Defaults.Exposed

Defaults.Exposed › گزارش‌ها

ربایش دامنه و DNS: دامنه‌ها چگونه دزدیده می‌شوند و چطور دامنه خود را قفل کنیم (۲۰۲۶)

منتشرشده 2026-07-01

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های سرشماری تجمیعی در سطح 261 میلیون دامنه نمره‌گذاری‌شده. ربایش یعنی به‌دست‌گرفتن کنترل DNS یا ثبت دامنه شما برای بازمسیردهی ترافیک و ایمیل آن. ببینید چگونه نمره می‌دهیم.

ربایش دامنه به وب‌سایت شما دست نمی‌زند — بلکه DNS یا حساب ثبت‌کننده‌ای که به آن اشاره می‌کند را تصاحب می‌کند، تا بازدیدکنندگان و ایمیل خودتان به‌آرامی به سمت مهاجم بازمسیردهی شوند. دو کنترل DNS که بیشترین کاهش ریسک را ایجاد می‌کنند، از کم‌استفاده‌ترین‌ها در وب هستند: تنها 1.99٪ از دامنه‌ها DNSSEC معتبر دارند و فقط 1.56٪ رکورد CAA منتشر می‌کنند. در ادامه می‌بینید که دامنه‌ها چگونه دزدیده می‌شوند و چطور دامنه خود را قفل کنید.

دامنه‌ها در عمل چگونه ربوده می‌شوند

تمرکز، یک زاویه سیستمی می‌افزاید

بیشتر دامنه‌ها به تعداد اندکی از ارائه‌دهندگان DNS متکی هستند، بنابراین یک رخداد در یک ارائه‌دهنده واحد دامنه اثر بسیار گسترده‌ای دارد: بزرگ‌ترین اپراتور نام‌سرور به‌تنهایی به 15.4٪ از دامنه‌هایی که از یک ارائه‌دهنده شناخته‌شده استفاده می‌کنند خدمات می‌دهد و پنج مورد برتر روی‌هم 42.1٪. تمرکز نقصی نیست که بتوانید به‌تنهایی برطرف کنید، اما دلیلی است برای اینکه کنترل‌هایی را که در اختیار دارید درست انجام دهید. ببینید تمرکز نام‌سرور.

چگونه دامنه خود را قفل کنیم

  1. حساب ثبت‌کننده را ایمن کنید — گذرواژه یکتا، احراز هویت چندعاملی قوی و فعال‌کردن قفل ثبت‌کننده (ممنوعیت انتقال) تا دامنه بدون بازکردن صریح قفل نتواند جابه‌جا شود.
  2. DNSSEC را فعال کنید در جایی که میزبان شما آن را خودکار می‌کند — این کار پاسخ‌های جعلی DNS را در سطح تحلیل‌گر متوقف می‌کند.
  3. یک رکورد CAA منتشر کنید که تنها مراجع صدور گواهی مورد استفاده شما را نام ببرد، تا یک گواهی سرکش نتواند صادر شود.
  4. DNS را برای رکوردهای معلق بازرسی کنید — ورودی‌هایی که به منابعی اشاره می‌کنند که دیگر کنترلی بر آن‌ها ندارید را حذف کنید.
  5. هرگز نگذارید دامنه‌های کلیدی منقضی شوند — ثبت را روی تمدید خودکار قرار دهید و اطلاعات تماس را به‌روز نگه دارید تا هرگز اعلان تمدیدی از دست نرود.

پرسش‌های پرتکرار

ربایش دامنه چیست؟ به‌دست‌گرفتن کنترل ثبت یا DNS دامنه شما برای بازمسیردهی ترافیک وب و ایمیل آن — بدون آنکه هرگز به سرورهای واقعی شما نفوذ شود.

ربایش DNS چه تفاوتی دارد؟ ربایش DNS به‌طور خاص رکوردهایی را که دامنه شما را تحلیل می‌کنند دستکاری می‌کند (از طریق تصاحب حساب، مسمومیت کش، یا یک میزبان DNS به‌خطرافتاده). DNSSEC در برابر پاسخ‌های جعلی دفاع می‌کند؛ تنها 1.99٪ از دامنه‌ها آن را دارند.

بهترین محافظت واحد کدام است؟ قفل‌کردن حساب ثبت‌کننده — گذرواژه یکتا، احراز هویت چندعاملی و قفل انتقال ثبت‌کننده. بیشتر ربایش‌ها با دسترسی به حساب آغاز می‌شوند، نه با حملات هوشمندانه.

آیا DNSSEC جلوی ربایش را می‌گیرد؟ یک دسته مهم — پاسخ‌های جعلی/مسموم‌شده DNS — را متوقف می‌کند، اما تصاحب حساب ثبت‌کننده را نه. آن را در کنار امنیت حساب و CAA به‌کار ببرید.

آیا هیچ‌کدام از این‌ها گران است؟ خیر. قفل ثبت‌کننده، DNSSEC و CAA تنظیمات رایگان هستند؛ هزینه، انضباط لازم برای اعمال آن‌هاست.

دفاع‌های DNS دامنه خود را رایگان بررسی کنید

ببینید آیا DNSSEC و CAA برقرار و درست پیکربندی شده‌اند — به‌صورت خصوصی و فقط برای مالک.

دامنه خود را بررسی کنید ← · DNSSEC را اصلاح کنید ← · CAA را اصلاح کنید ← · چگونه نمره می‌دهیم ← · فقط داده‌های تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.