Defaults.Exposed › Отчёты
Захват домена и DNS: как крадут домены и как защитить свой (2026)
Опубликовано 2026-07-01
Данные по состоянию на 2026-06-29 · методология v7. Сводные данные переписи по 261 млн оценённых доменов. Захват означает получение контроля над DNS или регистрацией вашего домена с целью перенаправить его трафик и почту. См. как мы выставляем оценки.
Захват домена не затрагивает ваш сайт — он перехватывает DNS или аккаунт регистратора, который на него указывает, так что ваши собственные посетители и почта незаметно перенаправляются к злоумышленнику. Два DNS-механизма, которые сильнее всего снижают этот риск, входят в число наименее распространённых в интернете: лишь 1,99% доменов имеют действующий DNSSEC и всего 1,56% публикуют запись CAA. Вот как крадут домены и как защитить свой.
Как на самом деле происходит захват доменов
- Захват аккаунта регистратора — фишинг или повторно используемый пароль от входа к регистратору позволяет злоумышленнику сменить серверы имён или вовсе перенести домен. Самый разрушительный вектор — и наиболее предотвратимый.
- Подмена DNS-записей / отравление кэша — поддельные DNS-ответы направляют пользователей и почту в другое место. Именно это и призван остановить DNSSEC — и он есть у 1,99% доменов (ещё у 3,02% он подписан, но неисправен).
- Висячие записи — DNS-запись, оставленная указывать на облачный ресурс, которым вы больше не владеете, позволяет другому лицу заявить на него права (захват поддомена).
- Повторная регистрация просроченного домена — стоит домену истечь, и любой может зарегистрировать его заново, унаследовав остаточный трафик и доверие к нему. По всей переписи 6,2% доменов больше не разрешаются — большой пул истёкших имён. См. мёртвые домены интернета.
- Выпуск поддельного сертификата — без записи CAA, ограничивающей, какие центры вправе выпускать сертификаты для вашего домена, ошибочно выпущенный сертификат получить проще. Такую запись задают лишь 1,56% доменов.
Концентрация добавляет системный аспект
Большинство доменов полагаются на горстку DNS-провайдеров, поэтому единичный инцидент у одного провайдера имеет непропорционально широкий охват: крупнейший оператор серверов имён в одиночку обслуживает 15,4% доменов, использующих признанного провайдера, а пятёрка лидеров вместе — 42,1%. Концентрацию нельзя исправить в одиночку, но это повод правильно настроить те механизмы, которыми вы владеете. См. концентрация серверов имён.
Как защитить свой домен
- Защитите аккаунт регистратора — уникальный пароль, надёжный MFA и включите блокировку регистратора (запрет переноса), чтобы домен нельзя было перенести без явного снятия блокировки.
- Включите DNSSEC там, где ваш хостинг это автоматизирует — он останавливает поддельные DNS-ответы на уровне резолвера.
- Опубликуйте запись CAA, указав только используемые вами центры сертификации, чтобы нельзя было выпустить поддельный сертификат.
- Проверьте DNS на висячие записи — удалите записи, указывающие на ресурсы, которые вы больше не контролируете.
- Никогда не давайте ключевым доменам истечь — включите автопродление регистрации и держите контактные данные в актуальном состоянии, чтобы уведомление о продлении никогда не проскочило мимо.
Часто задаваемые вопросы
Что такое захват домена? Получение контроля над регистрацией или DNS вашего домена с целью перенаправить его веб- и почтовый трафик — без какого-либо взлома ваших реальных серверов.
Чем отличается захват DNS? Захват DNS конкретно подменяет записи, разрешающие ваш домен (через захват аккаунта, отравление кэша или скомпрометированный DNS-хостинг). DNSSEC защищает от поддельных ответов; он есть лишь у 1,99% доменов.
Какая защита самая эффективная? Защита аккаунта регистратора — уникальный пароль, MFA и блокировка переноса у регистратора. Большинство захватов начинается с доступа к аккаунту, а не с изощрённых атак.
Останавливает ли DNSSEC захват? Он останавливает один важный класс — поддельные/отравленные DNS-ответы, но не захват аккаунта регистратора. Используйте его вместе с защитой аккаунта и CAA.
Это дорого? Нет. Блокировка регистратора, DNSSEC и CAA — бесплатные настройки; цена лишь в дисциплине их применения.
Проверьте защиту DNS вашего домена бесплатно
Узнайте, настроены ли DNSSEC и CAA и корректно ли сконфигурированы — приватно и только для владельца.
Проверьте свой домен → · Исправить DNSSEC → · Исправить CAA → · Как мы выставляем оценки → · Только сводные данные. Данные хранятся и обрабатываются в ЕС.