提供分析攻击源、源地域、 攻击类型、攻击趋势、目标服务器和流量趋势等实时态势分析展示功能。 安全总览提供方便的数据报表和统计功能，可查看网站业务信息和安全统计数据，如事件

..............................................................................................33 5、域名溯源................................................................................................. https://fee.icbc.com.cn/index.jsp 支付宝转账、钉钉通讯录导入、微信搜索 4、EMail 溯源 https://epieos.com/ https://emailrep.io/ 5、域名溯源 https://whois.chinaz.com/ https://beian.miit.gov.cn/ https://www.beian.gov.cn/portal/registerSystemInfo

用区, 包月 2 470 940. 00 消息&短 信 通用可用区 | 按需计费 | 验证码和通知短信 按 需 华北-北京 四,通用可 用区, 按需 1 0.07/ 条 0.07 域名注册 英文域名 | 注册 | 1年 华北-北京 四,通用可 用区, 包年 1 34 34 解决方案实践 神州信息低碳智慧园区可视化运营管理平台解决方案实 践 2 资源和成本规划 文档版本 1.1 (2024-04-26)

化。传统互联网作为全球化开放网络，其资源访问依赖中心化管理 的域名系统（Domain Name System，简称DNS）。DNS作为互联网最 根本的基础设施，虽然从IPv4（Internet Protocol version 4，互 联网通信协议第四版）到IPv6的过程中进行了系统扩展和优化，但 仍有可能被操控。Web 3.0作为全新的去中心化的价值互联网，需要 全新的去中心化的DNS域名系统。这在技术上可以通过分布式账本实 现，资源发布方可以自主注册和管理域名，用户可以自主查询和解 析域名。DNS不仅可以对传统互联网信息资源，还可以对更广泛意义 上的数字资产、数字实体、区块链等进行命名和解析，从而使智能 合约可以对数字资产以更方便和可读的方式进行操作，进而让Web 3.0可以更好地实现数字空间与现实空间的互动。 例如，以太坊域名服务（Ethereum Name Service，简称ENS） 就是一种Web 3.0域名服务。它是一个基于以太坊区块链的分布式、 开放式和可扩展的命名系统。ENS的工作是将可读的域名（如 “alice.eth”）解析为计算机可以识别的标识符，如以太坊地址、 内容的散列、元数据等。ENS还支持“反向解析”，这使得将元数据 （如规范化域名或接口描述）与以太坊地址相关联成为可能。与DNS 一样，ENS是一个层次结构的域名系统，不同层次域名之间以点作为 分隔符，我们把层次的名称叫作域，一个域的所有者能够完全控制 其子域。顶级域名（如“.eth”和“.test”）的所有者是一种名为

华为云计算技术有限公司 45 ⚫ 精准访问控制：ESA 支持丰富的自定义条件（请求方法、请求域名、请求头域 等）和逻辑条件（包含、不包含、等于、不等于）自定义控制组合，支持多种访 问控制技术，实现精准访问控制。 ⚫ 边缘 CC 攻击防护：CC 攻击防护可以有效缓解对租户域名的 CC 攻击。ESA 可以 限制单个 IP 访问者对防护网站的请求，通过自定义条件字段（请求方法、请求头 DNS 服务 和 DNS 管理服务，把人们常用的域名或应用资源转换成用于计算机连接的 IP 地 址，从而将最终用户路由到相应的应用资源上。 通过 DNS 可以把域名解析到 ECS、OBS、RDS 等其他服务地址，便于通过域名直接 访问不同服务资源。用户可以从 DNS 中获得其独有的内网域名解析服务，可以基于 VPC 任意定制域名和解析，解决了内部业务的域名注册和管理问题，降低了业务部署 和维护的复 将 最终用户路由到应用程序。在单个业务节点发生故障时，可通过修改 DNS 解析记录 进行故障转移，保障租户业务的可用性。 华为云 DNS 具有以下主要安全防护功能： ⚫ 支持添加 IP 到域名映射的反向解析记录，通过反向解析可以降低垃圾邮件数 量。 ⚫ 通过例行更新，缩短生存期（TTL – Time to Live）和频繁清除 DNS 缓存等措 施防止 DNS 缓存中毒攻击。 ⚫

的关键技术 安全配置的有效性和完整性  威胁情报分析：构建威胁情报知识图谱，将攻击者、攻击手段、恶意软件、漏洞等信息关联起来，帮 助安全分析师更好地掌握威胁情报。例如将某个恶意 IP 地址与相关的恶意域名、恶意文件、攻击组织 等信息关联起来。  安全事件关联分析：利用知识图谱进行安全事件的关联分析，例如发现不同安全事件之间的关联，还 原攻击者的攻击路径。例如将来自 SIEM、EDR、NDR 攻击时，自动触发防火墙规则更新并通知运营团队。  内部威胁检测：当检测到异常内部访问行为时，自动锁定账户并生成调查报告。  挖矿检测封锁：将流量中的域名、IP、port、时间等数据发送至 EDR，由 EDR 证实风险程度， 通过 SOAR 给防火墙下发封禁域名/IP 信息命令。 4）威胁情报 威胁情报为 ISOC 提供了关于攻击者、攻击手段、恶意软件等方面的知识，帮助分析师更好地了解安全威 胁， 自动化报告生成已大大减少了安全分析师的工作量，提高了报告的时效性和一致性。 厂商案例 亚信安全新一代 XDR 平台实现对检测到的告警，将流量中的域名、IP、端口、时间等数据发送至 EDR， 由 EDR 确认风险，通过 SOAR 给防火墙等防护设备下发封禁域名/P 信息命令；也可以检测针对钓鱼攻击 进行检测。 碳泽的千乘平台可以针对勒索病毒实现自动化阻断，着眼于通过 AI 驱动的异常检测模型和场景自动化实