Michael Cooney

域名解析系統(tǒng)（DNS）仍在不斷受到攻擊，而且威脅變得越來(lái)越復(fù)雜，勢(shì)頭絲毫也未減弱。

IDC報(bào)告稱(chēng)，過(guò)去一年，全球82%的企業(yè)都面臨著DNS攻擊。IDC最近發(fā)布了其第五期年度《全球DNS威脅報(bào)告》，該報(bào)告是基于IDC代表DNS安全供應(yīng)商EfficientIP在2019年上半年對(duì)全球904家機(jī)構(gòu)進(jìn)行的一項(xiàng)調(diào)查得出的。

據(jù)IDC的研究，與一年前相比，DNS攻擊造成的平均成本上升了49%。在美國(guó)，DNS攻擊的平均成本超過(guò)了127萬(wàn)美元。近一半的受訪者（48%）承認(rèn)，他們經(jīng)歷一次DNS攻擊就會(huì)損失50多萬(wàn)美元，近10%的受訪者表示，他們每一次泄露事件都會(huì)損失500多萬(wàn)美元。此外，很多美國(guó)企業(yè)也承認(rèn)，他們要花一天多的時(shí)間來(lái)解決DNS攻擊問(wèn)題。

IDC寫(xiě)道：“令人擔(dān)憂的是，內(nèi)部應(yīng)用程序和云應(yīng)用程序都遭到了破壞，內(nèi)部應(yīng)用程序停機(jī)時(shí)間增長(zhǎng)了100%以上，是目前最常見(jiàn)的受損方式。DNS攻擊正從純粹暴力攻擊轉(zhuǎn)向更老練的內(nèi)部網(wǎng)絡(luò)攻擊。這將迫使企業(yè)使用智能緩解工具來(lái)應(yīng)對(duì)內(nèi)部威脅。”

“海龜”DNS劫持行動(dòng)

“海龜”是一種正瘋狂蔓延的DNS劫持行動(dòng)，也是當(dāng)今DNS威脅形勢(shì)下出現(xiàn)的一個(gè)實(shí)例。

思科Talos安全研究人員指出，藏在“海龜”行動(dòng)背后的人正忙于利用新的基礎(chǔ)設(shè)施改造他們的攻擊，尋找新的受害者。

今年4月，Talos發(fā)布了一份詳細(xì)描述“海龜”的報(bào)告，稱(chēng)其為“已知的第一起域名注冊(cè)機(jī)構(gòu)因網(wǎng)絡(luò)間諜活動(dòng)而被攻破的案例”。Talos介紹說(shuō)，正在進(jìn)行的DNS威脅行動(dòng)是由國(guó)家發(fā)起的攻擊，濫用DNS來(lái)獲取訪問(wèn)敏感網(wǎng)絡(luò)和系統(tǒng)所需的證書(shū)，受害者檢測(cè)不到這種攻擊方式，這說(shuō)明犯罪分子在怎樣操縱DNS方面有其獨(dú)到之處。

Talos報(bào)道說(shuō)，通過(guò)獲得對(duì)受害者DNS的控制權(quán)，攻擊者可以更改或者偽造互聯(lián)網(wǎng)上的任何數(shù)據(jù)，并非法修改DNS域名記錄，將用戶指向犯罪分子控制的服務(wù)器;而訪問(wèn)這些站點(diǎn)的用戶永遠(yuǎn)都不會(huì)知道。

在Talos 4月份的報(bào)告之后，“海龜”背后的黑客們似乎重整旗鼓，變本加厲地建設(shè)新的基礎(chǔ)設(shè)施——Talos研究人員發(fā)現(xiàn)這一舉動(dòng)不同尋常，因此在7月份報(bào)道說(shuō)：“很多攻擊者一般在被發(fā)現(xiàn)后都會(huì)放慢攻擊，而這一群體卻異乎尋常的厚顏無(wú)恥，一直毫不在乎地往前沖?！?/p>

此外，Talos聲稱(chēng)，他們還發(fā)現(xiàn)了一種新的DNS劫持技術(shù)，我們對(duì)這種技術(shù)的評(píng)估相當(dāng)有信心，它與“海龜”背后的犯罪分子有關(guān)。這種新技術(shù)類(lèi)似于犯罪分子破壞域名服務(wù)器記錄，并用偽造的A記錄響應(yīng)DNS請(qǐng)求。

Talos寫(xiě)道：“這種新技術(shù)只在一些非常有針對(duì)性的攻擊行動(dòng)中被觀察到過(guò)。我們還發(fā)現(xiàn)了一批新的受害者，包括一個(gè)國(guó)家代碼頂級(jí)域（ccTLD）注冊(cè)中心，它負(fù)責(zé)管理使用該國(guó)代碼的每個(gè)域的DNS記錄;然后，將這些受害者作為跳板再去攻擊其他的政府機(jī)構(gòu)。不幸的是，除非做出重大改進(jìn)，讓DNS更安全，否則這類(lèi)攻擊還會(huì)繼續(xù)下去?！?h3>DNSpionage攻擊鳥(niǎo)槍換炮

DNS面臨的另一種新威脅是名為DNSpionage的攻擊行動(dòng)。

DNSpionage最初利用了兩個(gè)包含招聘信息的惡意網(wǎng)站，通過(guò)嵌入宏精心制作的Microsoft Office文檔來(lái)攻擊目標(biāo)。惡意軟件支持與攻擊者進(jìn)行HTTP和DNS通信。攻擊者正在繼續(xù)開(kāi)發(fā)新的攻擊技術(shù)。

Talos寫(xiě)道，“犯罪分子對(duì)DNSpionage惡意軟件的持續(xù)開(kāi)發(fā)表明，攻擊者一直在尋找新方法來(lái)避免被發(fā)現(xiàn)。DNS隧道是一些犯罪分子常用的一種防探測(cè)方法，最近的DNSpionage實(shí)例表明，我們必須保證DNS與企業(yè)的正常代理或者網(wǎng)絡(luò)日志一樣受到密切監(jiān)視。DNS本質(zhì)上是互聯(lián)網(wǎng)電話簿，當(dāng)它被篡改后，任何人都很難辨別他們?cè)诰W(wǎng)上看到的內(nèi)容是否合法?！?/p>

DNSpionage行動(dòng)的目標(biāo)是中東以及阿聯(lián)酋政府領(lǐng)域的各類(lèi)企業(yè)。

Talos拓展主管Craig Williams介紹說(shuō)：“DNS被攻擊或者說(shuō)缺乏防范措施最大的問(wèn)題就是自滿?！逼髽I(yè)認(rèn)為DNS是穩(wěn)定的，不需要擔(dān)心?！暗?，我們所看到的DNSpionage和“海龜”等攻擊恰恰相反，因?yàn)楣粽咭呀?jīng)知道怎樣利用這方面的漏洞來(lái)發(fā)揮其優(yōu)勢(shì)——怎樣以某種方式破壞證書(shū)，對(duì)于“海龜”的情形，受害者甚至永遠(yuǎn)不知道發(fā)生了什么。這才真有可能出問(wèn)題。”

例如，如果你知道自己的域名服務(wù)器已被攻破，那么你可以強(qiáng)制所有人更改密碼。Williams指出，但是如果轉(zhuǎn)而去追查注冊(cè)機(jī)構(gòu)，而注冊(cè)機(jī)構(gòu)則指向了犯罪分子的網(wǎng)站，那么，你就永遠(yuǎn)不會(huì)知道發(fā)生過(guò)什么，因?yàn)槟愕娜魏螙|西都沒(méi)有被碰過(guò)——這就是為什么這類(lèi)新威脅如此邪惡的原因所在。

DNS物聯(lián)網(wǎng)風(fēng)險(xiǎn)

還有一個(gè)日益嚴(yán)重的風(fēng)險(xiǎn)是越來(lái)越多的物聯(lián)網(wǎng)設(shè)備?；ヂ?lián)網(wǎng)域名與數(shù)字地址分配機(jī)構(gòu)（ICANN）曾經(jīng)就物聯(lián)網(wǎng)給DNS帶來(lái)的風(fēng)險(xiǎn)撰寫(xiě)過(guò)一篇論文。

ICANN指出：“物聯(lián)網(wǎng)之所以給DNS帶來(lái)了風(fēng)險(xiǎn)，是因?yàn)楦鞣N評(píng)估研究表明，物聯(lián)網(wǎng)設(shè)備可能會(huì)以我們以前從未見(jiàn)過(guò)的方式對(duì)DNS基礎(chǔ)設(shè)施造成壓力。例如，一臺(tái)支持IP的常用物聯(lián)網(wǎng)設(shè)備進(jìn)行軟件更新，會(huì)使該設(shè)備更頻繁地使用DNS（例如，定期查找隨機(jī)域名以檢查網(wǎng)絡(luò)可用性），當(dāng)數(shù)百萬(wàn)臺(tái)設(shè)備同時(shí)自動(dòng)安裝更新時(shí)，就會(huì)對(duì)某個(gè)網(wǎng)絡(luò)中的DNS造成壓力。”

雖然從單臺(tái)設(shè)備的角度來(lái)看，這是一個(gè)編程錯(cuò)誤，但從DNS基礎(chǔ)設(shè)施運(yùn)營(yíng)商的角度來(lái)看，這可能是一種重要的攻擊途徑。ICANN稱(chēng)，已經(jīng)出現(xiàn)了小規(guī)模的類(lèi)似事件，但由于制造商生產(chǎn)的異構(gòu)物聯(lián)網(wǎng)設(shè)備在不斷增長(zhǎng)，而且這些物聯(lián)網(wǎng)設(shè)備配備了使用DNS的控制器，因此，未來(lái)此類(lèi)事件可能會(huì)更頻繁地發(fā)生。

ICANN還指出，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)對(duì)DNS運(yùn)營(yíng)商的威脅會(huì)越來(lái)越大。更加難以根除由物聯(lián)網(wǎng)僵尸機(jī)器造成的大規(guī)模的DDoS攻擊。目前僵尸網(wǎng)絡(luò)的規(guī)模大約為數(shù)十萬(wàn)臺(tái)機(jī)器。最著名的例子是Mirai僵尸網(wǎng)絡(luò)，它控制了40萬(wàn)（穩(wěn)態(tài)）到60萬(wàn)（峰值）臺(tái)受感染的物聯(lián)網(wǎng)設(shè)備。Hajime僵尸網(wǎng)絡(luò)控制了大約40萬(wàn)臺(tái)受感染的物聯(lián)網(wǎng)設(shè)備，但尚未發(fā)起任何DDoS攻擊。隨著物聯(lián)網(wǎng)的發(fā)展，這些攻擊可能會(huì)涉及數(shù)以百萬(wàn)計(jì)的僵尸機(jī)器，從而導(dǎo)致更大規(guī)模的DDoS攻擊。

日益頻繁的DNS安全警告

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）今年8月發(fā)出了關(guān)于正在進(jìn)行的DNS攻擊的警告，特別強(qiáng)調(diào)了DNS劫持。該中心列舉了與越來(lái)越多的DNS劫持相關(guān)的一些風(fēng)險(xiǎn)，包括：

創(chuàng)建惡意DNS記錄。例如，可以使用惡意DNS記錄在企業(yè)熟悉的域中創(chuàng)建網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。這可以用于對(duì)員工或者客戶進(jìn)行釣魚(yú)攻擊。

獲取SSL證書(shū)。域驗(yàn)證SSL證書(shū)是基于DNS記錄的創(chuàng)建而頒發(fā)的。例如，攻擊者可以獲取域名的有效SSL證書(shū)，該證書(shū)可用于創(chuàng)建旨在看起來(lái)像真實(shí)網(wǎng)站的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。

透明代理。最近出現(xiàn)的一個(gè)非常嚴(yán)重的風(fēng)險(xiǎn)涉及到透明地代理數(shù)據(jù)流來(lái)攔截?cái)?shù)據(jù)。攻擊者修改企業(yè)的已配置域區(qū)域條目（例如，“A”或者“CNAME”記錄），把數(shù)據(jù)流指向他們自己的IP地址，而這是他們管理的基礎(chǔ)設(shè)施。

NCSC寫(xiě)道：“一家企業(yè)可能會(huì)失去對(duì)其域的完全控制，攻擊者通常會(huì)更改域所有權(quán)的詳細(xì)信息，使其難以恢復(fù)?！?/p>

這些新威脅，以及其他的危險(xiǎn)，導(dǎo)致美國(guó)政府在今年早些時(shí)候發(fā)布了關(guān)于聯(lián)邦機(jī)構(gòu)可能遭受DNS攻擊的警告。

國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）提醒所有聯(lián)邦機(jī)構(gòu)，在面對(duì)一系列全球黑客活動(dòng)時(shí)必須關(guān)閉DNS。

CISA在其緊急指令中說(shuō)，它正在跟蹤一系列針對(duì)DNS基礎(chǔ)設(shè)施的事件。CISA寫(xiě)道，“已經(jīng)知道多個(gè)行政分支機(jī)構(gòu)的域名受到了篡改活動(dòng)的影響，并通知了維護(hù)這些域名的機(jī)構(gòu)?！?/p>

CISA說(shuō)，攻擊者已經(jīng)成功攔截和重定向了網(wǎng)絡(luò)和郵件數(shù)據(jù)流，并可能瞄準(zhǔn)其他網(wǎng)絡(luò)服務(wù)。該機(jī)構(gòu)稱(chēng)，攻擊首先會(huì)破壞一個(gè)可以更改DNS記錄賬戶的用戶證書(shū)。然后，攻擊者更改DNS記錄，例如，地址、郵件交換器或者域名服務(wù)器記錄，將服務(wù)的合法地址替換為攻擊者控制的地址。

通過(guò)這些操作，攻擊者把用戶數(shù)據(jù)流引導(dǎo)到自己的基礎(chǔ)設(shè)施，以便在將其傳送給合法服務(wù)之前進(jìn)行操作或者檢查（只要他們?cè)敢猓ISA指出，這就帶來(lái)了風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)在數(shù)據(jù)流重定向之后仍然存在。

CISA稱(chēng)：“由于攻擊者能夠設(shè)置DNS記錄值，他們還可以獲取企業(yè)域名的有效加密證書(shū)。這允許對(duì)重定向的數(shù)據(jù)流進(jìn)行解密，從而暴露用戶提交的所有數(shù)據(jù)。由于證書(shū)對(duì)域有效，因此，最終用戶不會(huì)收到錯(cuò)誤警告?！?h3>跟上DNSSEC大潮

DNS安全供應(yīng)商N(yùn)S1的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Kris Beevers評(píng)論說(shuō)：“對(duì)于有可能成為攻擊目標(biāo)的企業(yè)，特別是那些通過(guò)其應(yīng)用程序采集或者公開(kāi)用戶和公司數(shù)據(jù)的企業(yè)，應(yīng)向其DNS和注冊(cè)機(jī)構(gòu)供應(yīng)商施壓，以方便實(shí)施DNSSEC（域名系統(tǒng)安全擴(kuò)展）和其他域安全最佳實(shí)踐，并進(jìn)行標(biāo)準(zhǔn)化。他們可以利用當(dāng)今市場(chǎng)上的技術(shù)輕松實(shí)施DNSSEC簽名和其他域安全最佳實(shí)踐。至少，他們應(yīng)該與供應(yīng)商和安全部門(mén)一起審核其實(shí)施。”

DNSSEC今年年初出現(xiàn)在新聞中，當(dāng)時(shí)為了應(yīng)對(duì)越來(lái)越多的DNS攻擊，ICANN呼吁社區(qū)加強(qiáng)工作，安裝更強(qiáng)大的DNS安全技術(shù)。

具體來(lái)說(shuō)，ICANN希望在所有不安全的域名上全面部署DNSSEC。DNSSEC在DNS之上添加了一個(gè)安全層。ICANN說(shuō)，DNSSEC的全面部署可確保最終用戶連接到真實(shí)網(wǎng)站或者與特定域名相對(duì)應(yīng)的其他服務(wù)。ICANN稱(chēng)，“盡管這并不能解決互聯(lián)網(wǎng)的所有安全問(wèn)題，但它確實(shí)保護(hù)了互聯(lián)網(wǎng)的一個(gè)關(guān)鍵環(huán)節(jié)——目錄查找，加強(qiáng)了其他技術(shù)，例如，保護(hù)‘對(duì)話的SSL（https：），提供平臺(tái)以便于進(jìn)一步開(kāi)發(fā)安全措施等。”

據(jù)亞太區(qū)域互聯(lián)網(wǎng)地址注冊(cè)中心（APNIC）的數(shù)據(jù)，自2010年起，DNSSEC技術(shù)就已經(jīng)出現(xiàn)了，但尚未得到廣泛部署，只有不到20%的全球DNS注冊(cè)機(jī)構(gòu)部署了該技術(shù)。

NS1的Beevers說(shuō)，DNSSEC的應(yīng)用一直滯后，因?yàn)樗灰暈槭强蛇x的，需要在安全性和功能性之間進(jìn)行權(quán)衡。

傳統(tǒng)的DNS威脅

盡管DNS劫持可能是一線攻擊方法，但其他更傳統(tǒng)的威脅仍然存在。

IDC/EfficientIP的研究發(fā)現(xiàn)，最流行的DNS威脅與去年相比已經(jīng)有所變化。網(wǎng)絡(luò)釣魚(yú)（47%）現(xiàn)在比去年最流行的基于DNS的惡意軟件（39%）更受攻擊者歡迎，其次是DDoS攻擊（30%）、誤報(bào)觸發(fā)（26%）和鎖定域攻擊（26%）。

專(zhuān)家指出，DNS緩存中毒，以及DNS欺騙，也是相當(dāng)常見(jiàn)的。利用緩存中毒，攻擊者把惡意數(shù)據(jù)注入DNS解析程序的緩存系統(tǒng)，試圖把用戶重定向到攻擊者的網(wǎng)站。然后他們就可以竊取個(gè)人信息或者其他情報(bào)。

DNS隧道是另一種攻擊威脅，它使用DNS提供隱藏的通信通道，然后繞過(guò)防火墻。

Palo Alto網(wǎng)絡(luò)公司第42部的安全研究人員詳細(xì)描述了最著名的DNS隧道攻擊：OilRig。

OilRig至少?gòu)?016年5月便開(kāi)始提供特洛伊木馬，在攻擊中使用DNS隧道發(fā)出命令并進(jìn)行控制，用于竊取數(shù)據(jù)。根據(jù)第42部關(guān)于OilRig的博客文章，從那時(shí)起，犯罪團(tuán)伙已經(jīng)在其工具集中引入了使用不同隧道協(xié)議的新工具。

第42部稱(chēng)：“Oilrig團(tuán)伙不停地使用DNS隧道作為他們的C2服務(wù)器和許多工具之間通信的通道?！?h3>DNS攻擊緩解

專(zhuān)家指出，企業(yè)可以采取很多措施來(lái)阻止這些攻擊。

Talos的Williams說(shuō)，用戶最好的措施就是實(shí)施雙重身份驗(yàn)證?！斑@很容易實(shí)現(xiàn)，所有人都明白它是什么，沒(méi)有人會(huì)對(duì)此感到驚訝。企業(yè)還應(yīng)該給任何面向公眾的網(wǎng)站打上補(bǔ)丁——我們絕不應(yīng)該說(shuō)，‘好吧，但愿他們找不到我們，這是不行的?！?/p>

還有很多其他建議的DNS安全最佳實(shí)踐。我們?cè)谶@里匯編了一些，美國(guó)國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）也提供了一些。

CISA DNS最佳安全實(shí)踐包括以下建議：

· 更新DNS賬戶密碼。這將終止未經(jīng)授權(quán)的犯罪分子對(duì)當(dāng)前可能擁有的賬戶的訪問(wèn)權(quán)限。

· 驗(yàn)證DNS記錄，以確保它們按預(yù)期進(jìn)行解析，而不是重定向到其他地方。這將有助于發(fā)現(xiàn)任何活動(dòng)的DNS劫持。

· 審核公共DNS記錄，以驗(yàn)證它們是否被解析到了預(yù)期的地方。

· 搜索與域相關(guān)的加密證書(shū)，吊銷(xiāo)任何欺詐性請(qǐng)求的證書(shū)。

· 對(duì)于代理未請(qǐng)求的已頒發(fā)證書(shū)，監(jiān)視證書(shū)透明日志。這將幫助防御者注意到是否有人試圖模仿他們或者監(jiān)視他們的用戶。

DNS安全供應(yīng)商N(yùn)S1建議在注冊(cè)中心/注冊(cè)機(jī)構(gòu)中采取以下步驟：

· 確保在所有注冊(cè)機(jī)構(gòu)或者注冊(cè)中心賬戶中啟用雙重因素身份驗(yàn)證，并且密碼不容易被猜到，安全的存儲(chǔ)密碼，不在服務(wù)之間重復(fù)使用密碼。

· 攻擊者可能會(huì)嘗試?yán)觅~戶恢復(fù)過(guò)程來(lái)獲取對(duì)域管理的訪問(wèn)權(quán)限，因此，應(yīng)確保聯(lián)系詳細(xì)信息準(zhǔn)確而且最新。這與DNS特別相關(guān)，因?yàn)樵谄髽I(yè)電子郵件賬戶可用之前注冊(cè)域名是很常見(jiàn)的。

· 很多注冊(cè)機(jī)構(gòu)和注冊(cè)中心提供“鎖定”服務(wù)，需要額外的安全增強(qiáng)步驟才能進(jìn)行更改。了解自己可以使用的任何“鎖定”服務(wù)，并考慮應(yīng)用它們，尤其是應(yīng)用于高價(jià)值域名。

· 確保啟用了任何可用的日志記錄，以便能夠查看所做的更改。

DNS托管的步驟：

· 確保在所有DNS托管賬戶中啟用雙重因素身份驗(yàn)證，并且密碼不容易被猜到，不在服務(wù)之間重復(fù)使用密碼。

· 確保對(duì)關(guān)鍵DNS域進(jìn)行了備份，以便在出現(xiàn)泄露事件后進(jìn)行恢復(fù)。

· 考慮使用“配置即代碼”方法來(lái)管理對(duì)DNS域的更改。

· 確保啟用了任何可用的日志記錄，以便能夠查看所做的更改。

EfficientIP指出：

· 對(duì)DNS數(shù)據(jù)流進(jìn)行實(shí)時(shí)行為威脅檢測(cè)，把合格的安全事件而不是日志發(fā)送到SIEM。

· 使用實(shí)時(shí)DNS分析有助于檢測(cè)并阻止高級(jí)攻擊，例如，DGA惡意軟件和零日惡意域等。

· 在網(wǎng)絡(luò)安全編排過(guò)程中，把DNS與IP地址管理（IPAM）集成起來(lái)有助于實(shí)現(xiàn)管理安全策略的自動(dòng)執(zhí)行，使其保持最新、一致和可審核。

ICANN的DNS安全檢查條目如下：

· 確保所有系統(tǒng)安全補(bǔ)丁均已通過(guò)審查并已應(yīng)用;

· 審查未經(jīng)授權(quán)訪問(wèn)系統(tǒng)的日志文件，尤其是管理員訪問(wèn);

· 審查對(duì)管理員（“根”）訪問(wèn)的內(nèi)部控制措施;

· 驗(yàn)證每條DNS記錄的完整性，以及這些記錄的更改歷史;

· 強(qiáng)制讓密碼足夠復(fù)雜，特別是密碼長(zhǎng)度;

· 確保不與其他用戶共享密碼;

· 確保從未以明文形式存儲(chǔ)或者傳輸密碼;

· 強(qiáng)制定期更改密碼;

· 強(qiáng)制執(zhí)行密碼鎖定策略;

· 確保DNS區(qū)域記錄已由DNSSEC簽名，并且你的DNS解析程序執(zhí)行了DNSSEC驗(yàn)證;

· 理想情況下，確保電子郵件域具有基于域的消息身份驗(yàn)證策略（使用SPF和/或DKIM），并在電子郵件系統(tǒng)上強(qiáng)制執(zhí)行其他域提供的此類(lèi)策略。

Michael Cooney是《網(wǎng)絡(luò)世界》的高級(jí)編輯，25年來(lái)一直在撰寫(xiě)IT領(lǐng)域的文章。

原文網(wǎng)址

https：//www.networkworld.com/article/3409719/worst-dns-attacks-and-how-to-mitigate-them.html？nsdr=true