Defaults.Exposed › Aruanded
Domeeni- ja DNS-kaaperdamine: kuidas domeene varastatakse ja kuidas enda oma lukustada (2026)
Avaldatud 2026-07-01
Arvandmed seisuga 2026-06-29 · metoodika v7. Koondloendus 261 miljoni hinnatud domeeni kohta. Kaaperdamine tähendab teie domeeni DNS-i või registreeringu üle kontrolli haaramist, et suunata selle liiklus ja post mujale. Vaadake, kuidas me hindame.
Domeeni kaaperdamine ei puuduta teie veebisaiti — see haarab üle DNS-i või registripidaja konto, mis sellele osutab, nii et teie enda külastajad ja e-kirjad suunatakse vaikselt ründaja juurde. Kaks DNS-kontrolli, mis riski kõige enam vähendavad, kuuluvad veebi kõige harvemini kasutusele võetute hulka: vaid 1.99%-l domeenidest on kehtiv DNSSEC ja üksnes 1.56% avaldab CAA-kirje. Siin on, kuidas domeene varastatakse ja kuidas enda oma lukustada.
Kuidas domeene tegelikult kaaperdatakse
- Registripidaja konto ülevõtmine — teie registripidaja sisselogimise õngitsetud või taaskasutatud parool võimaldab ründajal muuta nimeservereid või domeen otse üle kanda. Suurima mõjuga rünnakutee ja ühtlasi kõige ennetatavam.
- DNS-kirjete rikkumine / vahemälu mürgitamine — võltsitud DNS-vastused suunavad kasutajad ja posti mujale. Just seda on DNSSEC mõeldud tõkestama — ja 1.99%-l domeenidest see on (lisaks 3.02%-l allkirjastatud, kuid katkine).
- Rippuvad kirjed — DNS-kirje, mis jäi osutama pilveressursile, mis teile enam ei kuulu, laseb kellelgi teisel selle endale võtta (alamdomeeni ülevõtmine).
- Aegunud domeeni taasregistreerimine — laske domeenil aeguda ja igaüks saab selle uuesti registreerida, pärides selle jääkliikluse ja usalduse. Kogu loenduses 6.2% domeenidest enam ei lahene — suur hulk aegunud nimesid. Vaadake interneti surnud domeene.
- Petturlik sertifikaadi väljastamine — ilma CAA-kirjeta, mis piirab, millised asutused võivad teie domeenile sertifikaate väljastada, on väärväljastatud sertifikaati lihtsam hankida. Vaid 1.56% domeenidest seab selle.
Koondumine lisab süsteemse mõõtme
Enamik domeene tugineb käputäiele DNS-teenusepakkujatele, nii et üksik teenusepakkuja intsident ulatub ebaproportsionaalselt kaugele: suurim nimeserverite operaator teenindab üksi 15.4% domeenidest, mis kasutavad tunnustatud teenusepakkujat, ja viis suurimat koos 42.1%. Koondumine pole viga, mille saaksite üksinda parandada, kuid see on põhjus panna korda need kontrollid, mida ise kontrollite. Vaadake nimeserverite koondumist.
Kuidas oma domeen lukustada
- Kaitske registripidaja kontot — kordumatu parool, tugev mitmeastmeline autentimine ja lülitage sisse registripidaja lukk (ülekanne keelatud), et domeeni ei saaks liigutada ilma sõnaselge avamiseta.
- Lubage DNSSEC seal, kus teie majutaja selle automatiseerib — see tõkestab võltsitud DNS-vastused juba lahendaja tasandil.
- Avaldage CAA-kirje, mis nimetab ainult teie kasutatavaid sertifitseerimisasutusi, nii et petturlikku sertifikaati ei saa väljastada.
- Auditeerige DNS-i rippuvate kirjete osas — eemaldage kirjed, mis osutavad ressurssidele, mida te enam ei kontrolli.
- Ärge kunagi laske võtmedomeenidel aeguda — automatiseerige registreeringu uuendamine ja hoidke kontaktandmed ajakohasena, et uuendusteade kunagi märkamatuks ei jääks.
Korduma kippuvad küsimused
Mis on domeeni kaaperdamine? Teie domeeni registreeringu või DNS-i üle kontrolli haaramine, et suunata selle veebi- ja e-kirja liiklus mujale — ilma et kunagi teie tegelikke servereid murtaks.
Mille poolest erineb DNS-kaaperdamine? DNS-kaaperdamine rikub konkreetselt neid kirjeid, mis teie domeeni lahendavad (konto ülevõtmise, vahemälu mürgitamise või ohtu sattunud DNS-majutaja kaudu). DNSSEC kaitseb võltsitud vastuste eest; vaid 1.99%-l domeenidest see on.
Mis on ainus parim kaitse? Registripidaja konto lukustamine — kordumatu parool, mitmeastmeline autentimine ja registripidaja ülekandelukk. Enamik kaaperdamisi algab konto juurdepääsust, mitte nutikatest rünnakutest.
Kas DNSSEC tõkestab kaaperdamise? See tõkestab ühe olulise klassi — võltsitud/mürgitatud DNS-vastused — kuid mitte registripidaja konto ülevõtmise. Kasutage seda koos konto turvalisuse ja CAA-ga.
Kas midagi sellest on kallis? Ei. Registripidaja lukk, DNSSEC ja CAA on tasuta sätted; kulu seisneb distsipliinis neid rakendada.
Kontrollige oma domeeni DNS-kaitset tasuta
Vaadake, kas DNSSEC ja CAA on paigas ning õigesti seadistatud — privaatselt ja üksnes omanikule.
Kontrollige oma domeeni → · Parandage DNSSEC → · Parandage CAA → · Kuidas me hindame → · Ainult koondandmed. Andmeid säilitatakse ja töödeldakse ELis.