如何看待歐盟的DNS全球濫用指南

當歐盟在幾年前推出《通用數據保護條例》(GDPR)以應用隱私問題時，并未想到GDPR竟然掀起了全球隱私保護運動的浪潮。但在今年初，歐盟發布的《DNS濫用研究》卻無人問津。DNS在安全中的重要性無庸置疑，因此本文嘗試對這份指南作一個概況解讀。

DNS是一種分層和去中心化的命名系統，用于識別可通過Internet或其他IP網絡訪問的計算機、服務等網絡資源。DNS濫用是指利用域名或DNS協議進行網絡攻擊、釣魚欺詐等有害或非法活動。

多年來DNS濫用始終是一個頻繁且嚴重的問題，如DNS劫持會將正常的訪問者重定向到偽造的網站，以竊取訪問者的敏感數據。再比如，當域名服務遭到侵蝕時，網絡罪犯便能夠繞過傳統的安全機制。甚至，還可以利用域名通信來“合法”地傳輸文件和數據。

做為信息基礎設施的域名，是維護互聯網完整性的關鍵因素，也是數字經濟和數字社會賴以持續穩定運行的關鍵。但到目前為止，對于應該采取什么措施來防止或打擊DNS濫用，并未達成全球共識，也沒有制定任何政策來要求域注冊商在所有權方面達到更高的驗證標準。（編者注：原因可能恰恰是因為域名的重要性）

為了解決這一問題，歐盟委員會最近進行了一項研究并發布了這份報告，其中評估了域名系統濫用的范圍、影響和程度，并為缺乏DNS安全措施的主體提供了一些有價值的建議和可遵循的指導，以防止、檢測和緩解DNS濫用。

• 選擇具有更多域名注冊驗證標準的提供商

選擇那些有著更高標準的域名注冊商。要有驗證域名注冊者身份的方法，以減少域名濫用行為，減少欺詐。而不是任何人在任何時候，都可以輕松注冊域名。

• 啟動預防和補救解決方案

免費托管和子域名的初心是為了更多的吸引客戶而提供的合法服務，但現在卻常常被網絡釣魚所利用。域名所有者要主動檢測包含其品牌關鍵詞的可疑域名，監控DNS空間，以防止品牌被濫用、侵權和欺詐。域名服務商還應開發可靠的通知程序，以便域名所有者能夠通過報告和暫停違規域名，來維護其權利。

• 增加安全控制措施

域名系統安全擴展(DNSSEC)可以驗證DNS服務器之間的通信。然而，缺乏安全控制措施可能會導致黑客控制互聯網瀏覽會話，并將用戶重定向到欺騙性網站。SPF和DMARC協議應繼續被作為防范商業電子郵件欺詐(BEC)的第一道防線，因為這些協議可以緩解電子郵件欺騙。

啟用注冊鎖，也是一個非常重要的安全措施（但在本文歐盟委員會的報告中沒有涉及注冊鎖的內容）。在端到端的域名交易中，它能夠減少人為錯誤和第三方風險。歐洲許多大型域名注冊機構，如德國、法國和瑞典的注冊機構，都采用了這種安全措施。

• 防止頂級域名(TLD)的濫用

TLD是域名中最后的最底層的部分，如.com、.org等。相對于國家頂級域名(nTLD)、國際頂級域名(iTLD)，通用頂級域名(gTLD)被濫用的最多。尤其是一些新的gTLD和ccTLD（區域代碼頂級域名）的欺詐集中度較高。只需不到一美元就可以獲得一個TLD，可謂是網絡釣魚者的最愛。

一個有效減少TLD濫用的控制措施，是域名商標保護列表(Donuts DPML)，它為商標的所有者提供了一種阻止相關域名被注冊的服務。

構建域名標準

雖然歐盟報告對如何更好地緩解域名威脅提供了深刻見解，但更重要的是，如何建立全球國家以及企業、機構可以遵循的標準，如何制定有效的政策和計劃以盡量減少在線交易、網絡活動減少被攻擊和欺詐的風險，遏制網絡犯罪，這將對全球的社會生活和數字經濟至關重要。