Defaults.Exposed › Звіти
Захоплення домену та DNS: як викрадають домени і як захистити свій (2026)
Опубліковано 2026-07-01
Показники станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів. Захоплення означає отримання контролю над DNS або реєстрацією вашого домену, щоб перенаправити його трафік і пошту. Дивіться як ми оцінюємо.
Захоплення домену не торкається вашого вебсайту — воно перебирає контроль над DNS або обліковим записом реєстратора, який на нього вказує, тож ваші власні відвідувачі та пошта тихо перенаправляються до зловмисника. Два засоби контролю DNS, які найбільше знижують ризик, належать до найменш поширених у мережі: лише 1.99% доменів мають дійсний DNSSEC і лише 1.56% публікують запис CAA. Ось як викрадають домени і як захистити свій.
Як домени насправді захоплюють
- Заволодіння обліковим записом реєстратора — викрадений фішингом або повторно використаний пароль до входу на сайт реєстратора дає зловмиснику змогу змінити сервери імен або повністю передати домен. Найвпливовіший вектор і водночас найлегше запобіжний.
- Підробка DNS-записів / отруєння кешу — підроблені відповіді DNS спрямовують користувачів і пошту в інше місце. Саме це й покликаний зупинити DNSSEC — і його мають 1.99% доменів (ще 3.02% підписані, але з помилками).
- Записи-«хвости» — DNS-запис, залишений вказувати на хмарний ресурс, яким ви більше не володієте, дозволяє комусь іншому його привласнити (захоплення піддомену).
- Повторна реєстрація простроченого домену — дозвольте домену вичерпати термін дії — і будь-хто може зареєструвати його знову, успадкувавши його залишковий трафік і довіру. У межах перепису 6.2% доменів більше не резолвляться — велика кількість прострочених імен. Дивіться мертві домени інтернету.
- Видача шахрайського сертифіката — без запису CAA, який обмежує, які центри можуть видавати сертифікати для вашого домену, помилково виданий сертифікат отримати легше. Лише 1.56% доменів його встановлюють.
Концентрація додає системний вимір
Більшість доменів покладаються на кілька DNS-провайдерів, тож один інцидент у провайдера має надмірний охоплення: найбільший оператор серверів імен один обслуговує 15.4% доменів, які використовують визнаного провайдера, а п’ятірка найбільших разом — 42.1%. Концентрація не є вадою, яку можна виправити самотужки, але це причина правильно налаштувати ті засоби контролю, якими ви все ж володієте. Дивіться концентрацію серверів імен.
Як захистити свій домен
- Убезпечте обліковий запис реєстратора — унікальний пароль, надійна MFA та увімкнення блокування реєстратора (заборона передачі), щоб домен не можна було перемістити без явного розблокування.
- Увімкніть DNSSEC, де ваш хостинг це автоматизує — він зупиняє підроблені відповіді DNS на рівні резолвера.
- Опублікуйте запис CAA, назвавши лише ті центри сертифікації, якими ви користуєтеся, щоб шахрайський сертифікат не міг бути виданий.
- Перевірте DNS на записи-«хвости» — видаліть записи, що вказують на ресурси, які ви більше не контролюєте.
- Ніколи не давайте ключовим доменам сплинути — увімкніть автоматичне поновлення реєстрації та тримайте контактні дані актуальними, щоб повідомлення про поновлення ніколи не пройшло повз.
Часті запитання
Що таке захоплення домену? Отримання контролю над реєстрацією або DNS вашого домену, щоб перенаправити його вебтрафік і пошту — так і не проникнувши на ваші реальні сервери.
Чим відрізняється захоплення DNS? Захоплення DNS конкретно втручається в записи, що резолвлять ваш домен (через заволодіння обліковим записом, отруєння кешу чи скомпрометований DNS-хостинг). DNSSEC захищає від підроблених відповідей; його мають лише 1.99% доменів.
Який єдиний найкращий захист? Убезпечення облікового запису реєстратора — унікальний пароль, MFA та блокування передачі в реєстратора. Більшість захоплень починається з доступу до облікового запису, а не з хитрих атак.
Чи зупиняє захоплення DNSSEC? Він зупиняє один важливий клас — підроблені/отруєні відповіді DNS, — але не заволодіння обліковим записом реєстратора. Використовуйте його разом із безпекою облікового запису та CAA.
Чи щось із цього дороге? Ні. Блокування реєстратора, DNSSEC і CAA — це безкоштовні налаштування; ціна — це дисципліна їх застосувати.
Перевірте захист DNS свого домену безкоштовно
Дізнайтеся, чи налаштовані DNSSEC і CAA правильно — приватно і лише для власника.
Перевірити свій домен → · Виправити DNSSEC → · Виправити CAA → · Як ми оцінюємо → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.