在攻擊者劫持網域後,擁有者無法再控制網站內容、電子郵件或依賴於網域名稱的任何其他應用程式服務。
閱讀本文後,您將能夠:
複製文章連結
網域劫持是指攻擊者控制網域名稱(通常透過社交工程進行)。網域名稱是用於將使用者連接到網站的易於記憶的唯一地址,也是構建組織面向公眾的網際網路身分的基礎。
當攻擊者成功劫持網域時,合法所有者將失去對所有網域相關服務的控制權。這包括網站內容、公司電子郵件、VoIP 呼叫中心、雲端儲存服務以及與該網域相關聯的其他應用程式。這使得網域名稱劫持成為對品牌、收入和聲譽的最大線上威脅之一。
網域名稱可讓您更輕鬆地存取網站,而您無需記住英數字元 IP 位址。得益於網域名稱系統 (DNS)(該系統充當網際網路的電話簿),網域名稱能夠與 IP 位址相匹配。
網域是透過網域名稱註冊商建立的。要獲取網域,涉及兩個關鍵參與者:網域名稱註冊商和註冊機構。可以將註冊機構(例如 VeriSign)視為批發商,將網域名稱註冊商視為零售商。註冊機構擁有一個 TLD 內所有註冊網域的資料庫。他們將可用網域名稱的保留委派給註冊商。而註冊商(有數千個)向終端使用者「出售」(或更確切地說租賃)網域,供其在一定時間範圍內使用。
網域名稱包含兩個或三個部分,每個部分以點分隔。從右到左閱讀時,網域名稱中的標識符從最廣泛到最具體:
為了幫助防止未經授權的網域名稱修改,網域擁有者可以透過其網域名稱註冊商來套用「用戶端」鎖定(註冊商鎖定)。註冊機構會套用「伺服器」鎖定,也稱為註冊機構鎖定。但是,如果攻擊者獲得了適當的帳戶存取權限,他們就可以移除網域鎖定並進行未經授權的註冊商變更。
劫持網域的方式有很多。例如:
成功入侵網域後,攻擊者可以破壞大量 Web 操作。例如,他們可以:
在網域名稱註冊商之間轉移網域非常簡單,但要恢復被盜網域則非常困難。這可能需要數週甚至數月的時間。甚至可能需要採取法律行動。造成困難的部分原因是,正確的文件可能存在於原始網域擁有者無法再存取的系統(例如公司電子郵件)中。網域有可能會在幾天內恢復,也有可能原始(合法)擁有者永遠無法取回被盜的網域。
無論結果如何,被劫持的網域最終都會導致嚴重的財務、聲譽甚至監管後果。
在網域劫持中,攻擊者會竊取合法註冊的網域名稱。網域詐騙是指網路罪犯建立虛假網站或電子郵件網域來試圖欺騙使用者,就像騙子向某人展示虛假憑證以獲取信任一樣。攻擊者無需盜用網域名稱註冊商帳戶即可偽造網域。
網域劫持(入侵網域本身)與 DNS 劫持(也稱為 DNS 中毒)不同。在 DNS 劫持中,攻擊者以名稱伺服器 (NS) 上網站的 DNS 記錄為目標。
本質上,名稱伺服器記錄告訴網際網路可從哪裡找到網域的 IP 位址。如果名稱伺服器記錄設定不當(即「中毒」),攻擊者可以將查詢轉移到不同的網域名稱伺服器。例如,使用者流量可能會被轉移到散佈惡意程式碼的原始網站復本,而不是載入正確的網站或應用程式。
組織保護自己免遭網域劫持的最簡單方法是選擇聲譽良好且提供強大安全措施的網域名稱註冊商。尋找以下功能:
Cloudflare 的網域名稱註冊商服務 Cloudflare Registrar 為 Enterprise 方案客戶提供自訂網域保護,以防止網域劫持。透過自訂網域保護,對網域擁有權或名稱伺服器的任何變更都需要手動驗證和執行。嚴格的變更通訊協定有助於確保任何變更都得到組織的直接核准。
Cloudflare Registrar 還包括適用於所有網域的內建通用 DNSSEC,以保護網域免受各種基於 DNS 的攻擊。