Defaults.Exposed › Laporan
Rampasan Domain dan DNS: Bagaimana Domain Dicuri dan Cara Menguncikan Domain Anda (2026)
Diterbitkan 2026-07-01
Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentasi 261 juta domain yang dinilai. Rampasan bermaksud mengambil alih DNS atau pendaftaran domain anda untuk mengalihkan trafik dan mel-nya. Lihat cara kami menilai.
Rampasan domain tidak menyentuh laman web anda — ia mengambil alih akaun DNS atau pendaftar (registrar) yang menghala ke laman itu, jadi pelawat dan e-mel anda sendiri dialihkan secara senyap kepada penyerang. Dua kawalan DNS yang paling mengurangkan risiko adalah antara yang paling kurang digunakan di web: hanya 1.99% domain mempunyai DNSSEC yang sah dan hanya 1.56% menerbitkan rekod CAA. Berikut ialah bagaimana domain dicuri dan cara menguncikan domain anda.
Bagaimana domain sebenarnya dirampas
- Pengambilalihan akaun pendaftar — kata laluan yang diphishing atau digunakan semula pada log masuk pendaftar anda membolehkan penyerang menukar pelayan nama atau memindahkan domain secara terus. Vektor yang paling berimpak, dan yang paling boleh dicegah.
- Gangguan rekod DNS / peracunan cache — jawapan DNS palsu menghala pengguna dan mel ke tempat lain. Inilah yang DNSSEC direka untuk menghalang — dan 1.99% domain memilikinya (dengan tambahan 3.02% ditandatangani tetapi rosak).
- Rekod tergantung (dangling) — entri DNS yang dibiarkan menghala ke sumber awan yang anda tidak lagi miliki membolehkan orang lain menuntutnya (pengambilalihan subdomain).
- Pendaftaran semula domain luput — biarkan sesuatu domain luput dan sesiapa sahaja boleh mendaftarkannya semula, mewarisi baki trafik dan kepercayaannya. Merentasi banci, 6.2% domain tidak lagi menyelesai (resolve) — kumpulan besar nama yang telah luput. Lihat domain mati di internet.
- Pengeluaran sijil haram — tanpa rekod CAA yang menyekat pihak berkuasa mana yang boleh mengeluarkan sijil untuk domain anda, sijil yang tersalah keluar lebih mudah diperoleh. Hanya 1.56% domain menetapkannya.
Penumpuan menambah sudut sistemik
Kebanyakan domain bergantung pada segelintir penyedia DNS, jadi satu insiden penyedia mempunyai jangkauan yang luar biasa besar: pengendali pelayan nama terbesar sahaja melayani 15.4% domain yang menggunakan penyedia yang diiktiraf, dan lima teratas bersama-sama 42.1%. Penumpuan bukanlah kelemahan yang boleh anda betulkan sendiri, tetapi ia adalah sebab untuk menetapkan kawalan yang anda miliki dengan betul. Lihat penumpuan pelayan nama.
Cara menguncikan domain anda
- Amankan akaun pendaftar — kata laluan unik, MFA yang kukuh, dan hidupkan kunci pendaftar (pemindahan dilarang) supaya domain tidak boleh dipindahkan tanpa buka kunci yang jelas.
- Dayakan DNSSEC di mana hos anda mengautomasikannya — ia menghalang jawapan DNS palsu di penyelesai (resolver).
- Terbitkan rekod CAA yang menamakan hanya pihak berkuasa sijil yang anda guna, supaya sijil haram tidak boleh dikeluarkan.
- Audit DNS untuk rekod tergantung — buang entri yang menghala ke sumber yang anda tidak lagi kawal.
- Jangan sekali-kali biarkan domain penting luput — perbaharui pendaftaran secara automatik dan pastikan butiran hubungan sentiasa terkini supaya notis pembaharuan tidak pernah terlepas.
Soalan lazim
Apakah rampasan domain? Mengambil alih pendaftaran atau DNS domain anda untuk mengalihkan trafik web dan e-melnya — tanpa pernah menceroboh pelayan sebenar anda.
Bagaimana rampasan DNS berbeza? Rampasan DNS secara khusus mengganggu rekod yang menyelesaikan domain anda (melalui pengambilalihan akaun, peracunan cache, atau hos DNS yang terjejas). DNSSEC mempertahankan daripada jawapan palsu; hanya 1.99% domain memilikinya.
Apakah perlindungan terbaik tunggal? Menguncikan akaun pendaftar — kata laluan unik, MFA, dan kunci pemindahan pendaftar. Kebanyakan rampasan bermula dengan capaian akaun, bukan serangan yang bijak.
Adakah DNSSEC menghalang rampasan? Ia menghalang satu kelas penting — jawapan DNS palsu/teracun — tetapi bukan pengambilalihan akaun pendaftar. Gunakannya bersama-sama keselamatan akaun dan CAA.
Adakah mana-mana daripada ini mahal? Tidak. Kunci pendaftar, DNSSEC, dan CAA adalah tetapan percuma; kosnya ialah disiplin untuk menerapkannya.
Semak pertahanan DNS domain anda secara percuma
Lihat sama ada DNSSEC dan CAA telah dipasang dan dikonfigurasi dengan betul — secara peribadi, dan hanya untuk pemilik.
Semak domain anda → · Betulkan DNSSEC → · Betulkan CAA → · Cara kami menilai → · Data agregat sahaja. Data disimpan dan diproses di EU.