Google封锁整个co.cc子域只能临时止血难以长治久安

作者：Martin Roester（趋势科技信息安全威胁研究总监）

作为保护用户的方法， Google最近从它的搜索结果中删除了CO.CC子域下的所有网站。但从长远的角度看，我们并不认为这是一个好的解决方案。

封锁co.cc子域名，只算是短期快速止血方案

根据趋势科技对恶意网站和网络犯罪活动的研究和监控，我们知道一个事实：所有主要的网络犯罪分子都已经从*.co.cc域名改为使用其他类似的子域，例如*.rr.nu或*.co.tv。这些子域被滥用的程度正在急速上升中。网络犯罪分子从一个子域跳转到另一个，这是非常常见的手法，以确保他们通过黑帽搜索引擎优化方式传播假杀毒毒软件的把戏，以及其他通过网站实现的攻击都能继续有效。

下面列出我们在特定子域所发现的恶意网址数量，从中可以看出，为什么封锁*.co.cc域名只是一个短期，快速止血的解决方案：

而且，如果我们将目前主要的黑帽搜索引擎优化攻击方式的感染链画出来，你就会发现，恶意子域更常被用在第二、第三，甚至第四次的跳板或重定向网址中。而入口网页，也就是实际上被搜索引擎索引到的页面，其实很少会使用*.co.cc。因此封锁它们是没有意义的。

最近ICANN的决定，增加几乎无上限的新顶级域名，这一决定会在不久的将来让问题变得更加复杂。另外ICANN还要求，任何组织要想成为顶级域名注册商，需要先存入一定数量的钱以获得认证。以我们对网络罪犯思考模式的了解，这无异于公开邀请网络犯罪集团来进行洗钱活动，他们是有能力也有动机完全营运一个恶意顶级域名的。

长期来看，那我们怎么办？

我们是否应该开始封锁IP地址呢？答案是否定的，因为过于庞大的IPv6地址空间，这种方法的可行性太低。难道我们只能专注在封锁恶意软件吗？从现在信息安全产业的状况我们也知道，光靠这点是不够的，原因是有层出不穷的恶意软件。唯一对用户真正实用的解决方案，是多层次的保护，结合了电子邮件、网页和文件信誉评等技术来关联出恶意组件，就像主动式云端杀毒服务，它让用户可以参加一个世界性的“守望相助”活动，并让每个人从中获益。

另一方面，我们也相信Google能够通过和顶级域名注册商的合作，例如*.tv或*.cc，制定战略让黑暗域名注册者的日子更难过，以真正持久地保护用户，并帮助打击网络犯罪。例如，Google在全球网络搜寻中所看到的大量信息让他们可以获得足够的证据，以影响域名注册商，并向其施压，以关闭有恶意活动的子域。这将会更加有效，而不只是单纯地限制用户访问整个域名，因为我们知道，网络犯罪分子会直接选择跳离这个子域（他们已经这样做了）。而且这种作法也不合理地侵害了合法使用此类域名的人的权益。

＠原文出处：Google’s Decision to Ban an Entire SLD Is a Paper Tiger

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro