2019年2月22日，大家公布了《ICANN号召全面部署推动域名系统安全性拓展(DNSSEC) 提高域名安全性》一文。今日为相互配合该文，大家编写了一份“疑难问题与解释”，供有兴趣爱好的阅读者进一步掌握有关状况。

问：为何 ICANN 选择现在发布消息？
答：从新闻媒体和安全性专业人员给出的报告单中，ICANN 早已认识到 DNS 正遭到攻击。 因而，大家觉得必须采取一定的有效措施，根据发布消息确保 ICANN  
社群营销和一般vip会员群众掌握局势的详细情况。这类作法合乎大家本身的重任，即，确保域名系统 (DNS) 的安全系数和可靠性。

问：DNS 遭到了哪一种种类的攻击？
答：公共性汇报强调，有些人正采用多种多样方式执行多方位的攻击。在其中一些攻击是对于 DNS  
的。根据对域名受权构架开展非受权变更，造成一些服务器详细地址被换成由攻击者所控 制的电子计算机详细地址。对于 DNS 的这类特殊种类的攻击，仅在未布署域名系统安全性拓展  
(DNSSEC) 技术性的情形下才可以充分发挥杀伤力。

问：攻击主题活动的背后主谋到底是谁？
答：相关攻击主题活动的背后主谋存有着互相矛盾的报道，并且通常难以实际明确控制该类攻 击的真真正正行为主体。

问：稽查组织是不是正在调查攻击主题活动？
答：公共性汇报强调，好几个我国或区域的稽查组织和国防安全组织已对攻击主题活动进行调研。与此同时，互联网技术社群营销（域名系统技术工程师、网络信息安全权威专家以及他相关的人员）也正积极主动勤奋，以明确所运用的攻击种类。她们还帮助受影响的机构加强系统。

问：ICANN 系统是不是遭受攻击？
答：沒有征兆表明 ICANN 系统遭受攻击。为慎重考虑，大家早已对 ICANN 系统开展了全方位审批。

问：是不是有一切根服务器遭受攻击？
答：沒有征兆表明一切 DNS 根服务器遭受攻击。ICANN 早已联络了根服务器系统资询联合会 (RSSAC)，规定其与根服务器营运商沟通交流，以确定沒有DNS  
根服务器遭受攻击。目前为止，大家沒有得到一切根服务器营运商发送的已检验到伤害的通告。

问：遭到攻击的风险性有多大？有多少域名不是可靠的？
答：一部分攻击运用了已遭病毒感染的密码。我们无法了解也有是多少密码已遭感柒。因而，大家再度号召 DNS  
绿色生态系统内的全部方：尽量应用强密码并按时变更，切忌在好几个网站中多次重复使用同样密码，与此同时尽量地应用多种因素认证。

问：攻击主题活动可能在什么时候停止？
答：虽然大家不清楚攻击主题活动是不是仍在继续，可是大家觉得风险性不断存有。大家提议所 有机构尽量提升线上安全系数，包含执行域名系统安全性拓展 (DNSSEC)  
技术性（假如还未实施得话）。

除此之外，全部机构还应确保她们的域名管理方法应用强凭据，并审批系统是不是存有遭到感柒或伪造等的征兆。已公布的结果报告显示，这一系列的攻击主题活动最开始起源于2017年。

问：ICANN 是不是有具体办法？
答：有。ICANN 在 2019 年 2 月 15 日公布了一份核查明细，虽然此明细没法包含理应执行以确保系统安全性的全部对策：
1.确保全部系统的安全更新均已获得审批和运用；
2.审批没经认证的系统浏览主题活动的日志文件，尤其是管理人员的浏览；
3.审批对管理人员（“根”）浏览的内控制度；
4.认证每条 DNS 纪录的一致性，及其这种纪录的变动纪录；
5.应用充足繁杂的密码，尤其是提升密码的长短；
6.确保不与别的用户分享密码；
7.确保始终不容易以密文方式储存或传送密码；
8.确保按时变更密码；
9.实行密码锁住对策；
10.确保DNS区纪录均已得到 DNSSEC 签字，且您的DNS在线解析可以实行 DNSSEC 认证；
11.最好是可以确保全部系统均选用多种因素认证，尤其是对于管理人员的浏览；
12.最好是能确保您的电子邮箱域选用合乎SPF 和/或 DKIM规范的DMARC对策，且您能在自身的电子邮箱系统中实行别的域给予的这种对策。

问：执行 DNSSEC 是不是有利于维护终端用户安全性？
答：是，执行 DNSSEC 有利于维护客户免受特殊种类的攻击。

一些用以初始化攻击的系 统应用了受 DNSSEC 维护的域名，该类DNS区的使用者确认，应用 DNSSEC 有利于抵挡攻击。