zh

攻击途径:域名系统安全协调计划技术研究组最新资讯

2020 年 12 月 18 日

Merike KäoMerike Käo, ICANN Board Member

在过去的几个月里,域名系统安全协调计划技术研究组 (DSFI-TSG) 讨论了以前利用或直接影响域名系统 (DNS) 的各种数据外泄和攻击活动,以此推动了相关研究工作取得进展。本次调查的主要目的是列举出所有被利用的攻击途径,进而深入了解潜在的共性。我们正在考虑的一些问题包括:是否某种攻击途径被利用的频率要高于其他攻击途径,以及哪些攻击途径对 DNS 生态系统的安全性影响最大。

下面列出了我们正在讨论的攻击途径(可能并不全面),包括:

  • 注册人凭证泄露
  • 注册服务机构/分销商凭证泄露
  • 注册管理机构凭证泄露
  • 对访问的控制力度不够
  • 不安全的第三方网络
  • 仿冒权威域名服务器
  • 仿冒递归解析器
  • 使用 DNS 作为隐避信道
  • 使用 DNS 作为数据渗漏
  • 拒绝服务
  • DNS 缓存投毒

许多恶意活动利用了多种攻击途径。DSFI-TSG 研究组在不断对每种攻击途径展开研究的过程中,还在深入探索关于潜在缓解技术的问题。具体来说,我们正在探索针对每种攻击途径存在哪些缓解技术;在缓解技术部署方面是否存在技术、操作或流程方面的差距;以及哪些攻击途径还不存在缓解技术。

随着这项工作的持续进行,我们的目标是开始制定 DSFI-TSG 章程中关键问题 1、2 和 4 的答案:

1. 目前在应对 DNS 安全性方面有哪些可用的机制或职能?

2. 我们是否能够识别目前在 DNS 安全性格局中有哪些最为严重的差距?

a) 需要满足哪些技术要求才能弥补这些差距?

b) 需要制定、修改、推广或实施哪些运营方面的最佳实践才能弥补这些差距?

c) 部署最佳实践和其他技术措施存在哪些障碍?

4. 这些差距会带来哪些我们还无法很好理解的风险?

a) 需要考虑哪些风险因素?

b) 对 DNS 生态系统的威胁模型的了解存在哪些差距?

c) 人们需要注意哪些外部因素?

DSFI-TSG 成员和 ICANN 组织支持人员认识到,如果不召开面对面会议,开展这项研究工作将面临持续挑战。研究组的工作方式是每两周召开一次一小时的会议,并辅以每月举办一次时长为三小时的在线工作坊。您可以通过我们的网页关注我们的工作进展。我要感谢所有 DSFI-TSG 成员和 ICANN 组织支持人员,感谢他们一直以来为这项工作做出的贡献。

Merike Käo
Merike Käo
ICANN Board Member

Merike Käo

Read biographyRead biography