Defaults.Exposed

Defaults.Exposed › 报告

域名与 DNS 劫持:域名是如何被盗的,以及如何锁定你的域名(2026)

发布于 2026-07-01

数据截至 2026-06-29 · 方法论 v7。 覆盖 261 百万个被评级域名的普查汇总数据。劫持是指夺取对你域名的 DNS 或注册的控制权,从而重定向其流量和邮件。参见我们如何评级

域名劫持并不触碰你的网站——它接管指向网站的 DNS 或注册商账户,从而悄无声息地将你自己的访客和邮件重新路由到攻击者那里。 最能降低此类风险的两项 DNS 控制措施,恰恰是网络上部署最少的:只有 1.99% 的域名拥有有效的 DNSSEC,仅有 1.56% 发布了 CAA 记录。以下讲述域名是如何被盗的,以及如何锁定你的域名。

域名实际上是如何被劫持的

集中化带来了系统性隐患

大多数域名依赖于少数几家 DNS 提供商,因此单个提供商的事故就具有超乎寻常的影响范围:仅最大的域名服务器运营商就服务了 15.4% 使用已识别提供商的域名,而前五名合计服务了 42.1%。集中化并不是你能独自修复的缺陷,但它正是你应把自己确实掌控的那些控制措施做对的理由。参见域名服务器集中化

如何锁定你的域名

  1. 保护好注册商账户 —— 使用唯一的密码、强 MFA,并开启注册商锁定(禁止转移),使域名在没有明确解锁的情况下无法被转移。
  2. 启用 DNSSEC(在你的托管商实现自动化时)——它能在解析器处阻止伪造的 DNS 应答。
  3. 发布一条 CAA 记录,仅列出你所使用的证书颁发机构,使恶意证书无法被签发。
  4. 审计 DNS 中的悬空记录 —— 移除指向你已不再掌控的资源的条目。
  5. 绝不让关键域名失效 —— 开启注册自动续费,并保持联系信息为最新,让续费通知永不漏掉。

常见问题

什么是域名劫持? 夺取对你域名的注册或 DNS 的控制权,以重定向其网页和邮件流量——而完全无需攻破你的实际服务器。

DNS 劫持有什么不同? DNS 劫持专门篡改用于解析你域名的记录(通过账户接管、缓存投毒,或被攻破的 DNS 托管商)。DNSSEC 可防御伪造的应答;只有 1.99% 的域名拥有它。

唯一最好的防护是什么? 锁定注册商账户——唯一的密码、MFA,以及注册商转移锁。大多数劫持始于账户访问权限,而非巧妙的攻击。

DNSSEC 能阻止劫持吗? 它能阻止其中一个重要类别——伪造/被投毒的 DNS 应答——但无法阻止注册商账户被接管。请将它与账户安全和 CAA 一起使用。

这些措施有哪个昂贵吗? 没有。注册商锁定、DNSSEC 和 CAA 都是免费的设置;代价在于坚持去应用它们的自律。

免费检查你域名的 DNS 防御

查看 DNSSEC 和 CAA 是否已就位并正确配置——私密进行,且仅限所有者可见。

检查你的域名 → · 修复 DNSSEC → · 修复 CAA → · 我们如何评级 → · 仅汇总数据。数据在欧盟境内存储与处理。