NetBeacon 研究所的这份白皮书阐述了一系列范围缩小、目标明确、以结果为导向的重点关注 DNS 滥用处理和预防的具体可行方案。 制定这份白皮书的目的是通过提供一系列切实可行且有效的方法来减少 DNS 滥用,从而促进 ICANN 社群的讨论。 一、背景与问题核心
01DNS滥用现状
1)恶意规模化:
恶意攻击者利用域名注册商给下属代理商不受限制的API接口,可在几分钟内注册大量的域名,从而实现大规模的网络钓鱼、短信钓鱼、僵尸网络攻击,形成“域名批量注册 到 批量滥用 到 过期放弃”的链条。
2)治理断层:
随着DNS滥用措施在二级域名上变得更加有效,恶意攻击者已经转向到子域名滥用(三级域名),这一变化给DNS生态系统带来了严峻挑战,注册商及注册局缺乏工具或权限,无法直接处理发生在子域名(三级域名)上的滥用行为,如果注册商或注册管理机构因为子域名的滥用而暂停二级域名,则有可能禁用数千甚至数十万个合法子域名以及任何连接这个子域名的服务或基础设施,造成巨大的附带损害。如:2025年6月5日aliyuncs.com域名被强制转移并停止访问,就是子域名被滥用而暂停二级域名带来的影响。
3)协调效率低下:
当执法部门或国家计算机应急响应小组 (CERT) 使用域名生成算法 (DGA) 检测到恶意软件或僵尸网络操作时,恶意域名通常分布在多个注册机构中,必须逐个联系每个涉案注册管理机构,这可能导致响应碎片化,延迟且不一致,影响巨大。
4)权利失衡:
注册商可单方面暂停域名,但合法注册人(尤其因网站被黑涉滥用者)缺乏异议渠道。域名滥用导致的域名暂停有时会受到注册人的质疑,尤其是在决定基于有限或不完整信息的情况下。然而,整个域名行业并没有统一的标准,要求注册服务机构或注册管理机构必须提供追索流程。很多情况下,即使造成了合法损害,注册人也无法表达自己的观点。
02政策真空
现行协议缺陷:
犯罪分子通常会注册大量恶意域名,以便大规模地发起协同式网络钓鱼或恶意软件攻击活动。《注册商认证协议》 (RAA) 目前仅要求注册商在收到滥用报告后评估单个域名。即使其中一个域名被标记为滥用,注册商目前也没有义务检查其他相关域名,这可能导致大多数恶意活动仍然活跃且不被发现。许多负责任的注册商已经“转型”并开展关联域名检查,但这需要所有注册商都采取类 似的行动。
ICANN RAA 3.18条款仅要求处理单个被举报域名,无法应对协同攻击。
ICANN合规性执行的滥用相关条款的示例:
ICANN基本注册协议,规范11 3(a):
注册运营商有义务在与注册商的协议中加入一项条款,即注册商与注册人的协议,禁止注册人从事某些活动,并要求注册人对此类活动产生后果,包括暂停域名。ICANN合规可以并且确实对未能在与注册商的协议中包含所需条款的注册运营商采取直接执法行动。
ICANN基础注册协议,规范11 3(b):
注册运营商需要定期进行技术分析,以评估其gTLD中的域是否被用于实施安全威胁,如制药、网络钓鱼、恶意软件和僵尸网络。此外,注册运营商必须维护关于已确定的安全威胁数量的统计报告,包括因协议期限内定期安全检查而采取的行动,并应要求向ICANN提供这些报告的副本(基础注册协议,规范11 3(b))
ICANN RAA第3.18条,注册商必须:
采取合理和及时的措施,对域名滥用投诉进行调查并做出适当的回应;审查执法部门、消费者保护、有关政府或其他类似当局提交的有根据的非法活动报告(定义在RAA中);以及公开显示滥用联系信息和滥用投诉处理程序,以便让用户知道如何向注册商提交滥用投诉以及如何处理这些投诉。
二、五个建议的深度解析
侵权域名从“单点响应”升级为“集群打击”
操作流程:
1)确认域名A为滥用域名
2)检查同账户/邮箱关联域名B/C/D
3)若发现有域名滥用问题则按RAA 3.18一并处理
数据支撑:ICANN研究显示43%钓鱼域名属批量注册。
02API访问验证机制
将批量注册能力从默认权利变为需验证的特权。
实施规则:
客户类型为新客户,访问条件:等待审核,如历史域名无滥用记录的可以批准开通;
客户类型为现有客户,访问条件:如果确认有滥用行为,则暂停API访问权限;
关键数据:开放API的注册商恶意域名激增401%(INFERMAL报告)
03子域名责任链
破局策略:通过合同义务间接治理子域名(三级域名)
注册人强制义务:
1)公开滥用举报渠道
2)服务条款禁止子域名滥用
3)响应并处理投诉
背景信息:子域名钓鱼攻击占比2年翻倍(2021年12% → 2024年24%)
04注册人追索权
最小化公平流程:
1)注册人提交证据
2)注册商评估
3)决定维持/撤销暂停
重要限制:
1)不适用于法院命令的暂停
2)不强制恢复域名,仅保障程序正义
05ICANN协调快速响应
中心辐射模型:
1)执法部门联系并提交到ICANN(中心枢纽)
2)同步通知多注册局
3)在ICANN协调下统一行动
效率对比:
传统模式:特定的Avalanche僵尸网络需每年重复联系40+注册局
新机制:ICANN一次协调完成安全响应弃权SRW豁免通知
https://www.icann.org/zh/contracted-parties/registry-operators/services/security-response-waiver-requests
三、提案的战略价值
漏洞类型与对应策略
类型:批量注册滥用,对应策略:API访问验证和关联域名检查
类型:子域名失控,对应策略:子域名义务
类型:DGA响应碎片化,对应策略:ICANN统一协调下统一行动
类型:注册人权利缺失,对应策略:注册人追索权
02分层防御体系构建
防御层级及作用
预防层:API访问验证,作用:提高侵权犯罪成本
检测层:关联域名检查,作用:扩大响应范围
响应层:子域名强制义务,作用:精准清除威胁
修复层:注册人追索权,作用:减少误伤
四、关键挑战与未决问题
隐私 vs 安全:关联域检查需分析用户数据,可能抵触GDPR
全球公平性:API验证或阻碍新兴市场中小企业合法批量注册
02执行盲区
子域名义务依赖合同传导,ICANN无直接执法权。
DGA协调要求ICANN建立安全响应能力,超出传统技术角色。
03概念模糊性
需明确定义:
1)“关联域名”是用什么标准来定义? 账号ID、邮箱、付款方式?
2)关于新客户短时间注册大量域名“可信度”阈值是?哪些是正常客户的注册行为?
3)注册服务机构和注册管理机构是否应被要求接受和评估注册人对暂停决定提出异议而提供的合理且可操作的支持证据,注册人的追索“合理证据”标准是什么?
五、结论:政策演进里程碑
01核心突破
从原则讨论转向可操作机制,首创“轻量级政策工具包”:5个模块化建议可单独/组合实施。
02模式创新
激活合同杠杆:通过RAA义务调动注册商、注册局参与(非强制监管)
ICANN角色升级:从域名管理者变为安全协调中心(尤其DGA场景)
后续成功关键:ICANN社群需细化安全/隐私/商业可行性的平衡规则
【数据来源】
1. ICANN《恶意注册域名分析(INFERMAL)》(2024)
https://interisle.net/insights/phishing-landscape-2024-an-annual-study-of-the-scope-and-distribution-of-phishing
2. Interisle《2024年网络钓鱼形势报告》
3. GNSO DNS滥用小组报告(2022)
4. 安全与稳定性咨询委员会SAC115(2021)
注:全文基于NetBeacon白皮书《关于PDP的提案:DNS滥用》(2025年5月)
北京中域智科国际网络技术有限公司,致力于为国内品牌百强企业提供域名、商标、版权专业的服务提供商,全面解决百强企业线上品牌保护和安全。公司汇集全球商标、版权、域名资深专家顾问,在北京、贵州、香港、杭州、深圳设有分公司和办事处,为中国百强企业提供一站式品牌保护的服务,众多的中国百强品牌采用中域智科的品牌管理服务。
中域智科自有研发的在线管理平台-品牌云钓鱼假冒监控系统,为客户提供一站式的知识产权服务,包括域名查询、域名注册及管理、域名监控、品牌库管理及品牌监控与处理等,通过对全球商标及全球域名的大数据库和自有算法监测分析,为权利人提供准确、快速、全面的数据分析报告,并可及时、精准的打击并处理侵权域名及侵权信息。
