Defaults.Exposed › รายงาน
การขโมยโดเมนและ DNS Hijacking: โดเมนถูกขโมยได้อย่างไรและวิธีล็อกของคุณ (2026)
เผยแพร่ 2026-07-01
ตัวเลข ณ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนรวมจาก 261 ล้านโดเมนที่ได้รับการให้คะแนน Hijacking หมายถึงการควบคุม DNS หรือบัญชี registrar ของโดเมนเพื่อเปลี่ยนเส้นทางการจราจรและเมล ดู วิธีที่เราให้คะแนน
Domain hijacking ไม่ได้แตะต้องเว็บไซต์ของคุณ — มันยึด DNS หรือบัญชี registrar ที่ชี้ไปยังมัน ดังนั้นผู้เยี่ยมชมและอีเมลของคุณจึงถูกเปลี่ยนเส้นทางไปยังผู้โจมตีอย่างเงียบ ๆ การควบคุม DNS สองอย่างที่ลดความเสี่ยงมากที่สุดอยู่ในบรรดาที่ใช้งานน้อยที่สุดบนเว็บ: มีเพียง 1.99% ของโดเมนที่มี DNSSEC ที่ถูกต้องและเพียง 1.56% ที่เผยแพร่บันทึก CAA นี่คือวิธีที่โดเมนถูกขโมยจริง ๆ และวิธีล็อกของคุณ
โดเมนถูก hijack ได้อย่างไรจริง ๆ
- การยึดบัญชี registrar — รหัสผ่านที่ถูก phished หรือนำกลับมาใช้บนการเข้าสู่ระบบ registrar ของคุณให้ผู้โจมตีเปลี่ยน nameservers หรือโอนโดเมนโดยสิ้นเชิง เป็น vector ที่มีผลกระทบสูงสุดและป้องกันได้มากที่สุด
- การเปลี่ยนแปลงบันทึก DNS / cache poisoning — คำตอบ DNS ปลอมชี้ผู้ใช้และเมลไปที่อื่น นี่คือสิ่งที่ DNSSEC ถูกออกแบบมาเพื่อหยุด — และ 1.99% ของโดเมนมีมัน (พร้อมอีก 3.02% ที่ลงนามแต่เสียหาย)
- บันทึก dangling — รายการ DNS ที่ทิ้งไว้ชี้ที่ทรัพยากรคลาวด์ที่คุณไม่ได้เป็นเจ้าของอีกต่อไปให้คนอื่น claim มัน (subdomain takeover)
- การลงทะเบียนโดเมนที่หมดอายุใหม่ — ปล่อยให้โดเมนหมดอายุและใครก็สามารถลงทะเบียนใหม่ได้ รับมรดกการจราจรและความไว้วางใจที่ตกค้าง จากสำมะโน 6.2% ของโดเมนไม่สามารถแก้ไขได้อีกต่อไป — ชื่อที่หมดอายุจำนวนมาก ดู โดเมนที่ตายแล้วของอินเทอร์เน็ต
- การออกใบรับรองที่ไม่ถูกต้อง — หากไม่มีบันทึก CAA ที่จำกัดว่าหน่วยงานใดอาจออกสำหรับโดเมนของคุณ ใบรับรองที่ออกผิดพลาดจะง่ายกว่าที่จะได้รับ มีเพียง 1.56% ของโดเมนที่ตั้งค่าหนึ่ง
ความเข้มข้นเพิ่มมุมมองเชิงระบบ
โดเมนส่วนใหญ่พึ่งพาผู้ให้บริการ DNS เพียงไม่กี่ราย ดังนั้นเหตุการณ์ผู้ให้บริการรายเดียวจึงมีการเข้าถึงที่ไม่สมส่วน: ผู้ดำเนินการ nameserver ที่ใหญ่ที่สุดเพียงรายเดียวให้บริการ 15.4% ของโดเมนที่ใช้ผู้ให้บริการที่รู้จัก และห้าอันดับแรกรวมกัน 42.1% ความเข้มข้นไม่ใช่ข้อบกพร่องที่คุณสามารถแก้ไขคนเดียว แต่เป็นเหตุผลที่ต้องทำการควบคุมที่คุณ เป็นเจ้าของ ให้ถูกต้อง ดู nameserver concentration
วิธีล็อกโดเมนของคุณ
- รักษาความปลอดภัยบัญชี registrar — รหัสผ่านที่ไม่ซ้ำ MFA ที่แข็งแกร่ง และเปิด registrar lock (ห้ามโอน) เพื่อให้โดเมนไม่สามารถถูกย้ายได้โดยไม่มีการปลดล็อกอย่างชัดเจน
- เปิดใช้งาน DNSSEC ที่ host ของคุณทำให้อัตโนมัติ — มันหยุดคำตอบ DNS ปลอมที่ resolver
- เผยแพร่บันทึก CAA ระบุเฉพาะ certificate authorities ที่คุณใช้ เพื่อให้ใบรับรองที่ไม่ถูกต้องไม่สามารถออกได้
- ตรวจสอบ DNS สำหรับบันทึก dangling — ลบรายการที่ชี้ที่ทรัพยากรที่คุณไม่ได้ควบคุมอีกต่อไป
- อย่าปล่อยให้โดเมนสำคัญหมดอายุ — ตั้งค่าต่ออายุอัตโนมัติและรักษาข้อมูลติดต่อให้เป็นปัจจุบันเพื่อให้การแจ้งเตือนการต่ออายุไม่หลุดไป
คำถามที่พบบ่อย
Domain hijacking คืออะไร? การควบคุมการลงทะเบียนหรือ DNS ของโดเมนของคุณเพื่อเปลี่ยนเส้นทางการจราจรเว็บและอีเมล — โดยไม่ต้องละเมิดเซิร์ฟเวอร์จริงของคุณ
DNS hijacking แตกต่างอย่างไร? DNS hijacking โดยเฉพาะเข้าไปแก้ไขบันทึกที่แก้ไขโดเมนของคุณ (ผ่านการยึดบัญชี cache poisoning หรือ DNS host ที่ถูกประนีประนอม) DNSSEC ป้องกันคำตอบปลอม; มีเพียง 1.99% ของโดเมนที่มีมัน
การป้องกันที่ดีที่สุดเพียงอย่างเดียวคืออะไร? ล็อกบัญชี registrar — รหัสผ่านที่ไม่ซ้ำ MFA และ registrar transfer-lock การ hijackings ส่วนใหญ่เริ่มต้นด้วยการเข้าถึงบัญชี ไม่ใช่การโจมตีที่ซับซ้อน
DNSSEC หยุด hijacking ได้หรือไม่? มันหยุดหนึ่งประเภทสำคัญ — คำตอบ DNS ที่ปลอม/ถูก poison — แต่ไม่หยุดการยึดบัญชี registrar ใช้มันควบคู่กับความปลอดภัยบัญชีและ CAA
สิ่งใดมีค่าใช้จ่ายหรือไม่? ไม่ Registrar lock, DNSSEC และ CAA เป็นการตั้งค่าฟรี ค่าใช้จ่ายคือวินัยในการใช้
ตรวจสอบการป้องกัน DNS ของโดเมนของคุณฟรี
ดูว่า DNSSEC และ CAA อยู่ในสถานะและกำหนดค่าถูกต้องหรือไม่ — ส่วนตัว และเฉพาะเจ้าของ
ตรวจสอบโดเมนของคุณ → · แก้ไข DNSSEC → · แก้ไข CAA → · วิธีที่เราให้คะแนน → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป