印度Aiplex Software公司经理Girish Kumar声称，该公司已经被电影业雇用去打击盗版。 他说，如果一个网站不采取任何措施移除其网站上侵犯版权的内容或链接，那么他的公司将会对服务器发动拒绝服务攻击。Kumar说，他们在实施攻击前会分两次发送警告信。通常95%的网站会移除内容，但有部分BT网站对侵权通知不理不睬。他的公司多数客户是印度本国的电影制片商，他们与宝莱坞的30多家制片商有合作，美国的好莱坞也有电影公司雇用了他。

分页技术，毕竟当我们有N条记录的时候我们不可能把所有记录显示在一个页面里面吧。
<%
exec=”select * from test”
set rs=server.createobject(“adodb.recordset”)
rs.open exec,conn,1,1
rs.PageSize=3
pagecount=rs.PageCount
page=int(request.QueryString (“page”))
if page<=0 then page=1
if request.QueryString(“page”)=”” then page=1
rs.AbsolutePage=page
%>
rs.pagesize设置一个页面里面显示的记录数，pagecount是我们自己定义的一个变量，rs.pagecount是记录的个数，page也是我们自己定义的一个变量，我们下一页的链接可以设置为list.asp?page=<%=page+1%>，下一页的链接可以设置为list.asp?page=<%=page-1%>，这样当按下链接的时候调用页面自己，page这个变量就+1或者-1了，最后我们让rs.absolutepage（当前页面）为第page页就可以了。
if request.QueryString(“page”)=”” then page=1，这句话的作用就是我们打开list.asp的时候没有跟随page变量，自动设置为page=1，防止出错，还有当我们if….then…放在一行的时候end if可以省略。是不是分页也不难？
下面说一种特殊情况：
if page=1 and not page=pagecount，这个时候没有上一页，但是有下一页
elseif page=pagecount and not page=1，这个时候没有下一页，但是有上一页
elseif page<1，这个时候没有任何记录
elseif page>pagecount then，这个时候没有任何记录
elseif page=1 and page=pagecount，这个时候没有上一页，没有下一页
else，这个时候有上一页，也有下一页。
下面看一段显示1到n页，且每一个数字点击以后就出现这个数在代表的页面的代码，很常见哦。
<%for i=1 to pagecount%>
<a href=”list.asp?page=<%=i%>”><%=i%></a><%next%>
for….next是循环从i=1开始，循环一次加1到pagecount为止。

最后我的实例里面包含了一个最简单的ASP程序，但是功能样样有，是ASP的精髓，每一个ASP大型程序都包含了它。
add.htm增加记录页面
add.asp增加记录操作
conn.asp数据库链接
del.asp删除记录操作
modify.asp修改记录页面
modifysave.asp修改记录操作
list.asp这个是这个程序的核心，通过这个页面实现记录的添加、修改、删除。
test.mdb数据库，里面有aa，bb两个字段：aa数字型只能接受数字，bb是字符型。

一 前言

　　Microsoft Active Server Pages（ASP）是服务器端脚本编写环境，使用它可以创建和运行动态、交互的 Web 服务器应用程序。使用 ASP 可以组合 HTML 页 、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序。

现在很多网站特别是电子商务方面的网站，在前台上大都用ASP来实现。以至于现在ASP在网站应用上很普遍。

ASP是开发网站应用的快速工具，但是有些网站管理员只看到ASP的快速开发能力，却忽视了ASP安全问题。ASP从一开始就一直受到众多漏洞，后门的困扰，包括%81的噩梦，密码验证问题，IIS漏洞等等都一直使ASP网站开发人员心惊胆跳。

本文试图从开放了ASP服务的操作系统漏洞和ASP程序本身漏洞，阐述ASP安全问题，并给出解决方法或者建议。

二 关键字

　　ASP，网络安全，IIS，SSL，加密。

三 ASP工作机理

　　Active Server Page技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段，极大地提高了开发的效果。在讨论ASP的安全性问题之前，让我们来看看ASP是怎么工作的。ASP脚本是采用明文（plain text）方式来编写的。

　　ASP脚本是一系列按特定语法（目前支持vbscript和jscript两种脚本语言）编写的，与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用WEB浏览器通过INTERNET来访问基于ASP脚本的应用时，WEB浏览器将向WEB服务器发出HTTP请求。WEB服务器分析、判断出该请求是ASP脚本的应用后，自动通过ISAPI接口调用ASP脚本的解释运行引擎（ASP.DLL）。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件，接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容，通过WEB服务器”原路”返回给WEB浏览器，由WEB浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。

　　让我们来看看运行ASP所需的环境：
Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server
Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000
Microsoft Personal Web Server on Windows 95/98
　　WINDOWS NT Option Pack所带的Microsoft IIS提供了强大的功能，但是IIS在网络安全方面却是比较危险的。因为很少有人会用Windows 95/98当服务器，因此本文我更多的从NT中的IIS安全问题来探讨。

四 微软自称的ASP的安全优点

　　虽然我们本文的重点是探讨ASP漏洞和后门，但是有必要谈谈ASP在网络安全方面的”优点”，之所以加个””，是因为有时这些微软宣称的”优点”恰恰是其安全隐犯。

　　微软称ASP在网络安全方面一大优点就是用户不能看到ASP的源程序，从ASP的原理上看，ASP在服务端执行并解释成标准的HTML语句，再传送给客户端浏览器。”屏蔽”源程序能很好的维护ASP开发人员的版权，试想你辛辛苦苦做了一个很优秀的程序，给人任意COPY，你会怎么想？而且黑客还能分析你的ASP程序，挑出漏洞。更重要的是有些ASP开发者喜欢把密码，有特权的用户名和路径直接写在程序中，这样别人通过猜密码，猜路径，很容易找到攻击系统的”入口”。但是目前已经发现了很多能查看ASP源程序的漏洞，后面我们还要讨论。

　　IIS支持虚拟目录，通过在”服务器属性”对话框中的”目录”标签可以管理虚拟目录。建立虚拟目录对于管理WEB站点具有非常重要的意义。虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中，客户通过选择”查看源代码”，很容易就能获取页面的文件路径信息，如果在WEB页中使用物理路径，将暴露有关站点目录的重要信息，这容易导致系统受到攻击。其次，只要两台机器具有相同的虚拟目录，你就可以在不对页面代码做任何改动的情况下，将WEB页面从一台机器上移到另一台机器。还有就是，当你将WEB页面放置于虚拟目录下后，你可以对目录设置不同的属性，如：Read、Excute、Script。读访问表示将目录内容从IIS传递到浏览器。而执行访问则可以使在该目录内执行可执行的文件。当你需要使用ASP时，就必须将你存放.asp文件的目录设置为”Excute（执行）”。建议大家在设置WEB站点时，将HTML文件同ASP文件分开放置在不同的目录下，然后将HTML子目录设置为”读”，将ASP子目录设置为”执行”，这不仅方便了对WEB的管理，而且最重要的提高了ASP程序的安全性，防止了程序内容被客户所访问。

五 ASP漏洞分析和解决方法

　　有人说一台不和外面联系的电脑是最安全的电脑，一个关闭所有端口，不提供任何服务的电脑也是最安全的。黑客经常利用我们所开放的端口实施攻击，这些攻击最常见的是DDOS（拒绝服务攻击）.下面我会列出ASP的二十几个漏洞，每个漏洞都会有漏洞描述和解决方法。

1 在ASP程序后加个特殊符号，能看到ASP源程序

　　受影响的版本：
　　win95+pws
　　IIS3.0
　　98+pws4 不存在这个漏洞。
　　IIS4.0以上的版本也不存在这个漏洞。
　　问题描述：
　　这些特殊符号包括小数点，%81, ::$DATA。比如：
http://someurl/somepage.asp.
http:// someurl/somepage.asp%81
http:// someurl/somepage.asp::$DATA
http:// someurl/somepage.asp %2e
http:// someurl/somepage %2e%41sp
http:// someurl/somepage%2e%asp
http:// someurl/somepage.asp %2e
http://someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/../../../../../../boot.ini （可以看到boot.ini的文件内容）

　　那么在安装有IIS3.0和win95+PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可怕的漏洞呢？究其根源其实是 Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统：NTFS，这种被称之为新技术文件系统的技术使得 NT 具有了较高的安全机制，但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道， NTFS 支持包含在一个文件中 的多数据流，而这个包含了所有内容的主数据流被称之为”DATA”，因此使得在浏览器 里直接访问 NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而 直接导致 ::$DATA 的原因是由于 IIS 在解析文件名的时候出了问题，它没有很好地规范文件名。

　　解决方法和建议：
　　如果是Winodws NT用户，安装IIS4.0或者IIS5.0，Windows2000不存在这个问题。如果是win95用户，安装WIN98和PWS4.0。

2 ACCESS mdb 数据库有可能被下载的漏洞

　　问题描述：
　　在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。比如：如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下，那么有人在浏览器中打入：
http:// someurl/database/book.mdb
　　如果你的book.mdb数据库没有事先加密的话，那book.mdb中所有重要的数据都掌握在别人的手中。

　　解决方法：
　　(1) 为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目
录下。所谓”非常规”，打个比方：比如有个数据库要保存的是有关书籍的信息，可不要把他起个”book.mdb”的名字，起个怪怪的名称，比如d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/ 的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了
。

　　(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

DBPath = Server.MapPath(“cmddb.mdb”)
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

　　假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再在程序中这样写：
conn.open “shujiyuan”

　　(3)使用ACCESS来为数据库文件编码及加密。首先在选取”工具-> 安全-> 加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现”数据库加密后另存为”的窗口，存为：employer1.mdb。接着employer.mdb就会被编码，然后存为employer1.mdb..

　　要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。

　　接下来我们为数据库加密，首先以打开经过编码了的employer1.mdb，在打开时，选择”独占”方式。然后选取功能表的”工具-> 安全-> 设置数据库密码”，接着输入密码即可。

　　为employer1.mdb设置密码之后，接下来如果再使用ACCEES数据库文件时，则ACCESS会先要求输入密码，验证正确后才能够启动数据库。

　　不过要在ASP程序中的connection对象的open方法中增加PWD的参数即可，例如：
param=”driver={Microsoft Access Driver (*.mdb)};Pwd=yfdsfs”
param=param&”;dbq=”&server.mappath(“employer1.mdb”)
conn.open param

　　这样即使他人得到了employer1.mdb文件，没有密码他是无法看到employer1.mdb的。

五 ASP漏洞分析和解决方法

3 code.asp文件会泄漏ASP代码

　　问题描述：

　　举个很简单的例子，在微软提供的 ASP1.0 的例程里有一个 .asp 文件，专门用来查看其它 .asp 文件的源代码，该文件为 ASPSamp/Samples/code.asp。如果有人把这个程序上传到服务器，而服务器端没有任何防范措施的话，他就可以很容易地查看他人的程序。例如 :

　　code.asp?source=/directory/file.asp

　　不过这是个比较旧的漏洞了，相信现在很少会出现这种漏洞。

　　下面这命令是比较新的：

http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/
soushuo.asp=xxx.asp

　　最大的危害莫过于asa文件可以被上述方式读出；数据库密码以明文形式暴露在黑客眼前;

　　问题解决或建议：

　　对于IIS自带的show asp code的asp程序文件，删除该文件或者禁止访问该目录即可

4、filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞

　　问题描述：

　　IIS3、 IIS4 的 ASP 的文件操作都可以通过 filesystemobject 实现，包括文本文件的读写目录操作、文件的拷贝改名删除等，但是这个强大的功能也留下了非常危险的 “后门”。利用 filesystemobjet 可以篡改下载 fat 分区上的任何文件。即使是 ntfs 分区，如果权限没有设定好的话，同样也能破坏，一不小心你就可能遭受”灭顶之灾 “。遗憾的是很多 webmaster 只知道让 web 服务器运行起来，很少对 ntfs 进行权限 设置，而 NT 目录权限的默认设置偏偏安全性又低得可怕。因此，如果你是 Webmaster，建议你密切关注服务器的设置，尽量将 web 目录建在 ntfs 分区上，目录不要设定 everyone full control，即使是是管理员组的成员一般也没什么必要 full control，只要有读取、更改权限就足够了。 也可以把filesystemobject的组件删除或者改名。

5、输入标准的HTML语句或者javascript语句会改变输出结果

　　问题描述：

　　在输入框中打入标准的HTML语句会得到什么相的结果呢？

　\n　比如一个留言本，我们留言内容中打入：

< font size=10> 你好！< /font>

　 如果你的ASP程序中没有屏蔽html语句，那么就会改变”你好”字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事，反而可以使留言本生动。但是如果在输入框中写个 javascript 的死循环，比如：< a herf=”http://someurl” onMouseover=”while(1){window.close(‘/’)}”> 特大新闻< /a>  

　　那么其他查看该留言的客人只要移动鼠标到”特大新闻”，上就会使用户的浏览器因死循环而死掉。

　　解决方法和建议：

　　编写类似程序时应该做好对此类操作的防范，譬如可以写一段程序判断客户端的输入，并屏蔽掉所有的 HTML、 Javascript 语句。

很多去注册过域名的网民都会发现一个奇怪的事情，自己想了一个非常简单好记的域名，查询也没有被注册，但是一旦当自己递交申请准备注册时却被告知域名已经被注册。让人十分沮丧。

“查询的时候，有些小注册代理商会留下你的查询记录，觉得好他自己就抢注了。”曾从事域名注册服务的高先生对《财经时报》记者透露，他介绍，“要实现这一监控很容易，只要在域名查询程序上加几行代码就成了。”

“其实，这个行业里面还有很多内幕。比如一位消费者交了钱注册了域名，但是他可能并不知道这个域名却并未必真正属于自己。这正如自己花钱买了房子，产权证上却写着别人的名字。”一位业内人士向《财经时报》透露。

注册陷阱

有些企业或个人，早就购买了自己的域名，而且每年按时续交域名费，然而事实上这个域名是否真是属于他们企业，也许大多数人并不清楚。

“如果域名注册人不是你，那么你的麻烦可就大了。”业内人士高先生对《财经时报》透露，在域名注册时，有域名注册记录内容，其中需要注意域名记录一定要是自己的，这是证明域名所有权的唯一证据。

如果购买者不注意，有的域名注册代理商会在注册时会填上自己的信息。如果出现纠纷，或是域名注册代理商看中你的域名，那么你就无法要回来了，除非找代理商并且花高价从其上一级注册商那里办理域名过户手续。

这也就是说，如果域名注册人不是自己，那么企业或是个人交纳域名费或是续费后得到的仅是一个“使用权”，如果代理商“不高兴了”，这个域名的产权随时可以回到代理商的手中，即便企业与个人每年交着域名费，也是“为别人做嫁衣”。

“如果管理人邮箱不是你，以后可能也会有麻烦。”高先生补充称，“因为国际域名管理组织在注册手续里的自动确认信只会发送到域名管理员的邮箱。”

对于代理商使用自己的信息来注册域名，高先生认为存在两种原因：一是代理商为了注册方便，所以默认用自己的信息代替注册人来填写；二是为了控制用户(域名)，因为有些代理商以极低的价格来销售域名，希望注册人在注册域名后，同时还能顺便购买自己的虚拟主机等业务，而不是单纯只购买域名。而用代理商的信息注册后，域名注册人就无法随意地设置和转移域名，并且每年的续费也必须通过这个代理商。

无论哪种原因，此时的域名随时都处于失控状态。

便宜难有好货

随着域名的普及，注册域名的费用也逐渐下调，不少企业与个人不太会将域名当回事，随便找一家比较便宜的域名代理注册商了事。

“表面看上去，域名注册费用便宜，但部分域名代理注册商并不给你提供完全自由的域名解析服务，这样你就得购买他那里提供的虚拟主机，而且域名不能转出。如果对方倒闭了，自己也跟着倒霉。”高先生称。

高先生透露，当前一般规模的代理商会使用自己的域名服务器来给客户做域名解析服务，如果代理商倒闭，客户的域名将不能正常解析，网站无法正常访问。

“对方是你的代理，你在他那注册域名时，他不会给你列举你的种种权利，只会说所有权是你的，但是如何使用？如何转出没有说明。”高先生介绍，即便域名代理商没有倒闭，想办域名解析、转移也不容易。

由于拥有很多域名是种资源，而且可以吸引客户租自己的主机，所以代理商一般会想方设法将客户的域名留住。

跳出陷阱

对于所注册的域名是否属于自己，业内人士建议对于国际域名可以到www.internic.net与www.register.com等网站查询“域名的whois信息”。而对于CN域名则可以到www.cnnic.cn上去查询。 鸽给搜索，鸽给知道，www.gegei.com

“如果域名注册管理人邮箱和注册人都是你，那就问题不大。”高先生称，“如果管理人邮箱不是你，以后可能会有麻烦。”他解释：“如果对方不怀好意，可能在你要办理域名转移注册商手续的时候或者是其它业务时制造障碍。”

对于代理商倒闭后域名的解析、转移等问题，业内人士介绍，可以查询所注册的域名记录，查到所属的顶级注册商，国内一般都是万网、新网、中国频道等公司，直接和这些公司联系，让他们帮助重新解析、转移域名，保证正常使用。

《域名背后藏玄机 购买需小心陷阱》
“没想到我居然被注册商骗了那么久。”上海某外贸公司老板杨风在接受《财经时报》采访时，后悔不迭。

2006年底，想到给自己的公司建一个网站。不料一查才发现其公司名.com的域名早在几年前就已被某仪表厂注册，于是域名注册商便向他大力推荐价格远高于.com域名的.cc顶级域名，并称.CC是英文“commercial company”(商业公司)的缩写，非常有利于公司品牌的推广。

“我对互联网不是很熟悉，所以轻信了注册商的话，懵懵懂懂地购买了.CC域名。不过，在网站实际上线后却发现这个域名要想推广实在太难。我们已经基本放弃了这个域名。”杨风表示。

简单的域名还藏有如此大的玄机。记者随后进行了调查。

注册商的陷阱

记者通过各种渠道了解到，近几年，一直有不少注册商向企业主大力推销.cc域名，而他们推销的手法也多大同小异，一般都称.CC是新的全球性国际顶级域名，其含义为“Commercial Company”(商业公司)或者是“Chinese Company”(中国公司)。许多注册商甚至推出了中文.cc的域名来吸引企业用户购买。

中国互联网协会网络域名专家王云指出，事实上注册商的这种推销手法其中存在多重误导成份。所谓.CC，其实是位于印度洋、人口仅636人 CocosIslands(科科斯群岛)岛国的国家和地区顶级域名，国际域名管理组织ICANN从来没有设立过Commercial Company或Chinese Company这样的通用顶级域名。而中文.CC实际上也只不过是一个岛国的国家顶级域名为后缀的中文域名。至于所谓“Chinese Company”和“Commercial Company”，只是某些企业为了营利而进行的误导，有投机、套利的嫌疑。

“类似于.cc这样情况的的顶级域名还有.la(老挝人民共和国)和.tv(图瓦卢)。这些国家由于经济落后和人口稀少等原因一般都将域名资源卖给了国外一些域名注册机构，而国内的一些不法注册商则利用大众对此事不甚了解的特点，蓄意曲解这些域名的含义并从中牟利。”一位业内人士告诉《财经时报》。
《CN域名陷阱》

主持人：

　　中国互联网络信息中心(CNNIC)宣布将CN域名注册费下调至1元，对此CNNIC主席毛伟在接受采访时表示，此举“并非是市场行为”。但也有人认为，要理智看待CNNIC的降价行动，不要盲目抢购所谓几元的CN域名，小心价格陷阱。因为这个价格实际上是第一年的价格，以后的年费支付是没有这样优惠的。

　　中国互联网发展的根本问题之一———域名问题一直是其发展的一个瓶颈。大家当然希望能获得便宜的域名。然而，CNNIC作为一个以域名注册为主要赢利来源的单位，它能坚持这么做吗？而背后是否真有什么商业陷阱呢？www.gegei.com鸽给搜索，你就知道！

　　大众评判台

　　曹中铭：\n只是一个促销

　　CNNIC降价促销，对于中国互联网业的发展当然是有益处的，另一方面也有其自身的利益诉求在里面，是否存在价格陷阱目前还很难说。如果促销成功，即使明年的续费不提高，CNNIC也可以从中获取更多的收益。

　　赵文斌：为了快速占领市场份额

　　CN域名注册费下调，是为了降低门槛，更快占领市场份额。

　　此举是中国互联网络信息中心的商业行为，在客观上，促进了中国互联网的发展和普及，所以不是坏事。但是，在注册费下调的后面，应有更负责任地管理、规范的操作说明和长远的考虑，希望不要陷入恶性竞争的泥潭。

　　何若灵：杀鸡取卵？

　　从直接的角度看，此举对中国的互联网产业会产生积极的影响。降低域名等方面的成本，有利于鼓励更多的人投身到这个行列中来，共同繁荣我们的互联网。所谓生意好做是大家好做，作为一个整体的市场氛围，整体的繁荣氛围对个体利益的提升应当是可以预见的。但是如果真如有人所说，是在用一块钱把客人吸引进来，然后就关门勒索，那就太无耻了。杀鸡取卵最终将会自取灭亡。

　　林永泉：域名主管自相矛盾

　　网民们别高兴得太早。虽然CNNIC主席毛伟认为此举将释放网络个人应用，但请注意，“域名注册申请者应当是依法登记并且能够独立承担民事责任的组织”这一限制性注册条款并未被修改。这种自相矛盾的现象会否改变有待观察。

　　沸点特稿

　　不可用网址这样的公共财产谋利

　　谢文

　　首先我认为这种做法肯定有利于互联网的普及和发展，应该尽可能地让中国的公司用中国的cn域名。当然也有竞争的因素在其中，但也不能完全这样讲，这也是与中国在国际上的地位有关的。如果还沿用com域名，那么流量监测、安全都有问题，cn在本国跑就行了，没有必要溜达到全世界去。

　　对于CNNIC与域名，我认为首先域名是公共财产，像电话号码、住址一样，互联网网址这样的公共财产不可以以此谋利。但是管理需要一定的成本，因此微利的行为应该是被允许的。不能靠垄断企业和垄断地位来谋取暴利，在我国这样的大趋势是确定的。如果在运营管理的过程出现了这样那样的问题，发现了解决就行。

　　其次，收费应该是一个透明的问题，如果注册费就是1元的话，续费也不能太贵，这些应该都完全公开透明。

　　CNNIC应该是由国家拨款的。美国早年的做法也是公益性的，是在美国科学院下属，后来发现通过注册域名，钱赚得太多了，就不合适了，就有了监督。美国方面是利用这些费用，为互联网运营商和网民去做一些公益性的服务，比如统计。CNNIC作为域名的注册管理的单位，不应该再掺杂其他方面的商务活动，不能再走市场机制这条线。我过去也做过他们的顾问，总的来说还不算太离谱，过得去。如果还希望CNNIC做得更好，就要用手中的资源化更多力气去完成更加高级的服务，为互联网运营商和网民们服务。我认为CNNIC在这方面还有很大的发挥余地，还可以做得更好。他们可以提供市场信息、市场竞争格局的情况，还可以提供一些更专业化的东西，比如alexa统计。

　　另外，费用调低后，下游运营商就会考虑，因为再没有暴利的可能，那么就得争取其他的增值服务，拓宽渠道，否则光靠注册费是无法维持公司的正常运营的，这样一来，类似万网这样的注册代理商被提出了更高的要求，得想办法创造新的商业模式才有机会。

     域名的归属权问题

    记得很早以前就在Penhe的Blog上看到过一篇关于CN域名陷阱的贴，不过当时自己还没有域名在手里，所以没什么体会。

     最近由于要转让一个CN域名，这才发现keso说的一点不错，CN对个人就是个大大的陷阱。
根据万网客服的解释：转让CN域名需要双方企业的营业执照复印件，因为个人是不允许注册CN域名的，即使你已经注册了，如果有人向CNNIC举报，CNNIC是有权注销那个域名的，也就是说CN域名不是你的。

我再看我的域名注册信息，企业一栏填的是我以前的域名注册商的名字，而联系人一栏则干脆是空的，于是我只能很遗憾的告诉我的域名受让人，这个域名转不了 了，建议他注册国际域名。当然如果他足够信任我，我也可以将这个域名无偿指向他的IP，但问题是我都不能信任我自己，因为这个域名不是我的，如果有人投 诉，这个域名随时会被CNNIC收回。

不过这个域名转让前前后后拖了N个月，打了N个电话，寄了N多资料，到最后还是没搞定，多少有些遗憾。

想起前段时间CNNIC搞什么一元CN域名推广，差点中了它的奸计，我对CNNIC这种二逼行为只能用一个字形容：真TM Trash！

《域名价值知几何》

“作为一个和互联网接触不多的人，我应该怎么判断域名的好坏？”在和记者的交谈中，张先生多次提出这样的问题。

事实上，持有和张先生相同疑问的人并不在少数。自从今年年初互联网域名与地址管理机构ICANN宣布正式开始运营“.asia(亚洲)”顶级域名开始，互联网上的顶级域名已经达到了266种之多，许多大众面对数量如此庞大的顶级域名显得无所适从。而互联网域名作为一种虚拟财产，对其价值的估算并没有绝对权威的标准，更加深了人们的困惑。

业内专家告诉《财经时报》，尽管不存在绝对权威的标准，但Internet上最著名的域名交易商Greatdomains公布的域名估价模式还是具有很高的权威性和参考价值。

Greatdomains采用三个C来估计域名的价值，这三个C分别为Characters(域名长度)，Commerce(商业价值)和.Com(所在的顶级域名)。Greatdomains对每个C的评估结果分为0到4星五个等级，而三个C综合起来就决定了域名的价值。就顶级域名而言，Greatdomains认为同样的域名下，.com的价值是.net的四倍，而所有其它顶级域名的价值都不超过.com的十分之一。

“对于域名投资，政府首先应该对域名注册行业进行清理整顿，对存在欺诈行为的注册商进行严厉的处罚，另一方面也需要企业主加强自我保护意识，域名投资有风险，入市需谨慎。”该专家表示。

《域名价值评估的要素、标准、模式或公式》

域名价值评估的要素、标准、模式或公式
　　域名价值评估三要素：域名的结构、单词的影响力、市场性
　　
　　一个好的域名可能蕴含着巨大的商业价值。选择恰当的域名，使域名与企业的名称、商标整合在一起，构成一个完美的CI标志。最好将域名注册得简短、形象，易于记忆使用。
　　　　
　　一、结构(最容易评估的是域名的总体结构，也是最容易确定具体金额的)
　　　　
　　1、关于后缀
　　在美国，“.com”的域名被认为是最好的，而相同的“.net”域名的价值只有“.com”域名价值的20%-25%，“.org”则只有10%。
　　2、以“i-”、“e-”、“v-”为词首的域名
　　Gegun.com的JoAnn VanDesart认为以“i-”、“e-”、“v-”为词首的繁衍域名比没有这些词首的域名的价值低。名称中包含“the”，“and”，“-est

　这么多顶级域名，不知道知多少钱

　　www.qq.com / www.qq.com.cn
　　腾讯网，2000年痛失oicq.com，qq.com是1000万从美国买回来的。

　　www.tencent.com
　　腾讯企业网站，十分？

　　www.qqmail.com
　　QQ邮箱，速度比较快

　　www.qzone.com
　　QQ空间——flash这东西太占资源

　　www.rtx.com.cn
　　腾讯通——企业级IM

　　www.soso.com
　　搜搜——刚刚弃用谷歌技术

　　www.taotao.com
　　滔滔——twitter式服务，一直不温不火

　　www.paipai.com
　　拍拍——电子商务网站，关注不多

　　www.tenpay.com
　　财付通——与拍拍配套的支付产品

　　www.wenwen.com

　　问问——仿百度知道

　　www.paipaiimg.com
　　拍拍图片存储

　　www.fangqq.com
　　腾讯蓝房