如何看待欧盟的DNS全球滥用指南

数据泄露
3年前

20220523212150.png


当欧盟在几年前推出《通用数据保护条例》(GDPR)以应用隐私问题时,并未想到GDPR竟然掀起了全球隐私保护运动的浪潮。但在今年初,欧盟发布的《DNS滥用研究》却无人问津。DNS在安全中的重要性无庸置疑,因此本文尝试对这份指南作一个概况解读。

1657753038224303.png

DNS是一种分层和去中心化的命名系统,用于识别可通过Internet或其他IP网络访问的计算机、服务等网络资源。DNS滥用是指利用域名或DNS协议进行网络攻击、钓鱼欺诈等有害或非法活动。


多年来DNS滥用始终是一个频繁且严重的问题,如DNS劫持会将正常的访问者重定向到伪造的网站,以窃取访问者的敏感数据。再比如,当域名服务遭到侵蚀时,网络罪犯便能够绕过传统的安全机制。甚至,还可以利用域名通信来“合法”地传输文件和数据。


做为信息基础设施的域名,是维护互联网完整性的关键因素,也是数字经济和数字社会赖以持续稳定运行的关键。但到目前为止,对于应该采取什么措施来防止或打击DNS滥用,并未达成全球共识,也没有制定任何政策来要求域注册商在所有权方面达到更高的验证标准。(编者注:原因可能恰恰是因为域名的重要性)


为了解决这一问题,欧盟委员会最近进行了一项研究并发布了这份报告,其中评估了域名系统滥用的范围、影响和程度,并为缺乏DNS安全措施的主体提供了一些有价值的建议和可遵循的指导,以防止、检测和缓解DNS滥用。


  • 选择具有更多域名注册验证标准的提供商


选择那些有着更高标准的域名注册商。要有验证域名注册者身份的方法,以减少域名滥用行为,减少欺诈。而不是任何人在任何时候,都可以轻松注册域名。

  • 启动预防和补救解决方案


免费托管和子域名的初心是为了更多的吸引客户而提供的合法服务,但现在却常常被网络钓鱼所利用。域名所有者要主动检测包含其品牌关键词的可疑域名,监控DNS空间,以防止品牌被滥用、侵权和欺诈。域名服务商还应开发可靠的通知程序,以便域名所有者能够通过报告和暂停违规域名,来维护其权利。

  • 增加安全控制措施


域名系统安全扩展(DNSSEC)可以验证DNS服务器之间的通信。然而,缺乏安全控制措施可能会导致黑客控制互联网浏览会话,并将用户重定向到欺骗性网站。SPF和DMARC协议应继续被作为防范商业电子邮件欺诈(BEC)的第一道防线,因为这些协议可以缓解电子邮件欺骗。

启用注册锁,也是一个非常重要的安全措施(但在本文欧盟委员会的报告中没有涉及注册锁的内容)。在端到端的域名交易中,它能够减少人为错误和第三方风险。欧洲许多大型域名注册机构,如德国、法国和瑞典的注册机构,都采用了这种安全措施。

  • 防止顶级域名(TLD)的滥用


TLD是域名中最后的最底层的部分,如.com、.org等。相对于国家顶级域名(nTLD)、国际顶级域名(iTLD),通用顶级域名(gTLD)被滥用的最多。尤其是一些新的gTLD和ccTLD(区域代码顶级域名)的欺诈集中度较高。只需不到一美元就可以获得一个TLD,可谓是网络钓鱼者的最爱。

一个有效减少TLD滥用的控制措施,是域名商标保护列表(Donuts DPML),它为商标的所有者提供了一种阻止相关域名被注册的服务。


构建域名标准


虽然欧盟报告对如何更好地缓解域名威胁提供了深刻见解,但更重要的是,如何建立全球国家以及企业、机构可以遵循的标准,如何制定有效的政策和计划以尽量减少在线交易、网络活动减少被攻击和欺诈的风险,遏制网络犯罪,这将对全球的社会生活和数字经济至关重要。


《DNS滥用研究》报告地址:

https://op.europa.eu/en/publication-detail/-/publication/7d16c267-7f1f-11ec-8c40-01aa75ed71a1/language-en/


参考阅读

不用解密识别DNS加密流量

DNS污染攻击的危险及预防方法

域名系统安全扩展(DNSSEC)了解一下

利用DoH技术加密传输的DNS隧道流量检测分析