整个域名应该总是被列入黑名单吗？

Question

我正在为一个企业网络安全产品工作，我们正在实现白色/黑名单作为程序的一部分。我们有从第三方来源获取的列表，但是没有人记得这些列表是如何生成/编译的。列表包含完整域的条目，例如foo.com，但也包含许多域相同但子域不同的条目，例如abc.bar.com、xyz.bar.com等等。

这就引起了我们的思考:是否有理由将某一领域的某些子域而不是整个领域列入黑名单？这对我们来说是一个重要的问题，因为它将影响我们如何设计列表检查逻辑:整个查询是否需要匹配列表中的整个条目才能标记为黑名单？还是只需要注册域(SLD.TLD)与列表中任何条目的注册域匹配？

我们试图找到关于这方面的文献，但没有结果。

Answer 1

是否有理由将某个域的某些子域列入黑名单，而不是整个域？

是。例如，像http://000webhost.com这样的免费域托管服务将为用户提供一个域地址(如PICKYOURSUBDOMAIN.abc.com )。在这里，使用免费web托管服务的用户可以为子域选择自己的名称，并且多个用户共享abc.com。

恶意用户M现在可以在malicious.abc.com上托管一个钓鱼页面，您需要将它列入黑名单。然而，另一个用户可能在同一域名的legit.abc.com上托管一个完全合法的网站。因此，阻止malicious.abc.com比abc.com更有效。

Answer 2

当查看域时，整个字符串匹配更有意义。如果不这样做的话，想想这些陷阱吧。如果黑名单上写着阻止abc.amazonaws.com，那么阻断整个Amazon服务可能对业务不利。

类似地，基于动态DNS的域在构建黑名单时提供了另一个难度。众所周知，僵尸网络和恶意操作员使用动态DNS提供程序承载其服务器。然而，并不是此类提供程序的所有子域(例如*.dyndns.org)都是恶意的。然而，在这种情况下，您可以采取主观的方法。如果您不期望网络中的主机与动态DNS提供程序进行一般通信，则可以阻止这样的域。