文章总结： 网络攻击者正滥用特殊顶级域名.arpa和IPv6反向DNS技术实施钓鱼攻击，以绕过传统的安全检测。他们通过获取专属IPv6地址段来控制对应的反向DNS区域，创建A记录而非标准的PTR记录，将恶意域名指向钓鱼服务器。这类域名因专用于互联网基础设施，缺乏WHOIS等公开信息，使得邮件网关难以识别其恶意性。此外，攻击者还结合劫持悬空CNAME记录等手段，利用Cloudflare等知名服务商来隐藏真实位置并增加溯源难度。防御此类攻击的关键仍是避免点击来历不明的链接。 综合评分： 85 文章分类： 钓鱼攻击,WEB安全,恶意软件,网络安全,威胁情报

攻击者滥用.arpa特殊域名与IPv6反向DNS实施钓鱼攻击

胡金鱼 胡金鱼

嘶吼专业版

2026年3月30日 14:01 北京

网络黑产团伙正在滥用专用顶级域名 .arpa 以及 IPv6 反向域名解析（DNS）开展钓鱼活动，此类攻击可更轻松地绕过域名信誉检测机制与邮件安全网关。

.arpa 是为互联网基础设施预留的特殊顶级域名，并非用于普通网站，主要用于反向 DNS 解析，即让系统将 IP 地址反向映射为对应的主机名。

例如，www.google.com 的 IP 地址为 192.178.50.36 (IPv4) 和 2607:f8b0:4008:802::2004 (IPv6)。使用 dig 工具查询 Google 的 IP 地址 192.178.50.36 会解析为 in-addr.arpa 主机名，最终解析为常规主机名：

; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> -x 192.178.50.36

;; global options: +cmd;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59754

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096;

; QUESTION SECTION:

;36.50.178.192.in-addr.arpa.  IN   PTR

;; ANSWER SECTION:36.50.178.192.in-addr.arpa. 1386 IN  PTR  lcmiaa-aa-in-f4.1e100.net.

;; Query time: 7 msec

;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)

;; WHEN: Fri Mar 06 13:57:31 EST 2026

;; MSG SIZE  rcvd: 94

查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 显示，它首先解析为 IPv6.arpa 主机名，然后解析为主机名，如下所示。

;<<>>DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> -x 2607:f8b0:4008:802::2004

;;global options: +cmd;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31116

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. IN PTR

;;ANSWER SECTION:4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR tzmiaa-af-in-x04.1e100.net.4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR mia07s48-in-x04.1e100.net.

;; Query time: 10 msec

;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)

;; WHEN: Fri Mar 06 13:58:43 EST 2026

;; MSG SIZE  rcvd: 171

钓鱼攻击滥用 .arpa 域名的真实手法

安全研究员观测到的一起钓鱼攻击活动，正是利用了 ip6.arpa 这一反向 DNS 顶级域名。正常情况下，该域名仅用于 PTR 记录，实现 IPv6 地址到主机名的反向映射。

但攻击者发现：只要申请并持有一段专属的 IPv6 地址段，就可以控制该网段对应的反向 DNS 区域，并在其中配置额外的 DNS 记录，用于搭建钓鱼站点。

在标准 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，用于查询 IP 对应的主机名。然而攻击者发现，在获取某段 IPv6 地址的 DNS 区域控制权后，部分 DNS 管理平台允许其配置非 PTR 类型的记录，进而被滥用于钓鱼攻击。

研究员指出：发现黑产团伙利用Hurricane Electric与 Cloudflare 平台创建此类记录——这两家服务商本身信誉良好，攻击者正是利用了这一点。同时，其他部分 DNS 服务商也支持此类配置。

下图展示了攻击者构造钓鱼邮件所用域名的完整流程，为搭建攻击基础设施，攻击者先通过 IPv6 隧道服务获取一段 IPv6 地址。

对 .arpa 顶级域名在网络钓鱼邮件中被滥用情况的概述

在获得地址段控制权后，攻击者基于该 IPv6 网段生成反向 DNS 主机名，并搭配随机子域名，使其难以被检测和封堵。

与常规配置 PTR 记录不同，攻击者直接创建 A 记录，将这些反向 DNS 域名指向钓鱼站点服务器。该钓鱼活动中的邮件通常以奖品、调研奖励或账户通知为诱饵，并将恶意链接伪装成图片嵌入邮件。

网络钓鱼邮件诱饵

链接地址如：d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa而非常规域名，受害者在界面上无法直接看到可疑的 .arpa 域名。

当受害者点击钓鱼邮件中的图片时，设备会通过第三方 DNS 服务商，解析到攻击者控制的反向 DNS 域名服务器。

使用 .arpa 主机名显示图像和链接的 HTML 代码

在部分案例中，权威域名服务器由 Cloudflare 托管，反向 DNS 域名最终解析至 Cloudflare IP，从而隐藏后端钓鱼基础设施的真实位置。

点击图片后，受害者会先被跳转至流量分发系统（TDS）。该系统会根据设备类型、IP 地址、页面来源等条件判断目标是否有效。符合条件者会被跳转到钓鱼页面，否则跳转到正常网站。

此类钓鱼链接存活时间极短，通常仅有效数天。链接失效后，会跳转至域名错误页面或正规网站。研究人员认为，这种做法是为了增加安全研究人员分析与溯源的难度。

此外，由于 .arpa 域名专用于互联网基础设施，不包含普通注册域名的公开信息，如 WHOIS 注册信息、域名年龄、联系方式等，导致邮件网关与安全工具更难识别其恶意属性。

研究人员还发现，该钓鱼活动同时结合了其他攻击手段，包括劫持悬空 CNAME 记录、子域名影子劫持等，使攻击者能够借助正规机构的子域名下发钓鱼内容。

研究员目前已发现超过 100 个相关案例，攻击者劫持了知名政府机构、高校、电信运营商、媒体机构及零售企业的 CNAME 记录。通过将安全工具普遍信任的反向 DNS 机制武器化，攻击者可生成能够绕过传统检测规则的钓鱼 URL。

与所有钓鱼防御建议一致，抵御此类攻击最有效的方式，仍是避免点击邮件中来历不明的链接，直接通过官方网站访问相关服务。

参考及来源：https://www.bleepingcomputer.com/news/security/hackers-abuse-arpa-dns-and-ipv6-to-evade-phishing-defenses/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《攻击者滥用.arpa特殊域名与IPv6反向DNS实施钓鱼攻击》