對于合法網站來說,域名是其在網絡空間的身份證��。在犯罪世界中,域名是控制僵尸網絡和進行網絡釣魚活動的一個重要組成部分��。為了獲域名,這些網絡犯罪分子開始在全球別有用心的與一些域名注冊機構進行串通�。
犯罪分子目前正在利用虛假信息����、用偷來的信用卡或諸如eGold等難以跟蹤的電子貨幣支付、侵入合法域名帳戶等手段注冊收集大量的域名���。域名濫用中的另一個問題是一些不負責任的注冊機構受到金錢利益的驅使,為這些不法行為大開綠燈。
Go Daddy網絡除弊總監Ben Butler稱:“這絕對是一個大問題�����!盙o Daddy是一家總部位于亞利桑那州,由互聯網名稱和號碼分配機構(ICANN)授權的域名注冊機構,其可以出售后綴為.com��、.aero�����、.info、.name和.net通用頂級域名(gTLD)���。
Go Daddy為大約600萬名客戶管理著大約3600萬個域名,其也因此成為了全球最大的域名注冊機構。Butler稱,一直以來,他們都在晝夜不停的與域名濫用進行著斗爭��。如果他們確定這些域名有著險惡用心,他們將毫不客氣的刪除這些域名����。
在臨時性處理過程中,惡意域名會被重新指向一個無法解析只會發送報錯信息的服務器。這種處理方式是替代直接刪除域名的最佳方式,因為處理人員不可能總能搞明白惡意域名的所有者。Butler稱:“我們每周都會調查上千個關于域名的投訴��。每周我們也會暫停數百個域名���!
盡管如此,犯罪分子在網上依然十分猖獗�����。其中部分原因是,注冊服務高度自動化,而且認證程序并不完善���。此外,犯罪分子也極為狡猾,善于鉆技術漏洞����。
美國網絡安全公司ScanSafe研究員Mary Landesman在上月指出,有證據顯示少數Go Daddy核發的域名被用于三起由僵尸網絡控制發起的,針對印度����、美國、中國三國網站的大規模SQL注入攻擊����。
Landesman稱,最大的問題并不是關于Go Daddy,因為其在與域名濫用斗爭中有著良好的聲譽���。問題是整個域名注冊系統,以及存有注冊者信息的whois數據庫帶有缺陷,其中包含有虛假信息,甚至是純粹的編造信息。
Landesman表示,這類的濫用并不是故意設計出來的,但是它的工作方式卻讓犯罪分子有空可鉆���。她稱對域名注冊程序的有效改革將對網絡犯罪帶來致使打擊。
域名申請
SecureWorks公司研究員Joe Stewart稱,目前發送垃圾郵件的僵尸網絡�、網絡釣魚���、拒絕服務攻擊都依賴于域名,因為域名在犯罪分子的控制中相對“穩定”。他稱:“當它們被激活后,這些攻擊方式都會尋找新的IP地址。”
Imperva公司首席技術官Amichai Shulman稱:“應當防止這些攻擊可以輕松的使用IP地址,未來的扼制網絡犯罪的趨勢是對服務器進行更為詳細的設置��!
賽門鐵克公司全球智能網絡總監Dean Turner指出,許多人指出犯罪分子能夠靈活的運用他們掌握的“fast flux”技術通過讓數千個IP地址使用一個或一組域名來運作僵尸網絡�。他解釋稱:“這種方式是為了欺騙IP黑名單。”
全球入侵防護和風險管理解決方案的領先供應商邁克菲風險管理總監Sam Masiello稱:“域名使用起來非常方便�。犯罪分子會使用fast flux技術進行內容傳輸��。”
五月份公布的一份報告高度關注了關于域名在網絡釣魚犯罪中所扮演的角色。反釣魚工作組的報告名為《全球網絡釣魚觀察:2008年下半年域名使用與趨勢》。報告稱,犯罪分子在2008年下半年共使用了3.0454萬個域名發動了5.6959萬起釣魚攻擊���。
報告稱:“在這些數字中,我們確認了5591起釣魚攻擊����。這些惡意域名在涉及釣魚攻擊的域名中占18.5%����。剩下的域名屬于無辜的網站擁有者,這些域名遇到了黑客的竊取�!
報告強調稱,相對于域名釣魚攻擊而言,基于唯一IP地址的釣魚攻擊已經開始持續穩定的下降,數量由2007年上半年的6336起下降到2008年下半年的2809起�����。
報告中所提到的另一個趨勢是釣魚攻擊者開始使用一種所謂的“次域名注冊服務”。在這種服務中,提供商在自己擁有的域名下向客戶提供次主域名“寄存帳戶”�。報告稱,這種方式僅能由次域名提供者自己移除,而且部分服務提供商對于投訴反應遲鈍���。
這又將問題引到了另一個層面,特別是ICANN�����。在與注冊機構聯系和由ICANN主導的域名世界之外,ICANN基本上沒有任何權力。
次域名目前占了所有涉及釣魚攻擊域名比例的12%。在大約360個次域名注冊服務提供商中,俄羅斯的免費郵件服務提供商Pochta.ru和法國寄存服務提供商Wistee.fr為最糟糕的提供商。不過,報告稱.com域依然是釣魚者所喜歡的最大一個頂級域名�。該域名占了同期被監視的釣魚域名的46%��。
ICANN的回應
由ICANN授權的.com和.ne域名注冊機構VeriSign拒絕討論頂級域名被濫用的現象�����。ICANN承認域名被犯罪分子濫用,其也正在完善規定���。目前ICANN在該領域內的權力還有許多不明確的地方��。
Marina Del Ray公司的合同遵從總監Stacy Burnette稱:“關于域名濫用的犯罪活動目前已經引起了ICANN的高度關注�����。這些犯罪活動已經危險到了整個體系����!
Whois數據庫的缺陷僅僅是冰山一角���。ICANN每年都會得到上千份對注冊機構的投訴,其主要涉及到在Whois數據庫中可以被察覺到的不足或錯誤信息�����。ICANN必須對這些信息進行全部評估,然后與注冊機構進行聯系并及時補救已經確認的缺陷。
在今天這一問題發展為網絡犯罪分子濫用域名之后,我們發現ICANN并沒有執法權�����。Burnette指出:“ICANN僅僅是一個非盈利性組織,我們沒有管理權和執法權�������!
在今年三月份,ICANN已經召開過一個會議,通過名稱支持組織下屬的注冊濫用政策工作組也出席了在墨西哥召開的會議��。會議各方討論了扼制域名濫用和注冊濫用的政策與指導原則。
一直致力于解決這一問題的ICANN高級技術專家Dave Piscitello表示,ICANN計劃在十月份提出一個提案,為強化安全提供新的指導�����。
盡管無權向外界透露提案的具體細節,但是Piscitello指出,在ICANN董事會通過這一提案前,提案將交由整個ICANN社區進行審議�。他稱:“我們已經注意到了注冊問題和惡意操作。不過我們不認為所有的人都會被這視為濫用域名服務器(DNS)������!
ICANN社區極為廣泛,其包括一些擁有可以決定國家頂級域名(ccTLD)的國家。Piscitello稱:“我們可以拿gTLD說事,但是我們只有與所有的國家合作才能解決這一問題����!
與此同時,ICANN委員會在上個月公布了一份154頁的報告,報告以fast flux技術和域名被犯罪分子濫用為主題�。報告中,ICANN強調他們將領導組織機構考慮防注冊濫用規定通過授權注冊/注冊機構搶占惡意域名或非法fast flux以解決fast flux問題���。
Piscitello表示,對于如果處理這一問題還沒有達成一致意見。探測犯罪性fast flux的方式十分的可靠,但是目前的問題是萬一出現探測失誤,那否應當有人為此負責�����。
如今域名已經成為了網絡犯罪分子的犯罪工具�。不過,Piscitello表示:“DNS社區的目標之一就是將這些犯罪工具從犯罪分子的工具箱中拿走���!
