Defaults.Exposed

Defaults.Exposed › Aruanded

Domeeni- ja DNS-kaaperdamine: kuidas domeene varastatakse ja kuidas enda oma lukustada (2026)

Avaldatud 2026-07-01

Arvandmed seisuga 2026-06-29 · metoodika v7. Koondloendus 261 miljoni hinnatud domeeni kohta. Kaaperdamine tähendab teie domeeni DNS-i või registreeringu üle kontrolli haaramist, et suunata selle liiklus ja post mujale. Vaadake, kuidas me hindame.

Domeeni kaaperdamine ei puuduta teie veebisaiti — see haarab üle DNS-i või registripidaja konto, mis sellele osutab, nii et teie enda külastajad ja e-kirjad suunatakse vaikselt ründaja juurde. Kaks DNS-kontrolli, mis riski kõige enam vähendavad, kuuluvad veebi kõige harvemini kasutusele võetute hulka: vaid 1.99%-l domeenidest on kehtiv DNSSEC ja üksnes 1.56% avaldab CAA-kirje. Siin on, kuidas domeene varastatakse ja kuidas enda oma lukustada.

Kuidas domeene tegelikult kaaperdatakse

Koondumine lisab süsteemse mõõtme

Enamik domeene tugineb käputäiele DNS-teenusepakkujatele, nii et üksik teenusepakkuja intsident ulatub ebaproportsionaalselt kaugele: suurim nimeserverite operaator teenindab üksi 15.4% domeenidest, mis kasutavad tunnustatud teenusepakkujat, ja viis suurimat koos 42.1%. Koondumine pole viga, mille saaksite üksinda parandada, kuid see on põhjus panna korda need kontrollid, mida ise kontrollite. Vaadake nimeserverite koondumist.

Kuidas oma domeen lukustada

  1. Kaitske registripidaja kontot — kordumatu parool, tugev mitmeastmeline autentimine ja lülitage sisse registripidaja lukk (ülekanne keelatud), et domeeni ei saaks liigutada ilma sõnaselge avamiseta.
  2. Lubage DNSSEC seal, kus teie majutaja selle automatiseerib — see tõkestab võltsitud DNS-vastused juba lahendaja tasandil.
  3. Avaldage CAA-kirje, mis nimetab ainult teie kasutatavaid sertifitseerimisasutusi, nii et petturlikku sertifikaati ei saa väljastada.
  4. Auditeerige DNS-i rippuvate kirjete osas — eemaldage kirjed, mis osutavad ressurssidele, mida te enam ei kontrolli.
  5. Ärge kunagi laske võtmedomeenidel aeguda — automatiseerige registreeringu uuendamine ja hoidke kontaktandmed ajakohasena, et uuendusteade kunagi märkamatuks ei jääks.

Korduma kippuvad küsimused

Mis on domeeni kaaperdamine? Teie domeeni registreeringu või DNS-i üle kontrolli haaramine, et suunata selle veebi- ja e-kirja liiklus mujale — ilma et kunagi teie tegelikke servereid murtaks.

Mille poolest erineb DNS-kaaperdamine? DNS-kaaperdamine rikub konkreetselt neid kirjeid, mis teie domeeni lahendavad (konto ülevõtmise, vahemälu mürgitamise või ohtu sattunud DNS-majutaja kaudu). DNSSEC kaitseb võltsitud vastuste eest; vaid 1.99%-l domeenidest see on.

Mis on ainus parim kaitse? Registripidaja konto lukustamine — kordumatu parool, mitmeastmeline autentimine ja registripidaja ülekandelukk. Enamik kaaperdamisi algab konto juurdepääsust, mitte nutikatest rünnakutest.

Kas DNSSEC tõkestab kaaperdamise? See tõkestab ühe olulise klassi — võltsitud/mürgitatud DNS-vastused — kuid mitte registripidaja konto ülevõtmise. Kasutage seda koos konto turvalisuse ja CAA-ga.

Kas midagi sellest on kallis? Ei. Registripidaja lukk, DNSSEC ja CAA on tasuta sätted; kulu seisneb distsipliinis neid rakendada.

Kontrollige oma domeeni DNS-kaitset tasuta

Vaadake, kas DNSSEC ja CAA on paigas ning õigesti seadistatud — privaatselt ja üksnes omanikule.

Kontrollige oma domeeni → · Parandage DNSSEC → · Parandage CAA → · Kuidas me hindame → · Ainult koondandmed. Andmeid säilitatakse ja töödeldakse ELis.