多年来，大规模域名系统劫持（通常以 DNS 或 DDoS 攻击的形式）一直在稳步增加。然而，2019 年发生了数量空前的DNS 劫持事件，促使英国国家网络安全中心就威胁向组织发出警告和建议。了解如何保护您的域名系统免遭劫持。

| DNS劫持结果

与其他任何攻击相比，DNS 攻击更有可能破坏用户对 Internet 的信任。由于数据盗窃和金融欺诈，任何遭受 DNS 攻击的人都会对 Internet 保持警惕，尤其是发生攻击的域名。众所周知，受 DNS 劫持伤害的客户会放弃一些受影响的服务，同时损害他们的底线和品牌声誉。

1. 通过劫持域名，黑客可以有效地使用他们的武器为企业提供在线服务。

DNS 劫持可能对组织及其品牌形象造成毁灭性后果。当一家公司成为 DNS 劫持的受害者时，其客户将面临欺诈、数据盗窃、隐私泄露和财务损失的风险。公司品牌声誉受损，导致客户流失，收入减少。此外，企业可能会受到监管罚款或其他处罚。

2.您可以针对个人和企业，但网站所有者面临最严重的后果。

互联网用户认为他们访问的网站是安全的、安全的和加密的，以保护他们的在线数据。

《通用数据保护条例》等监管机构也为此付出了代价。英国航空公司最近因数据泄露被罚款 2.3 亿美元，其中包括将流量重定向到恶意网站的 DNS 劫持。当用户将信用卡数据输入他们认为是合法的英国航空公司网站时，超过 400,000 名客户受到影响。

DNS 劫持造成的收入、客户和品牌声誉损失直接影响公司的收入和资本价值。

| 为什么 DNS 易受攻击

鉴于大多数组织的在线服务和运营规模，DNS 是一个充满潜在漏洞的庞大网络也就不足为奇了。被遗弃的域名、弱密码控制和繁琐的管理流程加剧了这些弱点。

1. 黑客经常利用企业忽略管理的过期或被遗忘的域。

在忘记了一个允许用户通过单击将其计算机备份到在线服务的域名后，戴尔放弃了控制权。在发现这一疏忽后，黑客窃取了域名并将全球戴尔计算机用户重定向到充满露骨内容和危险下载的网站。对戴尔品牌声誉的损害是巨大的。

2. 未使用或“孤立”的域是另一个问题。如果您的公司管理着数百或数千个域，则很容易忽略被入侵的域。

在这次被称为“垃圾熊”的攻击中，黑客使用 GoDaddy 的 DNS 系统从HKBGP ING 银行、希尔顿、麦当劳和万事达卡等 600 家所有者那里窃取了 4,000 个孤立的域。这些域特别容易受到攻击，因为它们在主服务器之外被遗忘并且没有得到有效管理。

3. 域名系统管理和访问易受攻击。

访问 DNS 控制系统应仅限于授权人员，但由于密码管理不善，容易受到攻击。未经授权的团体经常访问公司 DNS 控制系统，劫持域名和 DNS，并掩盖其踪迹以避免被发现。 DNS 控制可以包括 DNS 所有者和 DNS 服务提供商的操作，因此两个系统都需要安全密码控制，例如双重身份验证。

4. 低效和低效的变更管理流程削弱了 DNS 安全性。 

小的更改可能会危及您的域，因此管理员需要仔细跟踪更改的时间、地点、原因和方式。这通常是手动完成的，增加了损害 DNS 安全性的错误和疏忽的风险。

5. 如果变更管理无效，DNS 安全设置将被忽略或禁用。

设置（例如用于验证用户和收件人身份的域名系统安全扩展）、基于域的电子邮件验证、用于审计电子邮件用户的报告和合规性以及发件人策略框架是强制性和必需的安全措施，它被广泛认为是一种对策。财富 1000 强公司的持续研究表明，这些保护措施完全缺失或部署不当，对受影响组织的 DNS 网络和客户造成严重破坏。

为了保护大家的利益，企业需要通过全面有效的管理来增强 DNS 的安全性。

| 如何保护您的域名系统不被劫持

防止 DNS 攻击主要是管理不断增长的 DNS 网络运营规模，避免劫持，并通过以下策略保护 DNS：

1.集成到一个平台

将所有域名注册商和 DNS 服务提供商整合为一个企业级注册商和 DNS 服务提供商。在一个平台上工作可提供更轻松的控制和访问、更强大的密码保护，并为管理所有流程提供相同的最佳实践。在单一平台上，用户还可以激活自动更新和注册商锁定功能，以减少域名更新失败或 DNS 被错误修改的机会。

2.删除不必要的域名

所有域，包括未使用的域，都应以与高级域相同的方式进行管理和维护。主动消除孤立域并管理容易被滥用的 DNS 设置，例如未使用的 IP 地址和没有授权来源 (SoA) 的域。

3. 综合变革管理

实施依赖于自动化而非手动输入的基于系统的变更管理平台。自动化阻止未经授权的更改，将允许的更改通知管理员，并对系统中的所有活动进行防篡改审计。理想情况下，该平台集成了所有与 DNS 相关的管理任务，包括用于加密和安全设置（如 DNSSEC）的 TLS 证书。

4.自动化管理流程

通过自动化流程来克服重要 DNS 安全功能的复杂性。 DNSSEC、DMARC 和 SPF 管理起来困难且成本高昂，这使得它们在经济上对许多企业来说是不可持续的。自动化的 DNS 安全性使其在经济上可行且易于管理，同时确保完全合规。

客户和用户会避开他们认为不安全的网站。所有使用在线服务的组织都必须优先考虑 DNS 安全，而 Internet 安全取决于它。