About ICANN
- Acronyms and Terms
- Courses and Learning
- ICANN for Beginners
- Participate
- President's Corner
- ICANN Management Organization Chart
- Staff
- Careers
- In Focus
- Media Resources
Board Activities and Meetings
Accountability
- Accountability Mechanisms
- Reviews
- Expected Standards of Behavior
- Employee Practices and Resources
- Enhancing ICANN Accountability – Work Stream 2 Implementation
Governance
- Governance Documents
- Evolving ICANN’s MSM
- Agreements
- Annual Reports
- Financials
  - Financial Reports
  - Policies, Guidelines and Procedures
- Planning
  - Strategic Plan
- Presentations
- RFPs
- Litigation
- Newsletter
- Correspondence
  - 2023
  - 2022
  - 2021
  - 2020
  - 2019
  - 2018
  - 2017
  - 2016
  - 2015
  - 2014
  - 2013
  - 2012
  - 2011
  - 2010
  - 2009
  - 2008
  - 2007
  - 2006
  - 2005
  - 2004
  - 2003
  - 2002
  - 2001
  - 2000
  - 1999
  - 1998
- Quarterly Reports
Groups
- 2023 ICANN CEO Search Committee
- RSSAC
  - Charter
- SSAC
- GAC
- At-Large
- ASO
- ccNSO
- GNSO
- Technical Liaison Group
  - Technical Experts Group (TEG)
- NomCom
  - Past NomComs
- Customer Standing Committee
- Root Zone Evaluation Review Committee (RZERC)
Business
Civil Society
Complaints Office
- Complaints Report
Domain Name System Abuse
Contractual Compliance
- About
- Programs
- Complaint Submission & Learn More
- Reporting & Performance Measurement
Registrars
- Accreditation Agreement
  - Global Amendments
    - 2024 Global Amendment to the RAA
    - 2023 Global Amendment to the RAA
- Registrar Library
- News & Communications
- How to Become a Registrar
- Changes to Existing Accreditation
- Privacy and Proxy Service Providers
- Registrar Resources
Registry Operators
- Advisories & Consensus Policies
  - Advisories
  - Consensus Policies
    - Registration Data Policy
      - Registration Data Policy Implementation Resources
    - Registry Service Evaluation Policy (RSEP)
- News & Events
- Registry Agreements
  - Global Amendments
- Registry Resources
- Services for Registry Operators
Domain Name Registrants
- About Domain Names
- ICANN Policies
- Registration Data Policies
  - WHOIS and Registration Data Directory Services
    - The Domain Name Registration Process
      - Using Domain Name Registration Data
      - Keeping Registration Data Accurate
    - Access and the Evolution of the WHOIS System
- Domain Name Industry
- Registering Domain Names
- Managing Domain Names
  - Contact Information and WDRP
  - Securely Managing Your Domain Name
- Transferring Domain Names
- Renewing Domain Names
- Rights and Responsibilities
- Spam, Phishing, and Website Content
- Trademark Infringement
GDS Metrics
Identifier Systems Security, Stability and Resiliency (OCTO IS-SSR)
- IS-SSR Team Blogs
- Security Terminology
- Document Archive
ccTLDs
- Background Materials
- Agreements
- Delegation
- Root Zone Database
- Model MOU
- Workshops
- ICANN and ISO
Internationalized Domain Names
- Root Zone Label Generation Rules (LGR)
- IDN Variant TLD Implementation
- LGR Toolset
- IDN ccTLD Fast Track
- IDN Implementation Guidelines
- Second-Level LGR Reference
- Resources
- Announcements and Blogs Posts
New gTLD Program
Universal Acceptance Initiative
- Make your systems UA-ready
- Universal Acceptance Steering Group (UASG)
- UA Training
- UA Day
- UA Readiness Evaluations
- Announcements and Blogs Posts
Policy
- Policy Mission
- Policy Staff Goals
- Presentations
- Global Addressing
- Policy Updates
Operational Design Phase (ODP)
Implementation
Public Comment
- Open
- Upcoming
- Archive
Root Zone KSK Rollover
Technical Functions
- Tech Day Archive
ICANN Locations
- Report Security Issues
- PGP Keys
- Certificate Authority
- Registry Liaison
- Ombudsman
I Need Help
- Dispute Resolution
- Domain Name Dispute Resolution
- Name Collision
- Registrar Problems
- Whois Data Correction
- Independent Review Process
- Request for Reconsideration
- Document

Часто задаваемые вопросы: проект ICANN по отчетности о случаях злоупотребления доменами (DAAR)

Страница также доступна на следующих языках:

Как национальные домены верхнего уровня (ccTLD) могут присоединиться к проекту DAAR?

Ниже описан порядок подключения к проекту DAAR желающих участвовать национальных доменов верхнего уровня (ccTLD):

ccTLD делает запрос, отправив письмо по адресу globalsupport@icann.org.
Сотрудники глобальной службы поддержки инициируют процедуру подтверждения запроса, отправив пару писем техническим и административным контактам в ccTLD по адресам электронной почты, которые были указаны в качестве контактной информации при регистрации ccTLD в Администрации адресного пространства интернета (IANA).
- После подтверждения запроса всеми сторонами, ICANN начинает процедуру получения файлов зоны, которая включает в себя технические мероприятия, в частности предоставление открытых ключей и настройку процесса передачи зоны DNS (AXFR).
Персонал ICANN помогает ccTLD получить доступ к API системы мониторинга ICANN (MoSAPI).
После настройки процесса передачи файлов зоны они передаются iThreat Cyber Group, подрядчику, обслуживающему систему DAAR. iThreat Cyber Group добавляет зону ccTLD к остальным входным данным DAAR.
После завершения процедуры подключения ccTLD и получения доступа к API системы мониторинга ICANN (MoSAPI), ccTLD будет получать два набора данных из системы DAAR:
- ccTLD будет ежедневно получать через систему MoSAPI статистику доменов зоны DAAR и оценки угроз безопасности каждого типа.
- ccTLD также будет получать персонализированные ежемесячные отчеты, которые представляют собой слегка уточненные версии общедоступных ежемесячных отчетов DAAR за исключением того, что в этих отчетах на графиках дополнительно выделяется информация по конкретной ccTLD и приводится статистика, относящаяся непосредственно к этой ccTLD. Эти отчеты не предназначены для общественности и предоставляются только конкретным ccTLD.

Примечания:

ccTLD могут подписать меморандум о взаимопонимании (MoU) с ICANN. Об этом ccTLD надо сообщить в первом письме в службу глобальной поддержки.
Файлы зоны ccTLD не передаются никаким другим лицам, кроме подрядчика DAAR, iThreat Cyber Group, и только для целей DAAR. Статистика угроз безопасности не видна никакой другой организации (ни gTLD, ни ccTLD).
За дополнительной помощью обращайтесь к д-ру Саманех Таджализадехуб, руководителю проекта DAAR, по адресу samaneh.tajali@icann.org.

Что представляет собой проект ICANN по отчетности о случаях злоупотребления доменами (DAAR)?

DAAR – это платформа для изучения регистрации доменных имен и поведения, связанного с угрозами безопасности (злоупотреблениями) в регистратурах и у регистраторов доменов верхнего уровня (TLD). Система состоит из двух основных компонентов:

Система сбора – собирает файлы зон каждого TLD, по которому у нас есть возможность получать данные, собирает данные о злоупотреблениях доменом из независимых источников сообщений об угрозах безопасности и соотносит угрозы безопасности с конкретными TLD.
Система администрирования с графическим пользовательским интерфейсом (GUI) – предоставляет табличную и графическую визуализацию регистрации доменов и злоупотреблений и отображает исторические данные. Графический интерфейс позволяет администраторам из числа персонала ICANN изучать действия, связанные с угрозами безопасности, и экспортировать данные для создания отчетов.

В совокупности эти две системы позволяют просматривать один или несколько дней из жизни служб регистрации доменов, включая случаи злоупотребления зарегистрированными доменными именами.

Почему корпорация ICANN разработала DAAR?

Попытки изучить злоупотребления доменными именами сегодня относительно распространены, но они часто ограничены:

Изучению злоупотреблений во всех общих доменах верхнего уровня и в динамике по времени посвящены немногие исследования.
В основном работа в этой области сконцентрирована на конкретном типе угроз безопасности, и в ее рамках не оценивается сразу несколько угроз безопасности.
Вероятно, наиболее важно то, что точные методологии и источники данных, используемые для этих исследований, часто не раскрываются общественности или регистратурам, поэтому результаты исследований не всегда воспроизводимы.

В ответ на множество неофициальных запросов от сообщества офис технического директора ICANN (OCTO) пришел к выводу, что сообществу ICANN было бы полезно иметь нейтральный, объективный, постоянный и воспроизводимый методологический набор анонимных данных, на основе которых можно было бы проводить анализ. Группа OCTO по безопасности, стабильности и отказоустойчивости (SSR) начала исследовательский проект по разработке системы для сбора очень большого объема данных о доменных именах в совокупности с большим набором высоконадежных потоков репутационных данных.

Какова цель DAAR?

Общая цель DAAR – информировать сообщество ICANN об угрозах безопасности, чтобы оно могло использовать эти данные для принятия обоснованных решений. В рамках этой концепции DAAR преследует множество конкретных целей:

Отслеживать репутацию TLD в области угроз безопасности на основе хорошо известных наборов репутационных данных об угрозах с динамикой по времени.
Содействовать усилиям по борьбе со злоупотреблением доменными именами, опубликовав методологию DAAR.
Делать возможным определение наличия угроз безопасности и предоставление сообщений о факте их наличия или распространенности в регистратуре.
Помогать регистратурам или регистраторам выявлять причины аномальной регистрационной деятельности.
Поддерживать меры сообщества ICANN по укреплению доверия потребителей.

Какие виды угроз безопасности отслеживает DAAR?

DAAR выявляет и отслеживает зарегистрированные доменные имена, связанные с четырьмя видами угроз безопасности:

Фишинг. Доменные имена, поддерживающие веб-страницы, маскирующиеся под надежную организацию, например известный бренд, интернет-магазин или государственное учреждение.
Вредоносное ПО. Доменные имена, которые способствуют размещению и/или распространению враждебного или агрессивного программного обеспечения, устанавливаемого в конечных системах, возможно, без разрешения пользователя.
Управляющий сервер ботнета. Доменные имена, используемые для идентификации хостов, управляющих ботнетами, которые представляют собой совокупность зараженных вредоносным ПО компьютеров. Эти компьютеры могут использоваться для совершения различных злонамеренных действий, таких как запуск DOS-атак, рассылка спама по электронной почте или фишинг.
Спам. Домены, которые рекламируются в незапрошенных массовых рассылках или используются для обозначения систем обмена спам-сообщениями. Термином «спам» теперь описывается не только незапрошенная массовая рассылка электронной почты; спам стал основным средством доставки идентификаторов (доменных имен, гиперссылок или адресов), используемых для поддержки вышеперечисленных угроз безопасности.

Как DAAR собирает данные об угрозах?

DAAR работает не сама по себе. Система не генерирует данные об угрозах. Она полагается на открытые или коммерческие источники данных о репутации для выявления и классификации четырех типов упомянутых выше угроз безопасности. Поставщики репутационных потоков данных, которые использует DAAR, соответствуют нескольким критериям: точность, охват, принятие отраслью и способность потока классифицировать события по классам угроз безопасности, которые отслеживает DAAR.

Если в отношении домена указано две или более типов угроз, он попадает в каждую соответствующую категорию угроз. При этом в суммарном перечне доменов, в которых наблюдаются угрозы безопасности в портфеле того или иного TLD или регистратора, а также для целей подсчета оценок эти домены засчитываются только один раз.

Какие репутационные данные использует система DAAR?

Мы считаем, что полезно собирать те же данные об угрозах безопасности (злоупотреблениях), которые получают отрасль и интернет-пользователи. Системы безопасности, такие как шлюзы или брандмауэры для защиты от нежелательной почты или вредоносного ПО, которые защищают миллиарды пользователей, используют эти данные в качестве составляющей мер по борьбе с угрозами. Таким образом, DAAR отражает то, как пользователи и сообщества сетевых операторов видят экосистему доменных имен через призму данных об угрозах.

DAAR использует большое количество репутационных потоков; см. список потоков и поставщиков в конце этого раздела вопросов и ответов, чтобы узнать, какие потоки используются на дату написания этой статьи. В совокупности эти потоки предоставляют несколько источников данных об угрозах безопасности, которые DAAR может измерить или проанализировать. Система DAAR была разработана таким образом, чтобы ее можно было расширить, чтобы, в свою очередь, обеспечивать высокое качество данных и возможность оценивать угрозы безопасности, которые сообщество ICANN может выявить в будущем. Следовательно, потоки данных от провайдеров услуг проверки репутации доменов могут со временем добавляться или удаляться.

Насколько надежны данные DAAR?

На данный момент DAAR использует две категории данных: данные зоны и репутационные данные.

DAAR ежедневно собирает данные о зонах TLD, используя централизованную службу данных ICANN и/или предоставляя их напрямую в рамках соглашений с операторами TLD. Данные о зонах, доступность которых предусмотрена договором для доменов верхнего уровня общего пользования (gTLD) и которые добровольно предоставляются национальными доменами верхнего уровня (ccTLD), как правило, передаются один раз в день. Таким образом, DAAR не видит изменения зоны после ежедневного выпуска данных зоны до следующего дня.

DAAR собирает данные о репутации от поставщиков, которые были отобраны из-за того, что имеют репутацию источников достоверных данных (т. е. в сообществе операционной безопасности практически полный консенсус относительно их принятия). Провайдеры должны иметь четко определенные процедуры добавления и удаления выявленных доменных имен из своих потоков. Еще одним критерием отбора является повсеместность использования потока научными кругами в исследовательских работах и диссертациях, и отраслью в продуктах и услугах. Наконец, потоком данных должна поддерживаться хотя бы одна из четырех классификаций угроз безопасности, отслеживаемых DAAR. Мы разрабатываем более надежную методологию оценки (отбора/удаления) потоков, которая будет опубликована в ближайшем будущем.

Насколько актуальны данные?

Данные, используемые DAAR, обновляются каждый день. Данные о количестве доменов собираются каждый день из свежих файлов зоны TLD. Некоторые операторы регистратур предоставляют доступ к файлу корневой зоны только на ограниченный период времени, а потом право на доступ необходимо получить заново, что иногда создает пробелы. Провайдеры услуг проверки репутации доменов постоянно добавляют домены в свои списки. Система собирает эти обновленные данные от каждого поставщика по несколько раз в день. У каждого провайдера также есть процедура удаления доменов из своих списков, и эти факты удаления отслеживаются и учитываются в DAAR. Как правило, провайдеры указывают каждое доменное имя в своих списках пока считают домен проблемным, затем удаляют его. Доменное имя может отображаться как в течение нескольких минут, так и в течение месяцев, в зависимости от политики и критериев провайдера.

Есть несколько списков, в которых не отслеживается статус злоупотреблений и, следовательно, в них отсутствуют метки «удалить». Одним из примеров является поток данных по фишингу Антифишинговой рабочей группы (APWG). Это список недавно подтвержденных идентификаторов фишинга, но APWG не отслеживает, какие сайты работают, а какие нет. Так как мы стремимся быть консервативными в своих суждениях, при указании домена в потоке APWG, мы учитываем этот домен как «внесенный в список» или «активный» только в течение одного дня.

Обнаруживает ли DAAR все случаи угроз безопасности в DNS?

Нет. Система DAAR собирает данные об угрозах безопасности от множества провайдеров услуг проверки репутации доменов. Однако эти провайдеры не делают заявления о том, что видят или указывают все угрозы, существующие в Интернете. Поэтому мы подчеркиваем, что DAAR обеспечивает базовое измерение и что количество угроз безопасности, связанных с доменными именами, больше, чем число, зафиксированное системой. Пользователи данных DAAR должны исходить из того, что предоставляемая статистика является подмножеством проблемы угрозы безопасности в TLD.

Фиксирует ли DAAR исключительно домены, зарегистрированные злоумышленниками?

Нет. В целом большинство провайдеров услуг проверки репутации доменов не могут однозначно приписывать намерения субъектам, регистрирующим доменные имена. Аналогичным образом DAAR вряд ли знает мотивы регистрации доменных имен. DAAR полагается на провайдеров услуг проверки репутации доменов, которые используют современные средства обнаружения угроз безопасности. Потоки данных некоторых провайдеров также могут содержать доменные имена, чей хостинг-провайдер был взломан, что привело к использованию домена в злонамеренных целях. Мы разрабатываем методологии, позволяющие различать эти два типа доменов.

Как DAAR борется с ложными результатами в репутационных данных?

Данные независимой проверки показывают, что количество ложных результатов среди выбранных нами списков невелико. DAAR не модифицирует данные, поступающие из репутационных потоков, поэтому, если потоки содержат ложные данные, они отражаются в выходных данных DAAR. Многие стороны полагаются на эти репутационные потоки — например, поставщики услуг электронной почты, поставщики интернет-услуг и операторы резолверов, поэтому все случаи ложного срабатывания влияют на экосистему доменных имен независимо от того, как DAAR сообщает о них. Таким образом, работа в рамках системы DAAR над дальнейшим сокращением количества случаев ложного срабатывания может привести к появлению противоречивой или ложной информации с точки зрения воздействия фиксируемых угроз безопасности на эти стороны. Группа ICANN по SSR постоянно следит за качеством данных. Следовательно, потоки данных могут добавляться или удаляться на основе оценки качества, выполненной членами группы SSR, или на основе отзывов сообщества.

У кого будет доступ к DAAR?

Только персонал ICANN и разработчики, работающие по контракту, имеют доступ к DAAR непосредственно через административный интерфейс. Регистратуры теперь могут иметь доступ к своим данным через систему SLAM ICANN. За дополнительной информацией по этому вопросу обращайтесь по адресу Gustavo.Lozano@icann.org.

Команда OCTO по SSR будет работать с сообществом ICANN над определением наилучшего способа обмена статистикой и результатами анализа, полученными на основе данных, которые собирает DAAR.

Как связаны DAAR и инициатива «Открытые данные»?

Инициатива «Открытые данные» – это обобщающий термин для обозначения усилий, направленных на облегчение любому доступа к данным, которые создаются или курируются корпорацией или сообществом ICANN. DAAR использует данные из общедоступных, открытых и/или коммерческих источников. Данные зоны DNS и регистрационные данные WHOIS находятся в открытом доступе. Некоторые источники репутационных данных имеют открытый исходный код, а некоторые являются коммерческими потоками, требующими лицензии или подписки. Для некоторых коммерческих потоков условиями лицензирования дозволяется производное, но не прямое использование. В случаях отсутствия ограничений на распространение данных, связанных с DAAR, эти данные и анализы будут периодически публиковаться и включаться в материалы инициативы «Открытые данные».

Какую роль будет играть DAAR в отношении политик ICANN?

Цель DAAR – предоставлять проверяемые и воспроизводимые данные для облегчения работы над анализом данных, который может быть полезен при принятии обоснованных решений в сфере консенсусной политики. DAAR отображает совокупность данных о репутации доменных имен, которые сообщество по операционной безопасности видит, фиксирует и использует. Сообщество ICANN должно определить, следует ли использовать отчеты, полученные на основе данных DAAR, при обсуждении политики, и каким образом это делать.

Каким образом DAAR попадает в сферу компетенции ICANN?

Для того, чтобы ICANN могла помогать обеспечивать безопасность и стабильность верхнего уровня системы уникальных идентификаторов Интернета, которую она координирует в соответствии со своей миссией, как корпорация, так и сообщество ICANN должны знать об угрозах этой системе. В соответствии с требованиями ICANN к открытости и транспарентности, организация должна, насколько это возможно, делать данные, которые мы собираем, доступными для сообщества. Наконец, роль корпорации ICANN в целом и офиса технического директора в частности заключается в предоставлении нейтральных, беспристрастных данных и анализов, призванных помогать при проведении дискуссий и ведении деятельности в области разработки политик.

Как я могу внести вклад в DAAR?

Список провайдеров услуг проверки репутации доменов и потоков данных

По состоянию на июль 2017 года в DAAR используются следующие блок-листы.

Блок-лист доменов Spamhaus (DBL). Домены, рекламируемые в спаме, домены, используемые для фишинга, и домены, используемые для поддержки вредоносного ПО.
SURBL. Домены, рекламируемые в спаме, домены, используемые для фишинга, и домены, используемые для поддержки вредоносного ПО.
Антифишинговая рабочая группа. Заблокированные URL-адреса: домены, используемые для фишинга.
Phishtank. Домены, используемые для фишинга.
Malware Patrol. Домены, используемые для поддержки вредоносных программ. Кроме того, Malware Patrol включает данные из следующих блок-листов вредоносных доменов:
- SpamAssassin
- Carbon Black Malicious Domains
- Squid Web Proxy
- Smoothwall
- Symantec Email Security for SMTP
- Symantec Web Security
- Firekeeper
- DansGuardian
- Ransomware URLs
- Botnet C&C server IPs
Ransomware Tracker. Серверы управления ботнетами вредоносного ПО.
Feodotracker. Домены, используемые для поддержки вредоносного ПО.