Defaults.Exposed › Jelentések
Domain- és DNS-eltérítés: hogyan lopják el a domaineket, és hogyan zárja le a sajátját (2026)
Közzétéve 2026-07-01
Adatok 2026-06-29-i állapot szerint · módszertan v7. Összesített cenzusadatok 261 millió minősített domainen. Az eltérítés azt jelenti, hogy valaki átveszi az irányítást a domainje DNS-e vagy regisztrációja felett, hogy annak forgalmát és levelezését átirányítsa. Lásd: hogyan osztályozunk.
A domain-eltérítés nem nyúl a weboldalához — az arra mutató DNS-t vagy regisztrátori fiókot veszi át, így a saját látogatóit és levelezését csendben átirányítják egy támadóhoz. Az a két DNS-védelem, amely a legjobban csökkenti a kockázatot, a web egyik legkevésbé bevezetett kontrollja: a domaineknek mindössze 1.99%-a rendelkezik érvényes DNSSEC-kel, és csak 1.56%-uk tesz közzé CAA rekordot. Íme, hogyan lopják el a domaineket, és hogyan zárhatja le a sajátját.
Hogyan térítik el valójában a domaineket
- Regisztrátori fiók átvétele — egy kihalászott vagy újrahasznált jelszó a regisztrátori bejelentkezéséhez lehetővé teszi a támadónak, hogy megváltoztassa a névszervereket, vagy egyenesen átvigye a domaint. A legnagyobb hatású vektor, egyben a legjobban megelőzhető.
- DNS-rekord meghamisítása / gyorsítótár-mérgezés — a hamisított DNS-válaszok máshová irányítják a felhasználókat és a levelezést. Pontosan ezt hivatott megállítani a DNSSEC — és a domaineknek 1.99%-a rendelkezik vele (további 3.02% aláírt, de hibás).
- Lógó rekordok — egy olyan felhőerőforrásra mutató DNS-bejegyzés, amely már nem az öné, lehetővé teszi valaki másnak, hogy igényt tartson rá (aldomain-átvétel).
- Lejárt domain újraregisztrálása — ha hagyja lejárni a domaint, bárki újraregisztrálhatja, örökölve annak megmaradt forgalmát és bizalmát. A cenzus egészében a domainek 6.2%-a már nem oldódik fel — a lejárt nevek nagy tömege. Lásd: az internet halott domainjei.
- Csaló tanúsítvány kibocsátása — egy olyan CAA rekord nélkül, amely korlátozza, mely hatóságok bocsáthatnak ki tanúsítványt a domainjéhez, könnyebb tévesen kibocsátott tanúsítványhoz jutni. A domaineknek csak 1.56%-a állít be ilyet.
A koncentráció rendszerszintű szempontot ad hozzá
A legtöbb domain néhány DNS-szolgáltatóra támaszkodik, így egyetlen szolgáltatói incidens aránytalanul nagy hatókörű: a legnagyobb névszerver-üzemeltető önmagában a felismert szolgáltatót használó domainek 15.4%-át szolgálja ki, az első öt együtt pedig 42.1%-át. A koncentráció nem olyan hiba, amelyet egyedül orvosolhat, de ok arra, hogy az ön kezében lévő kontrollokat rendbe tegye. Lásd: névszerver-koncentráció.
Hogyan zárja le a domainjét
- Biztosítsa a regisztrátori fiókot — egyedi jelszó, erős MFA, és kapcsolja be a regisztrátori zárat (átvitel tiltva), hogy a domaint kifejezett feloldás nélkül ne lehessen áthelyezni.
- Engedélyezze a DNSSEC-et ott, ahol a szolgáltatója automatizálja — megállítja a hamisított DNS-válaszokat a feloldónál.
- Tegyen közzé CAA rekordot, amely csak az ön által használt tanúsítványkiadókat nevezi meg, hogy csaló tanúsítványt ne lehessen kibocsátani.
- Ellenőrizze a DNS-t lógó rekordok után — távolítsa el az olyan erőforrásokra mutató bejegyzéseket, amelyek felett már nem rendelkezik irányítással.
- Soha ne hagyja lejárni a kulcsfontosságú domaineket — állítsa be a regisztráció automatikus megújítását, és tartsa naprakészen az elérhetőségi adatokat, hogy egy megújítási értesítés se csússzon át.
Gyakran ismételt kérdések
Mi a domain-eltérítés? A domainje regisztrációja vagy DNS-e feletti irányítás átvétele annak érdekében, hogy a web- és levelezési forgalmát átirányítsák — anélkül, hogy valaha is behatolnának a tényleges szervereibe.
Miben más a DNS-eltérítés? A DNS-eltérítés kifejezetten a domainjét feloldó rekordokat manipulálja (fiókátvétel, gyorsítótár-mérgezés vagy egy feltört DNS-szolgáltató révén). A DNSSEC véd a hamisított válaszok ellen; a domaineknek csak 1.99%-a rendelkezik vele.
Mi az egyetlen legjobb védelem? A regisztrátori fiók lezárása — egyedi jelszó, MFA és regisztrátori átvitel-zár. A legtöbb eltérítés fiókhozzáféréssel kezdődik, nem ravasz támadásokkal.
Megállítja a DNSSEC az eltérítést? Megállít egy fontos osztályt — a hamisított/mérgezett DNS-válaszokat —, de a regisztrátori fiók átvételét nem. Használja a fiókbiztonság és a CAA mellett.
Drága bármelyik ezek közül? Nem. A regisztrátori zár, a DNSSEC és a CAA ingyenes beállítások; a költség az a fegyelem, hogy alkalmazza őket.
Ellenőrizze ingyen a domainje DNS-védelmét
Nézze meg, hogy a DNSSEC és a CAA a helyén van-e és helyesen van-e beállítva — bizalmasan, kizárólag a tulajdonos számára.
Ellenőrizze a domainjét → · DNSSEC javítása → · CAA javítása → · Hogyan osztályozunk → · Csak összesített adatok. Az adatokat az EU-ban tárolják és dolgozzák fel.