Defaults.Exposed › 報告
域名與 DNS 劫持:域名是如何被盜的,以及如何鎖定你的域名(2026)
發布於 2026-07-01
數據截至 2026-06-29 · 方法論 v7。 覆蓋 261 百萬個被評級域名的普查彙總數據。劫持是指奪取對你域名的 DNS 或註冊的控制權,從而重定向其流量和郵件。參見我們如何評級。
域名劫持並不觸碰你的網站——它接管指向網站的 DNS 或註冊商賬戶,從而悄無聲息地將你自己的訪客和郵件重新路由到攻擊者那裡。 最能降低此類風險的兩項 DNS 控制措施,恰恰是網絡上部署最少的:只有 1.99% 的域名擁有有效的 DNSSEC,僅有 1.56% 發佈了 CAA 記錄。以下講述域名是如何被盜的,以及如何鎖定你的域名。
域名實際上是如何被劫持的
- 註冊商賬戶被接管 —— 你註冊商登錄憑據被釣魚或密碼被重複使用,會讓攻擊者更改域名服務器或直接轉移域名。這是影響最大、也最可預防的攻擊途徑。
- DNS 記錄篡改 / 緩存投毒 —— 偽造的 DNS 應答將用戶和郵件引向別處。這正是 DNSSEC 旨在阻止的——而只有 1.99% 的域名擁有它(另有 3.02% 雖已簽名但配置損壞)。
- 懸空記錄 —— 一條仍指向你已不再擁有的雲資源的 DNS 條目,會讓他人得以認領它(子域名接管)。
- 過期域名再註冊 —— 讓域名失效,任何人都可以重新註冊它,繼承其殘留的流量與信任。在整個普查中,6.2% 的域名已不再解析——這是一大批失效的名稱。參見互聯網上的死域名。
- 惡意證書籤發 —— 若沒有一條限定哪些證書頒發機構可為你域名簽發證書的 CAA 記錄,一張誤簽發的證書就更容易被獲取。只有 1.56% 的域名設置了它。
集中化帶來了系統性隱患
大多數域名依賴於少數幾家 DNS 提供商,因此單個提供商的事故就具有超乎尋常的影響範圍:僅最大的域名服務器運營商就服務了 15.4% 使用已識別提供商的域名,而前五名合計服務了 42.1%。集中化並不是你能獨自修復的缺陷,但它正是你應把自己確實掌控的那些控制措施做對的理由。參見域名服務器集中化。
如何鎖定你的域名
- 保護好註冊商賬戶 —— 使用唯一的密碼、強 MFA,並開啟註冊商鎖定(禁止轉移),使域名在沒有明確解鎖的情況下無法被轉移。
- 啟用 DNSSEC(在你的託管商實現自動化時)——它能在解析器處阻止偽造的 DNS 應答。
- 發佈一條 CAA 記錄,僅列出你所使用的證書頒發機構,使惡意證書無法被簽發。
- 審計 DNS 中的懸空記錄 —— 移除指向你已不再掌控的資源的條目。
- 絕不讓關鍵域名失效 —— 開啟註冊自動續費,並保持聯繫信息為最新,讓續費通知永不漏掉。
常見問題
什麼是域名劫持? 奪取對你域名的註冊或 DNS 的控制權,以重定向其網頁和郵件流量——而完全無需攻破你的實際服務器。
DNS 劫持有什麼不同? DNS 劫持專門篡改用於解析你域名的記錄(通過賬戶接管、緩存投毒,或被攻破的 DNS 託管商)。DNSSEC 可防禦偽造的應答;只有 1.99% 的域名擁有它。
唯一最好的防護是什麼? 鎖定註冊商賬戶——唯一的密碼、MFA,以及註冊商轉移鎖。大多數劫持始於賬戶訪問權限,而非巧妙的攻擊。
DNSSEC 能阻止劫持嗎? 它能阻止其中一個重要類別——偽造/被投毒的 DNS 應答——但無法阻止註冊商賬戶被接管。請將它與賬戶安全和 CAA 一起使用。
這些措施有哪個昂貴嗎? 沒有。註冊商鎖定、DNSSEC 和 CAA 都是免費的設置;代價在於堅持去應用它們的自律。
免費檢查你域名的 DNS 防禦
查看 DNSSEC 和 CAA 是否已就位並正確配置——私密進行,且僅限所有者可見。
檢查你的域名 → · 修復 DNSSEC → · 修復 CAA → · 我們如何評級 → · 僅彙總數據。數據在歐盟境內存儲與處理。