Defaults.Exposed › 报告
域名与 DNS 劫持:域名是如何被盗的,以及如何锁定你的域名(2026)
发布于 2026-07-01
数据截至 2026-06-29 · 方法论 v7。 覆盖 261 百万个被评级域名的普查汇总数据。劫持是指夺取对你域名的 DNS 或注册的控制权,从而重定向其流量和邮件。参见我们如何评级。
域名劫持并不触碰你的网站——它接管指向网站的 DNS 或注册商账户,从而悄无声息地将你自己的访客和邮件重新路由到攻击者那里。 最能降低此类风险的两项 DNS 控制措施,恰恰是网络上部署最少的:只有 1.99% 的域名拥有有效的 DNSSEC,仅有 1.56% 发布了 CAA 记录。以下讲述域名是如何被盗的,以及如何锁定你的域名。
域名实际上是如何被劫持的
- 注册商账户被接管 —— 你注册商登录凭据被钓鱼或密码被重复使用,会让攻击者更改域名服务器或直接转移域名。这是影响最大、也最可预防的攻击途径。
- DNS 记录篡改 / 缓存投毒 —— 伪造的 DNS 应答将用户和邮件引向别处。这正是 DNSSEC 旨在阻止的——而只有 1.99% 的域名拥有它(另有 3.02% 虽已签名但配置损坏)。
- 悬空记录 —— 一条仍指向你已不再拥有的云资源的 DNS 条目,会让他人得以认领它(子域名接管)。
- 过期域名再注册 —— 让域名失效,任何人都可以重新注册它,继承其残留的流量与信任。在整个普查中,6.2% 的域名已不再解析——这是一大批失效的名称。参见互联网上的死域名。
- 恶意证书签发 —— 若没有一条限定哪些证书颁发机构可为你域名签发证书的 CAA 记录,一张误签发的证书就更容易被获取。只有 1.56% 的域名设置了它。
集中化带来了系统性隐患
大多数域名依赖于少数几家 DNS 提供商,因此单个提供商的事故就具有超乎寻常的影响范围:仅最大的域名服务器运营商就服务了 15.4% 使用已识别提供商的域名,而前五名合计服务了 42.1%。集中化并不是你能独自修复的缺陷,但它正是你应把自己确实掌控的那些控制措施做对的理由。参见域名服务器集中化。
如何锁定你的域名
- 保护好注册商账户 —— 使用唯一的密码、强 MFA,并开启注册商锁定(禁止转移),使域名在没有明确解锁的情况下无法被转移。
- 启用 DNSSEC(在你的托管商实现自动化时)——它能在解析器处阻止伪造的 DNS 应答。
- 发布一条 CAA 记录,仅列出你所使用的证书颁发机构,使恶意证书无法被签发。
- 审计 DNS 中的悬空记录 —— 移除指向你已不再掌控的资源的条目。
- 绝不让关键域名失效 —— 开启注册自动续费,并保持联系信息为最新,让续费通知永不漏掉。
常见问题
什么是域名劫持? 夺取对你域名的注册或 DNS 的控制权,以重定向其网页和邮件流量——而完全无需攻破你的实际服务器。
DNS 劫持有什么不同? DNS 劫持专门篡改用于解析你域名的记录(通过账户接管、缓存投毒,或被攻破的 DNS 托管商)。DNSSEC 可防御伪造的应答;只有 1.99% 的域名拥有它。
唯一最好的防护是什么? 锁定注册商账户——唯一的密码、MFA,以及注册商转移锁。大多数劫持始于账户访问权限,而非巧妙的攻击。
DNSSEC 能阻止劫持吗? 它能阻止其中一个重要类别——伪造/被投毒的 DNS 应答——但无法阻止注册商账户被接管。请将它与账户安全和 CAA 一起使用。
这些措施有哪个昂贵吗? 没有。注册商锁定、DNSSEC 和 CAA 都是免费的设置;代价在于坚持去应用它们的自律。
免费检查你域名的 DNS 防御
查看 DNSSEC 和 CAA 是否已就位并正确配置——私密进行,且仅限所有者可见。
检查你的域名 → · 修复 DNSSEC → · 修复 CAA → · 我们如何评级 → · 仅汇总数据。数据在欧盟境内存储与处理。