Defaults.Exposed › Báo cáo
Chiếm quyền tên miền và DNS: Tên miền bị đánh cắp như thế nào và cách bảo vệ tên miền của bạn (2026)
Đã xuất bản 2026-07-01
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng điều tra tổng hợp trên 261 triệu tên miền được chấm điểm. Chiếm quyền nghĩa là giành quyền kiểm soát DNS hoặc đăng ký của tên miền để chuyển hướng lưu lượng truy cập và thư của nó. Xem cách chúng tôi chấm điểm.
Việc chiếm quyền tên miền không đụng đến trang web của bạn — nó chiếm quyền kiểm soát DNS hoặc tài khoản nhà đăng ký trỏ đến trang web đó, khiến chính khách truy cập và email của bạn bị âm thầm chuyển hướng đến kẻ tấn công. Hai biện pháp kiểm soát DNS giúp giảm rủi ro nhiều nhất lại nằm trong số những biện pháp ít được triển khai nhất trên web: chỉ 1.99% tên miền có DNSSEC hợp lệ và chỉ 1.56% công bố bản ghi CAA. Dưới đây là cách tên miền bị đánh cắp và cách bảo vệ tên miền của bạn.
Tên miền thực sự bị chiếm quyền như thế nào
- Chiếm đoạt tài khoản nhà đăng ký — một mật khẩu bị lừa đảo hoặc dùng lại trên trang đăng nhập nhà đăng ký cho phép kẻ tấn công thay đổi máy chủ tên (nameserver) hoặc chuyển toàn bộ tên miền. Đây là hướng tấn công có tác động lớn nhất, và cũng dễ phòng ngừa nhất.
- Giả mạo bản ghi DNS / đầu độc bộ nhớ đệm — các câu trả lời DNS giả mạo chuyển hướng người dùng và thư đi nơi khác. Đây chính xác là điều mà DNSSEC được thiết kế để ngăn chặn — và 1.99% tên miền có nó (với thêm 3.02% được ký nhưng bị lỗi).
- Bản ghi treo (dangling) — một mục DNS còn trỏ đến tài nguyên đám mây mà bạn không còn sở hữu cho phép người khác chiếm lấy nó (chiếm quyền tên miền phụ).
- Đăng ký lại tên miền hết hạn — để một tên miền hết hạn thì bất kỳ ai cũng có thể đăng ký lại nó, thừa hưởng lưu lượng truy cập và uy tín còn lại. Trên toàn bộ cuộc tổng điều tra, 6.2% tên miền không còn phân giải được — một nguồn lớn các tên đã hết hạn. Xem những tên miền chết của internet.
- Cấp chứng chỉ trái phép — nếu không có bản ghi CAA giới hạn nhà chức trách nào được phép cấp chứng chỉ cho tên miền của bạn, thì việc lấy được một chứng chỉ cấp sai sẽ dễ dàng hơn. Chỉ 1.56% tên miền thiết lập bản ghi này.
Sự tập trung tạo thêm một góc độ hệ thống
Hầu hết tên miền đều dựa vào một số ít nhà cung cấp DNS, nên một sự cố của riêng một nhà cung cấp sẽ có phạm vi ảnh hưởng vượt trội: chỉ riêng nhà điều hành máy chủ tên lớn nhất đã phục vụ 15.4% tên miền sử dụng nhà cung cấp được công nhận, và năm nhà cung cấp hàng đầu gộp lại là 42.1%. Sự tập trung không phải là một khiếm khuyết bạn có thể tự khắc phục, nhưng nó là lý do để làm đúng những biện pháp kiểm soát mà bạn thực sự nắm giữ. Xem sự tập trung máy chủ tên.
Cách bảo vệ tên miền của bạn
- Bảo mật tài khoản nhà đăng ký — mật khẩu riêng biệt, MFA mạnh, và bật khóa nhà đăng ký (cấm chuyển) để tên miền không thể bị chuyển đi mà không có thao tác mở khóa rõ ràng.
- Bật DNSSEC ở nơi nhà cung cấp lưu trữ của bạn tự động hóa nó — nó chặn các câu trả lời DNS giả mạo ngay tại bộ phân giải.
- Công bố bản ghi CAA chỉ nêu tên những nhà chức trách chứng chỉ mà bạn sử dụng, để không thể cấp một chứng chỉ trái phép.
- Kiểm tra DNS tìm bản ghi treo — xóa các mục còn trỏ đến tài nguyên bạn không còn kiểm soát.
- Không bao giờ để các tên miền then chốt hết hạn — bật tự động gia hạn đăng ký và giữ thông tin liên hệ luôn cập nhật để không bao giờ bỏ lỡ thông báo gia hạn.
Câu hỏi thường gặp
Chiếm quyền tên miền là gì? Là việc giành quyền kiểm soát đăng ký hoặc DNS của tên miền để chuyển hướng lưu lượng web và email của nó — mà không hề xâm phạm chính máy chủ của bạn.
Chiếm quyền DNS khác ở điểm nào? Chiếm quyền DNS cụ thể là giả mạo các bản ghi phân giải tên miền của bạn (thông qua chiếm đoạt tài khoản, đầu độc bộ nhớ đệm, hoặc một nhà cung cấp lưu trữ DNS bị xâm phạm). DNSSEC bảo vệ chống lại các câu trả lời giả mạo; chỉ 1.99% tên miền có nó.
Biện pháp bảo vệ tốt nhất là gì? Khóa chặt tài khoản nhà đăng ký — mật khẩu riêng biệt, MFA, và khóa chuyển tên miền tại nhà đăng ký. Hầu hết các vụ chiếm quyền bắt đầu từ việc truy cập tài khoản, chứ không phải từ các cuộc tấn công tinh vi.
DNSSEC có ngăn chặn được việc chiếm quyền không? Nó chặn được một loại quan trọng — các câu trả lời DNS bị giả mạo/đầu độc — nhưng không chặn được việc chiếm đoạt tài khoản nhà đăng ký. Hãy dùng nó song song với bảo mật tài khoản và CAA.
Có biện pháp nào tốn kém không? Không. Khóa nhà đăng ký, DNSSEC và CAA đều là các thiết lập miễn phí; chi phí duy nhất là sự kỷ luật để áp dụng chúng.
Kiểm tra miễn phí khả năng phòng thủ DNS của tên miền
Xem liệu DNSSEC và CAA đã được thiết lập và cấu hình đúng hay chưa — một cách riêng tư, và chỉ dành cho chủ sở hữu.
Kiểm tra tên miền của bạn → · Khắc phục DNSSEC → · Khắc phục CAA → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.