簡介ICANN網域濫用活動通報系統

DAAR計畫之目的

ICANN 的網域濫用活動通報系統（Domain Abuse Activity Reporting System, 簡稱DAAR）是ICANN網路識別系統安全、穩定與靈活性（Internet Identifier System Security, Stability, and Resiliency）計畫的一部分。DAAR是研究TLD（頂級域名）的registries（註冊管理機構）及registrars（受理註冊機構）的域名註冊及安全威脅（域名濫用）行為通報的一個系統。DAAR首要目的是向ICANN社群通報安全威脅活動，讓ICANN社群可以使用這些資料來改善域名註冊政策，利用該通報系統整合開放註冊之新gTLD、傳統gTLD及ccTLD中，找出與網路安全威脅有關的域名主要是登記於哪些註冊管理機構及受理註冊機構、註冊比例有多高與ICANN政策可作出哪些相對應的調整。

四類安全威脅之域名

DAAR預計辨識並追蹤與安全威脅類別相關的域名，共計分為以下四類：

1.    網路釣魚域名（Phishing domains）：用於識別偽裝成可信賴實體（如銀行或線上商家）的網頁域名。網路釣魚通常與財務欺詐有關，但它也用於竊取身份、域名註冊帳戶、個人電子郵件、電子郵件通訊錄等。
2.    惡意軟體域名（Malware domains）：用於託管或傳播惡意或侵入式軟體的域名，通常在用戶不知情的情況下安裝。與惡意軟體感染相關的統計資訊，通常包括特洛伊木馬軟體、rootkit、勒索軟體及其變體等。
3.    殭屍網路命令和控制域名（Botnet Command-and-Control ）：用於識別控制一組受感染機器（稱為殭屍網路）與這些機器的控制器之間通信主機的域名。殭屍網路經常用於DOS攻擊、傳輸垃圾郵件以及控制大量客戶端來實施攻擊。
4.    垃圾郵件域名（Spam domains）：用於支持垃圾郵件傳遞基礎架構的域名，垃圾郵件域名主要從電子郵件正文或附件中的URL中選取（例如，在Adobe PDF或Microsoft Office文檔中），以識別有害或欺詐性網站或內容。如果可以確定電子郵件中的發信人域名是惡意的，那麼這些域名也會被計為垃圾郵件域名。

資料收集

DAAR系統收集及使用三類資料，包括域名區域資料（zone data）、域名註冊資料（registration data）、域名信譽資料（reputation data），其設計運算邏輯為從信譽資料找出安全威脅域名，利用此域名查詢Whois之註冊管理機構及受理註冊機構，進而透過其對應之zone data資料，進行彙整分析，以得出各項報告資料。DAAR每天使用ICANN的集中區域資料服務所收集的TLD區域資料，這些是透過與TLD運營商的協議直接提供。區域資料（gTLD按合約規定提供使用，ccTLD則自願提供）通常每天提供一次。域名註冊資料則來自註冊管理機構和受理註冊機構提供的Whois服務，DAAR系統不驗證註冊資料的有效性或準確性。信譽資料則來自於資安行業信譽供應商（資安社群幾乎一致採用的開放方式），供應商必須有明確定義的流程，可以在匯入時識別域名，且必須支持DAAR追蹤的四種濫用分類中的至少一種。DAAR使用的安全威脅資料符合以下幾個標準：準確性、覆蓋範圍、行業採用以及匯入將事件分類為DAAR追蹤的安全威脅類型的能力。以下是DAAR系統中目前使用的信譽資料來源的完整列表：

1.        Spamhaus Domain Block List（DBL）: 包括垃圾郵件廣告、網路釣魚、惡意軟體及Botnet命令和控制（Command and Control）的域名列表。
2.        SURBL：垃圾郵件廣告、網路釣魚及用於支持惡意軟體的域名。
3.        Anti-Phising Working Group：網路釣魚的域名。
4.        Phishtank：網路釣魚的域名。
5.        Malware Patrol （惡意軟體巡邏）: 通報支持惡意軟體的域名。

2019年1月統計數據之重點

DAAR系統目前僅開放給ICANN工作人員使用，並於ICANN網站上從2019年1月起，按月發布統計資料。2019年1月份公布的資料彙整如下:

截至2019年1月31日，DAAR系統收集了1,153個通用頂級域名（gTLD）所解析出近2億個（193,080,798）域名，357個gTLD中至少有一個安全威脅。被識別為安全威脅的域名並非在報告分析的gTLD中均勻分佈，對於新gTLD 中的25個即佔88％安全威脅，傳統gTLD其中4個即佔94％的安全威脅域名，如圖1所示。但該報告並未公布是哪25個新gTLD和哪4個傳統gTLD的域名。

圖1. gTLD安全威脅域名的累積分佈圖

在個別安全威脅的類別方面，垃圾郵件域名佔89.1%，網路釣魚域名佔7.3%，惡意軟體域名佔3.2%，殭屍網路命令和控制域名佔0.4%，如圖2所示。

圖2. 安全威脅類別百分比分布圖

在安全威脅域名佔所有正常域名解析比率方面，2019年1月1,153個 gTLD的所有註冊域名當中約有0.58%有濫用（四種安全威脅中的一種），其中新gTLD及傳統gTLD的比率趨勢如圖3所示。在各安全威脅類別域名之百分比趨勢方面，網路釣魚域名約為0.03%~0.04%間。惡意軟體域名約為0.01%~0.02%間，垃圾郵件域名約為0.4%~0.65%間，殭屍網路命令和控制域名約為0.01%~0.02%間。因為收集分析期間尚短，上升或下降之趨勢並不明顯。

圖3. 安全威脅域名百分比趨勢分布圖

目前DAAR系統已經正式運作，惟仍處於運作初期，所提供月報項目及內容仍相當粗略，且並未實際公開揭露那些具安全威脅的實際TLD註冊管理機構及受理註冊機構，亦未開放查詢介面提供社群直接查詢。但DAAR系統的匯入資料，包括第三方的信譽資料，隨著收集累計時間愈來愈長、資料愈來愈齊全後，將可更精準掌握具安全威脅域名的註冊狀況，對未來ICANN調整域名註冊政策，以及提供網路社群防止域名濫用方面，一定會有很大的幫助。

參考資料：

1. ICANN Domain Abuse Activity Reporting
2. Domain Abuse Activity Project Report ICANN 59, June 2017
3. January 2019 DAAR Monthly Report
4. Frequently Asked Questions: ICANN’s Domain Abuse Activity Reporting （DAAR）Project

Photo created by rawpixel.com