為了履行 ICANN 董事會(huì)新頂級(jí)域名(gTLD)項(xiàng)目委員會(huì) (NGPC) 對(duì)政府咨詢委員會(huì) (GAC) 做出的一項(xiàng)承諾�,NGPC 承諾 ICANN 將邀請(qǐng)社群參與制定一個(gè)�����,用于指導(dǎo)域名注冊(cè)局如何應(yīng)對(duì)發(fā)現(xiàn)的安全威脅處理方案���,此處理文件是非約束性文件,意在詳細(xì)說(shuō)明注冊(cè)局對(duì)威脅應(yīng)該采取的應(yīng)對(duì)方法��。
域名注冊(cè)局的通用頂級(jí)域 (gTLD) 政策或服務(wù)條款通常會(huì)對(duì)域名注冊(cè)局可采用的響應(yīng)類型做出規(guī)定���。這些政策根據(jù)適用法律�����、運(yùn)營(yíng)要求和技術(shù)要求而制定�,并且因注冊(cè)管理機(jī)構(gòu)和管轄區(qū)的不同而異。根據(jù)新出現(xiàn)的情況和從之前的安全威脅中總結(jié)的經(jīng)驗(yàn)教訓(xùn)�,域名注冊(cè)局可以在符合共識(shí)性政策和法律要求的情況下,自行對(duì)政策進(jìn)行修訂����。
下面列出了域名注冊(cè)局針對(duì)濫用問(wèn)題可能采取的多數(shù)響應(yīng)方式。
現(xiàn)有域名處理方法
將問(wèn)題交由域名注冊(cè)商來(lái)處理:
域名注冊(cè)局通常最先采取的響應(yīng)是將問(wèn)題交由域名注冊(cè)商來(lái)處理���,因?yàn)榕c域名注冊(cè)人之間存在合同關(guān)系的是域名注冊(cè)商��。應(yīng)給域名注冊(cè)商一定的時(shí)間來(lái)調(diào)查安全威脅�����,并相應(yīng)地做出響應(yīng)�。即使域名注冊(cè)商的調(diào)查結(jié)果是不存在安全威脅���,注冊(cè)管理機(jī)構(gòu)仍然可以采取措施��。
暫停域名以使其無(wú)法解析:
應(yīng)用 serverHold 狀態(tài)可將域名從 TLD 域文件中移除�,從而使該域名在公共互聯(lián)網(wǎng)中無(wú)法解析。2 此措施還有一個(gè)優(yōu)勢(shì)����,也就是在處理不當(dāng)?shù)那闆r下,很容易撤消���。
鎖定域名以使其無(wú)法更改:
盡管在應(yīng)對(duì)安全威脅問(wèn)題時(shí)很少用到���,但應(yīng)用鎖定狀態(tài)3 就意味著域名不能轉(zhuǎn)讓、刪除或修改詳細(xì)信息���,但仍可解析���。人們有時(shí)會(huì)將應(yīng)用鎖定狀態(tài)視為如下操作的一個(gè)步驟:鎖定域名�����,同時(shí)劫持其域名服務(wù)器���。
重定向域名的域名服務(wù):
注冊(cè)管理機(jī)構(gòu)有技術(shù)能力來(lái)更改域名的域名服務(wù)器����。通過(guò)更改域名的域名服務(wù)器,可以為"槽洞攻擊檢測(cè)"(日志流量)重定向與域名關(guān)聯(lián)的服務(wù)����,從而確定受害者,以便進(jìn)行補(bǔ)救�����。
轉(zhuǎn)讓域名:
將域名轉(zhuǎn)讓給具備適當(dāng)資格的域名注冊(cè)商可以避免濫用情況的發(fā)生��,同時(shí)又可以管理域名的生命周期�����、可擴(kuò)展供應(yīng)協(xié)議 (EPP) 狀態(tài)代碼和到期時(shí)間��。
刪除域名:
刪除域名是一種較為極端的操作���,如果不經(jīng)過(guò)仔細(xì)慎重的考慮���,或者沒(méi)有相關(guān)權(quán)威機(jī)構(gòu)的指示,通常不建議這樣做。如果發(fā)現(xiàn)刪除域名不妥當(dāng)����,恢復(fù)域名的過(guò)程可能會(huì)很復(fù)雜,不像將域名置于 serverHold 狀態(tài)的情況那樣簡(jiǎn)單��。在抵御安全威脅方面�����,刪除域名通常也不像暫停域名那樣有效��,因?yàn)樵谟蛎麖挠蛭募袆h除后���,注冊(cè)人還可以輕松地重新注冊(cè)該域名��。
不采取任何措施:
此選項(xiàng)始終可用��。在某些特定情況下����,注冊(cè)管理機(jī)構(gòu)政策可能會(huì)限制這樣做�,或者當(dāng)其他響應(yīng)方式都不合適時(shí)��,這可以做為默認(rèn)的措施。此外�����,域名注冊(cè)局可能會(huì)認(rèn)為所提到的情況并不構(gòu)成安全威脅����,或者采取措施的后果比威脅本身更嚴(yán)重。出于禮節(jié)��,域名注冊(cè)局應(yīng)該對(duì)安全威脅的提出者做出回應(yīng)�,說(shuō)明對(duì)所報(bào)告安全威脅采取此響應(yīng)方式的原因。
未注冊(cè)(DGA 類型)域名
安全威脅可能會(huì)涉及到未注冊(cè)的域名����。如果域名是僵尸網(wǎng)絡(luò)活動(dòng)通過(guò)自動(dòng)域名生成算法 (DGA) 而生成,便可能會(huì)發(fā)生這種情況��。這種威脅往往涉及成千上萬(wàn)個(gè)域名����。
創(chuàng)建域名
注冊(cè)潛在的惡意域名似乎有悖常理;但在控制得當(dāng)?shù)臈l件下����,通過(guò)這種方法�����,研究人員和公共安全組織(例如�,計(jì)算機(jī)緊急響應(yīng)小組 (CERT))可以對(duì)域名采取適當(dāng)?shù)拇胧ɡ?����,槽洞攻擊檢測(cè)4)����。與上面的轉(zhuǎn)讓域名選項(xiàng)類似,創(chuàng)建域名也可以幫助確定受攻擊的計(jì)算機(jī)����,以便抵御安全威脅。此外����,通過(guò)下文中的阻止域名注冊(cè)措施,可以阻止不良分子使用域名��。
域名注冊(cè)局通常有權(quán)自行決定是否將以前未注冊(cè)的域名授權(quán)給具有適當(dāng)資格的域名注冊(cè)商��,或授權(quán)給其內(nèi)部的域名注冊(cè)商�����。域名注冊(cè)局應(yīng)確保針對(duì)其相應(yīng)的《注冊(cè)管理機(jī)構(gòu)協(xié)議》中的特定合同條款�����,從 ICANN 獲得適當(dāng)或必要的豁免�。當(dāng)前可通過(guò) ICANN 的注冊(cè)管理機(jī)構(gòu)加急安全請(qǐng)求 (ERSR) 流程獲得此豁免。域名注冊(cè)局獲得豁免的時(shí)間取決于 ICANN��。
阻止域名注冊(cè)
域名注冊(cè)局在獲得同意后可保留請(qǐng)求的域名��。請(qǐng)求方應(yīng)與域名注冊(cè)局一起確定阻止域名注冊(cè)的適當(dāng)時(shí)間限制(如果有)�����。
報(bào)告安全威脅
盡管信息來(lái)源的可信度應(yīng)由域名注冊(cè)局來(lái)評(píng)估�����,安全威脅的嚴(yán)重程度可以劃分為幾個(gè)級(jí)別����。域名注冊(cè)局還必須注意信息提供方在報(bào)告中所提供信息的質(zhì)量和標(biāo)準(zhǔn),同時(shí)考慮以前的報(bào)告情況�。舉例而言���,在以下情況下,域名注冊(cè)局應(yīng)根據(jù)相關(guān)政策決定予以重視并快速采取措施:域名注冊(cè)局所在地的相關(guān)執(zhí)法機(jī)構(gòu) (LEA) 提出報(bào)告��,或?qū)τ蛎?cè)局擁有管轄權(quán)的法庭下達(dá)法院指令���。
A�、執(zhí)法機(jī)構(gòu)提供的報(bào)告
如果已確認(rèn)通知方是政府執(zhí)法機(jī)構(gòu)(包括國(guó)家執(zhí)法機(jī)構(gòu)或?qū)τ蛎?cè)局擁有管轄權(quán)的其他政府公共安全機(jī)構(gòu))��,本方案支持域名注冊(cè)局將此類報(bào)告視為具備較高可信度���,對(duì)于這樣的報(bào)告應(yīng)予以優(yōu)先處理���。對(duì)于執(zhí)法機(jī)構(gòu) (LEA) 提供的報(bào)告,盡管域名注冊(cè)局在處理時(shí)可以認(rèn)為這類報(bào)告具有較高的可信度����,但還是應(yīng)該執(zhí)行他們認(rèn)為必要的調(diào)查,以確定報(bào)告的情況確實(shí)構(gòu)成了安全威脅�,并確認(rèn)報(bào)告方的身份真實(shí)有效。
B�、域名注冊(cè)局認(rèn)可的機(jī)構(gòu)提供的報(bào)告
域名注冊(cè)局可以自行決定將來(lái)自其認(rèn)可的實(shí)體的報(bào)告視為要優(yōu)先處理的情況,這些實(shí)體通常在相關(guān)領(lǐng)域具備必要的專業(yè)知識(shí)��,例如,國(guó)家 CERT 和安全問(wèn)題報(bào)告組織����。
C、其他信息源提供的報(bào)告
在適當(dāng)情況下�,域名注冊(cè)局應(yīng)妥善處理公共信息來(lái)源提供的 DNS 技術(shù)濫用報(bào)告�����。此外�,還建議域名注冊(cè)局制定相應(yīng)的規(guī)程,以確保對(duì)任何已經(jīng)確定存在的威脅予以適當(dāng)?shù)闹匾?��。這包括妥善處理用戶和公眾人員報(bào)告的威脅以及通過(guò)域名注冊(cè)局自行選用的技術(shù)分析確定的威脅���。對(duì)于任何來(lái)自匿名來(lái)源的報(bào)告,為避免留下疑問(wèn)����,不得僅僅因?yàn)閳?bào)告是以匿名方式提供便不予重視。域名注冊(cè)局應(yīng)根據(jù)所提供的證明和證據(jù)��,審核所有出于善意目的而提供的報(bào)告��,無(wú)論報(bào)告是否采用匿名方式,都應(yīng)如此����。
域名注冊(cè)局響應(yīng)
需要指明的是,下文中的"響應(yīng)"是指���,在收到安全威脅報(bào)告后�,如果域名注冊(cè)局根據(jù)其政策認(rèn)定報(bào)告的情況確實(shí)構(gòu)成了安全風(fēng)險(xiǎn)�,則域名注冊(cè)局將采取相應(yīng)行動(dòng),包括但不僅限于向報(bào)告的公共安全機(jī)構(gòu)做出回復(fù)����,說(shuō)明域名注冊(cè)局正在對(duì)其報(bào)告的安全威脅展開調(diào)查。
建議域名注冊(cè)局在收到報(bào)告后及時(shí)予以響應(yīng)�,初步確認(rèn)收到報(bào)告,并說(shuō)明是否正在考慮報(bào)告的請(qǐng)求���。域名注冊(cè)局應(yīng)在初步確認(rèn)收到報(bào)告后的 24 小時(shí)內(nèi)����,通過(guò)合理的方法對(duì)請(qǐng)求進(jìn)行評(píng)估�,并在可能的情況下根據(jù)評(píng)估結(jié)果告知其選擇采取的措施。如果可能,還可以提供采取措施的預(yù)計(jì)時(shí)間表�,這樣方便雙方對(duì)預(yù)期的工作進(jìn)行管理。
域名注冊(cè)局可以根據(jù)他們的政策對(duì)請(qǐng)求進(jìn)行評(píng)估����,并根據(jù)以下因素做出后續(xù)響應(yīng):
1、優(yōu)先級(jí)別
初步就可以評(píng)估為"高優(yōu)先級(jí)"的請(qǐng)求應(yīng)該是十分明顯的問(wèn)題����,不需要特別的技能就能確定它是影響到公共安全的威脅。"高優(yōu)先級(jí)"是指報(bào)告的情況對(duì)人們的生活或重要基礎(chǔ)設(shè)施產(chǎn)生直接威脅���,或者涉及到剝削兒童的情況。造成 DNS 中斷的重要威脅也可以視為"高優(yōu)先級(jí)"問(wèn)題��。注冊(cè)管理機(jī)構(gòu)應(yīng)根據(jù)其內(nèi)部政策來(lái)做出這些判斷���。對(duì)于任何其他不能評(píng)為"高優(yōu)先級(jí)"的事件����,如果與 DNS 技術(shù)濫用有關(guān)���,應(yīng)由注冊(cè)管理機(jī)構(gòu)在法律允許的范圍內(nèi)����,根據(jù)其反濫用政策進(jìn)行處理。
2�����、報(bào)告的來(lái)源
每個(gè)域名注冊(cè)局都應(yīng)根據(jù)自己的內(nèi)部政策和流程��,對(duì)請(qǐng)求來(lái)源的合法性進(jìn)行審查���、詢問(wèn)或其他方式的調(diào)查����。
3���、內(nèi)容
域名注冊(cè)局應(yīng)對(duì)每個(gè)請(qǐng)求的內(nèi)容進(jìn)行詳細(xì)審閱�����,因?yàn)槠渲锌赡馨_認(rèn)信息���,或包含對(duì)域名注冊(cè)局的具體請(qǐng)求。高優(yōu)先級(jí)的報(bào)告應(yīng)該包含證明性信息����,能夠表明所報(bào)告的問(wèn)題明顯會(huì)對(duì)人們的生活或重要基礎(chǔ)設(shè)施造成潛在危害����,或者涉及到剝削兒童的情況��。域名注冊(cè)局應(yīng)根據(jù)各自的內(nèi)部政策對(duì)此類內(nèi)容(包括向域名注冊(cè)局提出的任何此類請(qǐng)求)進(jìn)行評(píng)估��,并在可能的情況下確定補(bǔ)救措施���。
4����、負(fù)責(zé)方
對(duì)于某些安全威脅�����,域名注冊(cè)局可能并不是解決問(wèn)題的最佳機(jī)構(gòu)�。針對(duì)安全威脅確定最相關(guān)���、最合適的解決方對(duì)于及時(shí)解決問(wèn)題至關(guān)重要�。例如�,如果是濫用性注冊(cè),那么由域名注冊(cè)商或經(jīng)銷商來(lái)審查和解決注冊(cè)問(wèn)題最合適。但如果是系統(tǒng)被攻擊����,注冊(cè)人或其托管服務(wù)提供商對(duì)受影響的系統(tǒng)擁有管理訪問(wèn)權(quán)限,他們能更好地解決問(wèn)題�����;不過(guò)���,對(duì)于涉及到很多注冊(cè)人或域名注冊(cè)商的大規(guī)模威脅�����,由域名注冊(cè)局來(lái)解決最為合適��。
如果請(qǐng)求被評(píng)為"高優(yōu)先級(jí)"�����,并且來(lái)自合法的可信機(jī)構(gòu)����,那么域名注冊(cè)局在確認(rèn)收到問(wèn)題后的 24 小時(shí)內(nèi)����,可以盡快確定威脅并提供其應(yīng)對(duì)安全威脅的計(jì)劃措施��。如果事件的級(jí)別不是"高優(yōu)先級(jí)"����,建議域名注冊(cè)局也在 24 小時(shí)內(nèi)做出回復(fù)��,詳細(xì)說(shuō)明他們將采取的措施��,包括可能不采取任何措施����。建議域名注冊(cè)局將他們對(duì)威脅的分析結(jié)果告知請(qǐng)求方,以說(shuō)明他們采取或不采取進(jìn)一步措施的原因���,或說(shuō)明應(yīng)由其他方來(lái)應(yīng)對(duì)此問(wèn)題�。
建議域名注冊(cè)局與其所在管轄區(qū)內(nèi)的一個(gè)或多個(gè)具有管轄權(quán)的執(zhí)法機(jī)構(gòu)(例如���,國(guó)家高科技犯罪專案組)或相應(yīng)的公共安全機(jī)構(gòu)合作,請(qǐng)求這類機(jī)構(gòu)提供以下幫助:
幫助對(duì)安全威脅報(bào)告進(jìn)行評(píng)估��。
幫助確定合適的執(zhí)法機(jī)構(gòu)和公共安全機(jī)構(gòu)�。
幫助協(xié)調(diào)域名注冊(cè)局和參與調(diào)查的執(zhí)法機(jī)構(gòu)官員進(jìn)行合作���。
建議域名注冊(cè)局在適當(dāng)?shù)那闆r下與其他域名注冊(cè)局和有管轄權(quán)的執(zhí)法機(jī)構(gòu)共享被濫用的域名信息,以防止 DNS 濫用���。
5����、尊重隱私和保密信息
在報(bào)告和處理發(fā)現(xiàn)的安全威脅的過(guò)程中�,通常需要由域名注冊(cè)局、執(zhí)法機(jī)構(gòu)或具有管轄權(quán)的相關(guān)機(jī)構(gòu)處理個(gè)人身份信息 (PII)����。在對(duì)發(fā)現(xiàn)的安全威脅做出響應(yīng)時(shí),域名注冊(cè)局應(yīng)高度注意各自的隱私政策��,以及機(jī)密信息��、數(shù)據(jù)安全�、數(shù)據(jù)傳輸和數(shù)據(jù)保留方面的公認(rèn)最佳做法,還要注意當(dāng)?shù)胤?����、合同要求或其他具有約束力的要求�。
