Defaults.Exposed

Defaults.Exposed › 報告

域名與 DNS 劫持:域名是如何被盜的,以及如何鎖定你的域名(2026)

發布於 2026-07-01

數據截至 2026-06-29 · 方法論 v7。 覆蓋 261 百萬個被評級域名的普查彙總數據。劫持是指奪取對你域名的 DNS 或註冊的控制權,從而重定向其流量和郵件。參見我們如何評級

域名劫持並不觸碰你的網站——它接管指向網站的 DNS 或註冊商賬戶,從而悄無聲息地將你自己的訪客和郵件重新路由到攻擊者那裡。 最能降低此類風險的兩項 DNS 控制措施,恰恰是網絡上部署最少的:只有 1.99% 的域名擁有有效的 DNSSEC,僅有 1.56% 發佈了 CAA 記錄。以下講述域名是如何被盜的,以及如何鎖定你的域名。

域名實際上是如何被劫持的

集中化帶來了系統性隱患

大多數域名依賴於少數幾家 DNS 提供商,因此單個提供商的事故就具有超乎尋常的影響範圍:僅最大的域名服務器運營商就服務了 15.4% 使用已識別提供商的域名,而前五名合計服務了 42.1%。集中化並不是你能獨自修復的缺陷,但它正是你應把自己確實掌控的那些控制措施做對的理由。參見域名服務器集中化

如何鎖定你的域名

  1. 保護好註冊商賬戶 —— 使用唯一的密碼、強 MFA,並開啟註冊商鎖定(禁止轉移),使域名在沒有明確解鎖的情況下無法被轉移。
  2. 啟用 DNSSEC(在你的託管商實現自動化時)——它能在解析器處阻止偽造的 DNS 應答。
  3. 發佈一條 CAA 記錄,僅列出你所使用的證書頒發機構,使惡意證書無法被簽發。
  4. 審計 DNS 中的懸空記錄 —— 移除指向你已不再掌控的資源的條目。
  5. 絕不讓關鍵域名失效 —— 開啟註冊自動續費,並保持聯繫信息為最新,讓續費通知永不漏掉。

常見問題

什麼是域名劫持? 奪取對你域名的註冊或 DNS 的控制權,以重定向其網頁和郵件流量——而完全無需攻破你的實際服務器。

DNS 劫持有什麼不同? DNS 劫持專門篡改用於解析你域名的記錄(通過賬戶接管、緩存投毒,或被攻破的 DNS 託管商)。DNSSEC 可防禦偽造的應答;只有 1.99% 的域名擁有它。

唯一最好的防護是什麼? 鎖定註冊商賬戶——唯一的密碼、MFA,以及註冊商轉移鎖。大多數劫持始於賬戶訪問權限,而非巧妙的攻擊。

DNSSEC 能阻止劫持嗎? 它能阻止其中一個重要類別——偽造/被投毒的 DNS 應答——但無法阻止註冊商賬戶被接管。請將它與賬戶安全和 CAA 一起使用。

這些措施有哪個昂貴嗎? 沒有。註冊商鎖定、DNSSEC 和 CAA 都是免費的設置;代價在於堅持去應用它們的自律。

免費檢查你域名的 DNS 防禦

查看 DNSSEC 和 CAA 是否已就位並正確配置——私密進行,且僅限所有者可見。

檢查你的域名 → · 修復 DNSSEC → · 修復 CAA → · 我們如何評級 → · 僅彙總數據。數據在歐盟境內存儲與處理。