什么是域名劫持？

什么是域名劫持？

域名劫持是指攻击者掌握了域名的控制权，通常是通过社会工程学获得。域名是用于将用户连接到网站的唯一、易于记忆的地址，也是组织建立其面向公众的互联网身份的基础。

攻击者成功劫持域名后，合法的域名所有者便失去了其对众多与域名相关服务的控制权。包括网站内容、企业电子邮件、VoIP 呼叫中心、云存储服务，以及与该域名相关的其他应用。这使得域名劫持成为对企业品牌、营收和声誉影响最大的在线威胁之一。

域名的工作原理是什么？

域名让用户可以更轻松地访问网站，而无需记住数字 IP 地址。域名系统 (DNS) 相当于是互联网的电话簿，负责将域名与 IP 地址进行匹配。

域名是通过域名注册商投入使用。在获取域名时，有两个关键参与方：注册商和注册管理机构。可以将注册管理机构（例如 VeriSign）视为批发商，并将注册商视为零售商。注册管理机构拥有 TLD 内所有注册域名的数据库。他们将可用域名的预订委托给注册商。相应地，成千上万注册商向最终用户“出售”（或更确切地说是“出租”）域名，供其在一定期限内使用。

域名由两个或三个部分组成，每个部分之间用点分隔。从右向左阅读时，域名中的标识符从最笼统到最具体：

• 域名中最后一个点右侧的部分是顶级域 (TLD)。TLD 示例包括：“.com”、“.net”、“.co”、“.uk”以及“.in”。
• TLD 左侧的部分是二级域名 (2LD)，如果二级域名的左侧还有内容，则是所谓的三级域名 (3LD)。

为了防范未经授权的域名修改，域名所有者可以通过其注册商应用“客户端”锁定（注册商锁定）。注册管理机构应用“服务器”锁定，也称为注册管理机构锁定。但是，如果攻击者取得了适当的账户访问权限，他们可以解除域名锁定并进行未经授权的注册商更改。

How does domain hijacking occur?

域名被劫持的方式有很多。例如：

• 社会工程学和网络钓鱼阴谋：从广义上讲，社会工程学是指通过操纵用户提供敏感信息的攻击。例如，攻击者向目标受害者发送了一封看似合法的网络钓鱼电子邮件，邮件似乎来自于注册商。收件人点击邮件中的某个链接，以为自己访问的是注册商网站，但实际上，链接会引导其访问假冒域名，企图窃取其注册商登录凭据。
• 利用休眠域名或即将到期的域名：大多数域名一次可以注册的最长使用期限为 10 年。注册商有责任在客户的域名即将过期时提醒客户。但是，如果最终用户未能妥善续订域名或未能正确停用域名，则攻击者可能会购买并利用该域名。
• 注册商泄露：攻击者还可能利用注册商漏洞。例如，在 Squarespace 从 Google Domains 迁移大约 1000 万个域名的过程中，攻击者利用了一个漏洞，让其能够接管账户并修改 DNS 记录（特别是某些加密和区块链公司的 DNS 记录）。然后，攻击者将访问者重定向到网络钓鱼网站，企图窃取令牌和其他数字货币。
• 被破解的 API 密钥：API 密钥和其他身份验证令牌旨在允许应用通过 API 访问在线账户，例如某些域名服务。如果这些密钥遭到暴露或意外泄露，则可能提供对组织注册商账户的访问权限。

域名劫持会产生怎样的影响？

成功入侵某个域名后，攻击者可以扰乱大量的 Web 运行。 例如，他们可以：

• 更改原始网站的内容
• 将访问者重定向到其他恶意网站
• Divert online payments to attacker-controlled accounts
• 从域名的邮件服务器发送垃圾邮件和网络钓鱼邮件
• 阅读发送到公司收件箱的敏感邮件
• 更改 API 调用，扰乱组织的移动应用和其他数字服务

在不同注册商之间转移域名非常简单，但要恢复被盗的域名却非常困难。可能需要几周或数月的时间，甚至可能需要采取法律行动。之所以如此困难，部分原因是正确的文档可能保存在原始域名所有者无法再访问的系统（例如公司电子邮件）中。域名可能会在几天内恢复；或者，原始（合法）所有者可能永远无法取回被盗的域名。

无论结果如何，域名劫持最终都可能会导致严重的财务、声誉甚至监管后果。

Domain hijacking vs. domain spoofing

在域名劫持中，攻击者会窃取合法注册的域名。域欺骗是指网络犯罪分子创建虚假的网站或电子邮件域来欺骗用户，就像骗子向人们展示其伪造的凭据来获得对方的信任一样。攻击者无需接管域名注册商账户即可实施域欺骗。

域名劫持与 DNS 劫持

域劫持（破坏域名本身）与 DNS 劫持（也称为 DNS 中毒）不同。在 DNS 劫持中，攻击者的目标是域名服务器网站上的 DNS 记录。

从根本上说，域名服务器记录会告诉互联网去哪里查找域名的 IP 地址。如果域名服务器记录配置不当（“中毒”），攻击者可以将查询转移到其他的域名服务器。例如，用户流量可能会被转移到一个与原始网站相同但会分发恶意软件的目的地，而不是加载正确的网站或应用。

如何防范域名劫持

组织保护自身免遭域名劫持的最简单方法是选择一个信誉良好的域名注册商，由其提供强大的安全保护措施。寻找如下所述的各种功能：

• 双因素身份验证 (2FA)：2FA 要求所有注册者账户持有人采用两种不同方式证明自己的身份，然后才能获得访问授权。
• 域名注册隐私保护：域名隐私服务可以隐藏公共记录中的域名注册人联系方式。
• 注册商锁定：许多大众市场注册商支持注册商锁定，如此一来，除非注册人明确解除锁定，否则注册管理机构无法更改信息。
• 注册管理机构锁定：注册管理机构锁定是更高级别的安全措施，需要多个独立的离线验证源和步骤。
• 续订宽限期：到期后，宽限期可以为错过了最后期限的客户提供帮助。对于自动续订的用户，如果其登记的信用卡已过期，也会受到影响。选择提供宽限期的注册商，是挫败寻求积极利用已过期域名的攻击者的关键。

Cloudflare 如何帮助防范域名劫持

Cloudflare 的域名注册服务 Cloudflare Registrar 为 Enterprise 计划客户提供自定义域名保护，以防范域名劫持。使用自定义域名保护功能，对域名所有权或域名服务器的更改均手动验证并执行。严格的更改协议有助于确保所有更改均由组织直接批准。

Cloudflare Registrar 还包含适用于所有域名的内置、通用 DNSSEC，保护域名免遭各种基于 DNS 的攻击。