域名劫持是可能發生在粗心的網站所有者身上的最糟糕的事件之一。考慮在線發生的商業數量，以及劫持域名的難易程度。劫持比以往任何時候都更加普遍，因為它們造成的破壞量很大。您可能前一刻還在網上做生意，下一刻就發現您的域名已被入侵。現在它掌握在具有修改的 DNS 的不同注冊商手中。您的訪問者現在登陸了一個惡作劇網站，這都是因為有人冒充了您的公司，或滲透了您的注冊商。

“域名劫持”一詞是指濫用或盜用合法所有者的注冊域名。對于域名所有者來說，這可能是一個嚴重的問題，對任何規模的網站都構成安全風險，但公司在制定安全策略時往往會忽視劫持。盡管域名劫持會帶來各種風險，但許多域名所有者和公司未能采取可以保護其域名的基本預防措施。人們購買了最低限度的域名，拒絕了可以讓他們省心的保護措施。對所涉及的風險進行一些教育將很快解決這個問題。

誰容易受到攻擊？為什么會發生？

如今，在線業務很普遍。幾乎每個企業——本地的、國家的或國際的——都有用于營銷或電子商務的網絡存在。網站是公司的重要資產。禁用或劫持公司的網站會剝奪他們的潛在利潤和收益。

如果您不想讓您的聯系信息隨時可用怎么辦？答案是從您的域名注冊商處購買隱私保護。使用 WHOIS 隱私，您的聯系信息將被屏蔽。當有人在 WHOIS 記錄中搜索您的域名時，他們會發現屬于您的域名注冊商的信息是可見的。

人們攻擊域名的動機有很多：為了經濟利益；使競爭對手的網站脫機或訪問客戶數據，僅舉幾例。黑客也可能有政治??動機，例如當 UGNazi 入侵 coach.com 時，他們的動機是政治而非經濟。當時他們的網站上說；“我們不會竊取用戶的數據，只是在這里讓他們意識到 [SOPA、PIPA 和 ACTA 對互聯網構成的危險” [原文如此]。當時，Coach 支持備受爭議的《制止網絡盜版法案》(SOPA)，而 UGNazi 堅決反對。

其他成為劫持對象的公司就沒有這么幸運了。域名劫持是組織需要認真考慮的問題，因為它會給敏感的公司信息帶來風險。例如，黑客可以訪問公司的所有傳入電子郵件。

不要讓黑客輕易利用您域名的漏洞。您的域名容易因三個常見缺陷而受到攻擊：

• 您的域名提供商的安全故障- 經銷商、注冊商和注冊管理機構必須提供安全可靠的注冊服務。如果域名提供商未能提供足夠的安全性，ICANN 可以介入。所有認可的注冊商都必須遵守 ICANN 的注冊協議，該協議涵蓋垃圾郵件、網絡釣魚、whois 投訴和域名轉移等。現有機制可以對您的注冊商合同服務合規性的任何問題提出異議。由于 ICANN 遵守域名注冊政策，如果發現有欺詐行為，他們將取消非法所有權。
• 您自己對域名安全的疏忽- 您有義務維護您的安全，我們將討論這一點。
• DNS 的弱點——域名系統 (DNS) 控制與您的域名關聯的所有網站和電子郵件設置。當訪問者搜索您的域名時，將通過 DNS 網絡進行查找，將客戶端計算機連接到目標服務器。如果更改 DNS 設置，訪問者將登陸不同的網站。從一開始，DNS 的設計就沒有考慮到安全性，這就是系統中存在固有漏洞的原因。

讓我們仔細研究一下您的域名可能會受到的攻擊形式。

攻擊類型和防御形式

隨著 Internet 的發展，用于攻擊域名的方法也在不斷發展。要最好地保護您的網站，需要注意特定形式的攻擊。

一、域名搶注

域名仿冒是不那么精明的犯罪分子利用粗心的網站所有者的一種非常常見的方式。也稱為 URL 劫持，這是一種域名搶注形式，其中有人注冊他人品牌的拼寫錯誤，希望他們可以從因輸入錯誤產生的流量中獲利。他們針對在瀏覽器中錯誤鍵入網站地址的用戶。

當出現這些類型的拼寫錯誤時，用戶可能會登陸由黑客為惡意目的而創建的替代頁面。域名仿冒者不僅以登錄頁面為目標，還利用網絡釣魚誘使人們訪問虛假網站。域名仿冒者很有創意，他們會注冊所有類型的常見拼寫錯誤來搶奪您的品牌流量。它們不僅針對拼寫錯誤，還針對您的域名和常見域名擴展的單數和復數版本。保護您的域名免遭域名仿冒的唯一方法是在黑客有機會之前注冊您域名的拼寫錯誤。

• 拼寫錯誤- 購買明顯拼寫錯誤的域名并考慮拼音版本。考慮購買替代拼寫，例如 1 或 l 代表 i，0 代表 O。例如，最好同時購買 onlylaptops.com 和 0nlylaptops.com。
• 單數和復數版本- 為了安全起見，購買您域名的兩個版本，例如 portland-car-repair.com 和 portland-car-repairers.com。
• 連字符- 購買連字符和非連字符版本，即 brasssupplier.com 和 brass-supplier.com。對于這些版本來說，第二次猜測人們遺漏或在單詞之間添加連字符是明智的。
• 通用域名后綴- 購買至少包含最流行域名后綴.org、.com 和 .net 的域名。

一旦您注冊了所有可能的域名替代版本，只需將它們重定向到您的核心域名。這樣，訪問者將登陸您的真實域名，而不是黑客的網站獲取您的錯字流量。

二、注冊商黑客

注冊商黑客攻擊雖然不常見，但對所有域名網站所有者構成嚴重風險。大多數域名都是通過注冊商注冊的，但私人注冊的域名除外，例如品牌 TLD，例如 .google。您的注冊商代表了最大的單一潛在故障點。如果您的注冊商被黑了，您就完蛋了。黑客將完全控制您的域名。他們可以將它指向任何他們想要的地方，更糟糕的是，將它轉讓給新的所有者。

當黑客獲取您的域名登錄信息時，他們可以更改官方域名服務器上的域名詳細信息，并對它們做任何他們想做的事情：將他們引導到一個克隆站點以收集客戶信息、提供惡意軟件等等。威脅可以是史詩般的規模，并且執行方式各不相同。考慮到更新 DNS 的延遲，如果進行了任何更改，它們可能會在檢測到任何可疑內容之前的幾個小時內被忽視。

頂級域名的移交導致對注冊表名稱服務器的未授權訪問已發生。這可能導致將數千個域名重定向到惡意網站。一旦有人注意到任何可疑活動，注冊服務商的技術團隊將更改所有受影響的登錄并恢復所做的任何更改。此過程可能需要幾個小時。

盡管這些事件是您無法控制的，但您可以為您的網站和 DNS 增加額外的安全性，以降低您的域名被劫持的風險：

• 主動監控 DNS 解析；你可能只是抓了一只老鼠。密切關注您的 DNS 流量可能會發現您的網絡中存在僵尸網絡（受感染計算機的網絡，該網絡用于傳播惡意軟件）。使用您可能已經部署的名稱解析器和安全系統監控此類流量。
• 使用防火墻（包括防止 IP 欺騙和拒絕分配號碼空間之外的查詢的規則 - 這將防止您的名稱解析器在分布式拒絕服務攻擊中被利用。那些試圖讓您的站點脫機的人。一定要檢查 DNS可疑字節模式的流量以阻止名稱服務器軟件 exokit 攻擊。防火墻很容易提供此功能，Sonicwall 等防火墻可以檢測并阻止隧道流量。
• 從您的域名注冊商處請求 DNSSEC。DNSSEC 通過將數字簽名附加到您的域名 DNS 信息來為您的 DNS 增加額外的安全性。
• 聯系您的域名擴展名 (.us) 的注冊管理機構，例如了解它如何檢測攻擊并快速采取行動。
• 通過將嚴格的傳輸安全預加載到瀏覽器中來保護訪問者。

選擇一個提供額外安全預防措施的注冊商，以降低您的帳戶落入劫機者手中的風險。具體來說，我們建議尋找注冊商產品：

• 2 因素身份驗證- 如果域名注冊商采取增強的身份驗證措施，則可以防止大量劫持。提供雙因素身份驗證不僅需要用戶名和密碼，還需要用戶獨有的東西。注冊商可能會要求提供只有真正的域名所有者才知道的信息。還有一些技術可以打電話或發送短信到域名所有者的手機，其中包含必須輸入才能訪問其帳戶的代碼。
• 帳戶鎖定- 為阻止人們嘗試所有可能的字母、數字和特殊字符組合來破解您的密碼，注冊商可以在輸入三個無效密碼后自動鎖定用戶。限制密碼嘗試的目的是阻止暴力密碼攻擊。如果發現異常登錄活動，域名帳戶將被鎖定一段設定的時間，然后用戶才能重試。最好的情況是帳戶被鎖定，直到域名所有者通過注冊商重置密碼來恢復帳戶。
• 注冊表鎖- 注冊表鎖是一項旨在為域名提供高級別保護的服務。注冊表鎖是一種機制，任何更改域名服務器的請求都必須手動驗證。安全研究人員提倡在注冊商可能受到威脅的情況下將其作為有用的屏障。

如果您的注冊商不合格，請切換到具有更好安全措施的注冊商。

三、域名劫持

域名劫持是一種在線發生的盜竊形式。竊賊未經域名注冊人同意就訪問域名。防止您的域名成為這種形式攻擊的犧牲品取決于您自己和您的域名/托管公司，因為它們的發生是由于您和他們端的安全漏洞。

• 當黑客試圖關閉網站時，域名可能會被劫持以供惡意使用。雖然無法訪問，但域名所有者可能會賠錢。他們作為安全網站的聲譽也將受到打擊。黑客可能會向您勒索金錢以將您的域名轉移回您的手中，或者將您的網站替換為另一個網站以向不知情的訪問者勒索金錢或寶貴信息，這被稱為網絡釣魚，我們稍后會對此進行調查。
• 有能力的黑客可能會將域名從合法所有者轉移到其他名稱。在這些情況下，要取回您的域名是很棘手的。黑客可能會冒充您請求您的注冊商將域名轉移到不同的注冊商或其他帳戶。在這種情況下，如果您無法說服注冊商您的情況，則需要法律幫助來收回您的域名。

域名被劫持時會發生什么

要劫持域名，攻擊者需要訪問目標域名的控制面板。為此，他們只需要兩件事：

• 域名注冊商的名稱。
• 與目標域名關聯的管理電子郵件和密碼。攻擊者可以使用一種流行的密碼破解方法，例如暴力破解。暴力攻擊包括嘗試所有可能的數字、字母和特殊字符組合，直到最終猜對為止。

在目標域名的公共WHOIS 數據庫中直接查找將為攻擊者提供管理員記錄，包括與域名關聯的管理員電子郵件。實際上，任何在 WHOIS 數據庫中列出其聯系信息的人都在提供劫持其域名的后門。要解鎖域名控制面板以接管對域名的完全訪問權限，黑客必須破解管理員電子郵件。一旦獲得此訪問權限，他們就可以重置控制面板密碼、登錄并劫持域名。

用這些對策保護自己：

1. Protect your domain control panel - 保護您的域名控制面板- 不要讓您的域名因為您對安全的疏忽而遭受劫持。一旦您的域名被注冊，注冊商將授予您訪問您域名的控制面板的權限。從面板中，您可以修改您的域名設置，例如它指向哪個服務器。注冊時，您將提供一個用于訪問面板的電子郵件地址。如果任何人都可以訪問管理電子郵件帳戶，他們就可以訪問您的域名控制面板及其所有設置。黑客經常從 WHOIS 注冊記錄中獲取這些信息。使用域名隱私將阻止他們訪問此信息。
2. 選擇受信任的域名提供商 - 另一個安全威脅來自您的域名提供商的安全故障。如果黑客可以訪問您的注冊商的后端，您的域名就會面臨風險。為保護您自己，請選擇 ICANN 認可的域名注冊商。ICANN 是協調全球域名 IP 地址的機構，他們還發布新的域名后綴。如果對所有權有任何爭議，管理機構 ICANN 是您恢復域名的最佳選擇。
3. 啟用域名自動續訂 - 并非所有域名都被盜，您的域名注冊可能會過期，同時有人可以注冊該域名。這是完全合法的做法，因此您不能對這種行為采取任何行動。為避免這種情況發生，請啟用您的域名的自動續訂或注冊更長的持續時間。例如，大多數注冊商最多允許十年。
4. 申請域名隱私保護 - 使用 WHOIS 隱私從 WHOIS 記錄中阻止您的名字，將您的詳細信息交換為記錄中的域名注冊商。

如何恢復被盜的域名

• 聯系您的域名注冊商，即您最初購買域名的人。聯系支持團隊，說明情況。向他們提供相關詳細信息，例如用于購買域名的帳戶名、任何最近的通信，并完成任何必需的文書工作。
• 如果因為域名已經轉移到另一個注冊商而注冊商無能為力，請尋求法律幫助。文件是證明您擁有所有權的關鍵，例如，與被劫持域名相關的注冊記錄副本或注冊商的信件， 跟蹤將您或您的組織與被劫持域名相關聯的任何金融交易以及任何營銷材料或目錄，例如將被劫持域名與您的組織相關聯的黃頁。
• 您最后的選擇是聯系 ICANN。ICANN 擁有大量與域名爭議解決相關的文檔。如果您發現自己處于這種情況，請點擊此鏈接到他們的幫助頁面。提供的文檔和步驟可能有助于恢復您被黑的網站。

四、域名釣魚

垃圾郵件不僅僅是煩人的、未經請求的電子郵件。它被稱為勒索軟件、惡意軟件、網絡釣魚和其他安全威脅的首選交付基礎設施。

• 域名網絡釣魚是一種騙局，它會誘使毫無戒心的電子郵件收件人交出他們的帳戶詳細信息。向域名所有者發送一封電子郵件，模仿他們的注冊商，要求他們點擊。在某些情況下，鏈接會要求他們登錄自己的帳戶以檢查是否存在可疑活動。該鏈接將他們轉發到一個復制站點，在那里他們可以自由地提供用戶名和密碼。
• 密切關注網絡釣魚詐騙很重要，因為它們也是惡意軟件的傳播機制。另一種類型的網絡釣魚電子郵件要求收件人點擊鏈接下載針對其域名的所有投訴。下載的文件包含惡意軟件。這些類型的電子郵件被一攬子發送給眾多注冊商的客戶，它們可能并不復雜，但人們仍然會點擊。

為什么人們會上當受騙？

人們點擊不良鏈接以及網絡釣魚詐騙盛行的原因一點也不奇怪。

1. 注冊服務商沒有遵循電子郵件最佳實踐——網絡罪犯很難在電子郵件中合并數據。當注冊服務商向您發送電子郵件時，它不應僅按姓名稱呼您。不幸的是，注冊服務商不會這樣做，因此當您收到網絡釣魚電子郵件時不要發出警告信號。如果您對電子郵件的合法性有任何疑問，如有任何問題，請隨時單獨聯系您的注冊商支持人員。多五分鐘可以讓你省去很多麻煩。
2. 出售廉價 WHOIS 數據的公司- 一些注冊商出售 WHOIS 數據。這就是域名所有者在注冊域名后收到如此多垃圾郵件的原因。眾所周知，不可靠的注冊商出售廉價的 WHOIS 數據副本。因此，新域名注冊商會收到大量垃圾郵件。
3. WHOIS 中的新驗證要求- 2013 RAA 的新要求要求注冊商驗證 WHOIS 中的信息。網絡釣魚通常是通過向注冊人發送電子郵件要求他們單擊鏈接來完成的。這在某種意義上是在訓練客戶點擊電子郵件中的鏈接，而不是指導他們去網站登錄，讓他們自然更容易上當受騙。

使用以下對策保護自己免于成為其中一封電子郵件的犧牲品：

1、檢查真實性- 有一些跡象可以發現“可疑”電子郵件。

• 當您的注冊商向您發送電子郵件時，是否有針對您的唯一標識符。例如，一封包含“親愛的先生/女士”的電子郵件比包含您的姓名和/或帳戶信息等特定信息的電子郵件更有可能是網絡釣魚。
• 郵件是否包含不匹配的 URL？驗證鏈接 - 通過將鼠標懸停在鏈接上來檢查電子郵件中的完整 URL。如果超鏈接地址與電子郵件正文中顯示的地址不同，則可能是惡意的。
• 在對電子郵件的拼寫、語法和合法性進行審查之前，信譽良好的注冊服務商不太可能代表他們的公司發送電子郵件。如果一條消息充滿拼寫和語法錯誤，則它可能不是來自它們。
• 最大的危險信號之一是消息要求提供個人信息。無論電子郵件看起來多么正式，詢問密碼、登錄詳細信息或安全問題答案等詳細信息都是不好的跡象。
• 相信你的直覺，如果事情看起來不對勁，那可能是有充分理由的。在這種情況下，請聯系您的注冊商并確認電子郵件直接來自他們。

2、打開 2 因素身份驗證- 如果您是網絡釣魚攻擊的獵物，這是一種可靠的反防御形式。如果您的注冊商不提供此服務，請切換到提供此服務的注冊商。

3、添加 WHOIS 隱私- 阻止詐騙電子郵件數量進入您的收件箱。黑客熱衷于對 WHOIS 記錄中列出的人員進行網絡釣魚。

4、使用帶有防病毒軟件的最新瀏覽器- 如果您正在訪問在網絡釣魚攻擊中識別出的頁面，大多數現代瀏覽器都會提醒您，但標記網站可能需要一些時間。您還應該使用防病毒軟件。在目前的攻擊中，這應該會阻止您打開下載文件。

五、DNS 攻擊和緩存中毒

今天的頭條新聞充斥著 DNS 攻擊得逞的報道。“美國 65,000 名互聯網用戶因 DNS 更改器惡意軟件而失去連接”、“美國銀行客戶因 DOS/DDOS 攻擊而無法訪問網站或帳戶信息”只是媒體報道的幾個頭條新聞。

當 Internet 最初被設計時，諸如 DNS 之類的服務在設計時不一定考慮到安全性。如果 DNS 出現故障，所有網絡連接設備都會出現故障。基于 DNS 的攻擊正在增加，因為許多組織沒有意識到 DNS 是一種威脅，因此沒有保護它。公司失去與互聯網的連接，因此無法在線開展業務。這會導致收入損失、客戶流失和負面品牌影響。

當攻擊者以 Microsoft 和 Twitter 為目標時，他們獲得了對負責這些重要域名的注冊商 MelbourneIT 的訪問權限，并更改了權威 DNS 服務器，將其轉移到自己的服務器上。推特的攻擊者是伊朗網絡軍的一個功能，他們改變了 DNS 記錄并重定向了流量，并將流量重定向到托管在他們控制的服務器上的宣傳。在入侵 Twitter 員工的電子郵件帳戶后，他們能夠修改 DNS Twitter 設置。他們使用這個帳戶來授權 DNS 更改。在那次事件中，我們聯系了注冊商 Dyn Inc. 來處理變更請求。

域名攻擊：生存時間

這種域名系統攻擊是最難撤消的攻擊之一，因為攻擊者不僅破壞了域名本身的注冊，而且還可以更改分配給它的 DNS 服務器。這種攻擊最危險的部分是所謂的生存時間 (TTL)。這種性質的更改會在全球范圍內的遞歸 DNS 服務器上緩存幾秒鐘或一整天。除非運營商可以清除緩存，否則可能需要一整天（有時甚至更長）才能扭轉影響。

讓我們來看看需要注意的 DNS 攻擊的主要形式：

攻擊 1：DNS 欺騙

也稱為 DNS 緩存中毒，DNS 欺騙將流量從一臺計算機轉移到假冒的復制品。當用戶在瀏覽器中查找域名時，他們會被路由到錯誤的網站。例如，用戶可能會在瀏覽器中鍵入 Yahoo，但黑客選擇的頁面會加載到他們的屏幕上。由于他們輸入的是正確的域名，他們并不總是意識到他們使用的網站是假的。

檢測 DNS 緩存中毒很困難。它可以持續到管理員意識到并解決問題為止。在此期間，攻擊者有機會使用網絡釣魚技術從毫無戒心的互聯網用戶那里挖掘信息，從登錄??憑證到銀行信息。攻擊的程度取決于攻擊者的意圖和中毒的范圍。

攻擊 2：DDoS 的 DNS 放大

DNS 放大攻擊與欺騙不同，黑客不是威脅 DNS 系統，而是利用 DNS 服務的開放性來實施攻擊。眾所周知的網站、Microsoft、Sony 和 BBC 都以這種方式成為攻擊目標。

當攻擊者利用允許遞歸查找的 DNS 服務器并使用遞歸將他的攻擊傳播到其他 DNS 服務器時，就會發生放大攻擊。簡單來說，僵尸網絡不是將流量直接從僵尸網絡發送到受害者，而是將 DNS 請求轉發到其他系統。這些系統通過向目標網站發送更大的流量來做出響應。

放大攻擊的結果是從僵尸網絡發送的流量相對較少，這需要按比例使用更多的資源。因此，術語增加了來自 DNS 服務器的流量。這些額外的流量被定向到受害網站，導致系統崩潰或變慢。

攻擊 3：緩存中毒

緩存中毒發生在 DNS 緩存數據損壞時。每當您瀏覽網頁、訪問網站和發送電子郵件時，您的計算機很可能正在使用從 DNS 網絡某處緩存的 DNS 數據。這個過程提高了發送電子郵件和加載網頁的速度，但是，緩存是另一個漏洞點。

在緩存投毒攻擊期間，攻擊者試圖利用和瞄準 DNS 服務器中的漏洞，并更改緩存中的尋址信息。當用戶試圖訪問某個站點時，他們會登陸由攻擊者控制的服務器并登陸替代站點。這些通常是目標官方網站的近似副本。用戶很難意識到他們正在被釣魚，因為他們的瀏覽器告訴他們這是官方網站。

此類攻擊的影響包括丟失重要信息，從登錄??名和密碼到登錄名和密碼，再到所捕獲用戶的信用卡號碼。防止 DNS 緩存中毒攻擊的最佳方法包括定期更新程序、定期清除本地機器和網絡系統的 DNS 緩存以及設置較短的 TTL 時間。

攻擊 4：拒絕服務和 DDoS

拒絕服務是一種攻擊，當黑客或惡意機器人向目標 IP 地址發送的流量超過計劃其數據緩沖區的程序員預期有人可能發送的流量時。攻擊者使用受惡意軟件感染的計算機網絡向目標（例如服務器）發送大量流量。目標變得無法解決合法請求。

分布式拒絕服務攻擊 (DDoS) 涉及攻擊者使用僵尸網絡向目標 IP 地址生成大量解析請求。目標是使目標域名超載并使其減速或崩潰。無論一個網站的配置有多過度，如果 DNS 基礎設施無法處理它收到的傳入請求的數量，該網站的性能就會下降或被禁用。DNS 特別容易受到此類攻擊，因為它代表了網絡上的邏輯阻塞點。這個問題的一個解決方案是 DNSSEC，它已在注冊商和注冊管理機構中廣泛推廣。

如何預防和減輕 DNS 攻擊

作為對此類攻擊的回應，ICANN 投資了 DNSSEC，這是一種為避免 DNS 服務器攻擊而開發的技術。DNSSEC 通過為每個 DNS 請求添加真實性簽名來幫助服務器清除虛假請求。DNSSEC 的一個缺點是它必須在 DNS 協議的所有階段都得到實施才能發揮作用——這需要一些時間才能應用。您可以實施保護措施以降低成為針對您的域名的 DDoS 攻擊受害者的風險：

1. 了解最新的 DNS 攻擊和預防技術是保持領先的好方法。
2. 將您的域名托管在多臺服務器上，這樣，如果一臺服務器超載，另一臺就會啟動。
3. 使用托管 DNS 提供商，該提供商采用分布廣泛、高度冗余的 Anycast 服務器網絡來處理 DNS 流量。使用 Anycast 鏡像您的 DNS 服務器可以顯著提高性能并在 DDoS 攻擊期間平衡負載。如果您要構建自己的托管 DNS 服務，請務必利用 Anycast 的強大功能。
4. 使用 UTM 防火墻轉移和防御。它們可以配置為實時識別和阻止 DDoS 攻擊。
5. 將您的系統配置為依賴多個 DNS 服務器，以便在主服務器出現故障時，您可以進行回退。

最后一句話

恢復被盜域名并不容易。收拾收入損失和聲譽受損的爛攤子是一條漫長而昂貴的道路，您不想走下去。在某些情況下，網站所有者別無選擇，只能更改其域名。通過保護與您的域名關聯的管理電子郵件帳戶來避免這種情況。如果你失去了這個，你很快就會失去你的域名。將域名安全放在首位。考慮到所討論的 5 種關鍵域名攻擊和防御形式，采取充分的保護措施來防止所有形式的網站黑客攻擊和盜竊。