域名网络钓鱼和其他安全攻击

域名劫持是可能发生在粗心的网站所有者身上的最糟糕的事件之一。考虑在线发生的商业数量，以及劫持域名的难易程度。劫持比以往任何时候都更加普遍，因为它们造成的破坏量很大。您可能前一刻还在网上做生意，下一刻就发现您的域名已被入侵。现在它掌握在具有修改的 DNS 的不同注册商手中。您的访问者现在登陆了一个恶作剧网站，这都是因为有人冒充了您的公司，或渗透了您的注册商。

“域名劫持”一词是指滥用或盗用合法所有者的注册域名。对于域名所有者来说，这可能是一个严重的问题，对任何规模的网站都构成安全风险，但公司在制定安全策略时往往会忽视劫持。尽管域名劫持会带来各种风险，但许多域名所有者和公司未能采取可以保护其域名的基本预防措施。人们购买了最低限度的域名，拒绝了可以让他们省心的保护措施。对所涉及的风险进行一些教育将很快解决这个问题。

谁容易受到攻击？为什么会发生？

如今，在线业务很普遍。几乎每个企业——本地的、国家的或国际的——都有用于营销或电子商务的网络存在。网站是公司的重要资产。禁用或劫持公司的网站会剥夺他们的潜在利润和收益。

如果您不想让您的联系信息随时可用怎么办？答案是从您的域名注册商处购买隐私保护。使用 WHOIS 隐私，您的联系信息将被屏蔽。当有人在 WHOIS 记录中搜索您的域名时，他们会发现属于您的域名注册商的信息是可见的。

人们攻击域名的动机有很多：为了经济利益；使竞争对手的网站脱机或访问客户数据，仅举几例。黑客也可能有政治​​动机，例如当 UGNazi 入侵 coach.com 时，他们的动机是政治而非经济。当时他们的网站上说；“我们不会窃取用户的数据，只是在这里让他们意识到 [SOPA、PIPA 和 ACTA 对互联网构成的危险” [原文如此]。当时，Coach 支持备受争议的《制止网络盗版法案》(SOPA)，而 UGNazi 坚决反对。

其他成为劫持对象的公司就没有这么幸运了。域名劫持是组织需要认真考虑的问题，因为它会给敏感的公司信息带来风险。例如，黑客可以访问公司的所有传入电子邮件。

不要让黑客轻易利用您域名的漏洞。您的域名容易因三个常见缺陷而受到攻击：

• 您的域名提供商的安全故障- 经销商、注册商和注册管理机构必须提供安全可靠的注册服务。如果域名提供商未能提供足够的安全性，ICANN 可以介入。所有认可的注册商都必须遵守 ICANN 的注册协议，该协议涵盖垃圾邮件、网络钓鱼、whois 投诉和域名转移等。现有机制可以对您的注册商合同服务合规性的任何问题提出异议。由于 ICANN 遵守域名注册政策，如果发现有欺诈行为，他们将取消非法所有权。
• 您自己对域名安全的疏忽- 您有义务维护您的安全，我们将讨论这一点。
• DNS 的弱点——域名系统 (DNS) 控制与您的域名关联的所有网站和电子邮件设置。当访问者搜索您的域名时，将通过 DNS 网络进行查找，将客户端计算机连接到目标服务器。如果更改 DNS 设置，访问者将登陆不同的网站。从一开始，DNS 的设计就没有考虑到安全性，这就是系统中存在固有漏洞的原因。

让我们仔细研究一下您的域名可能会受到的攻击形式。

攻击类型和防御形式

随着 Internet 的发展，用于攻击域名的方法也在不断发展。要最好地保护您的网站，需要注意特定形式的攻击。

一、域名抢注

域名仿冒是不那么精明的犯罪分子利用粗心的网站所有者的一种非常常见的方式。也称为 URL 劫持，这是一种域名抢注形式，其中有人注册他人品牌的拼写错误，希望他们可以从因输入错误产生的流量中获利。他们针对在浏览器中错误键入网站地址的用户。

当出现这些类型的拼写错误时，用户可能会登陆由黑客为恶意目的而创建的替代页面。域名仿冒者不仅以登录页面为目标，还利用网络钓鱼诱使人们访问虚假网站。域名仿冒者很有创意，他们会注册所有类型的常见拼写错误来抢夺您的品牌流量。它们不仅针对拼写错误，还针对您的域名和常见域名扩展的单数和复数版本。保护您的域名免遭域名仿冒的唯一方法是在黑客有机会之前注册您域名的拼写错误。

• 拼写错误- 购买明显拼写错误的域名并考虑拼音版本。考虑购买替代拼写，例如 1 或 l 代表 i，0 代表 O。例如，最好同时购买 onlylaptops.com 和 0nlylaptops.com。
• 单数和复数版本- 为了安全起见，购买您域名的两个版本，例如 portland-car-repair.com 和 portland-car-repairers.com。
• 连字符- 购买连字符和非连字符版本，即 brasssupplier.com 和 brass-supplier.com。对于这些版本来说，第二次猜测人们遗漏或在单词之间添加连字符是明智的。
• 通用域名后缀- 购买至少包含最流行域名后缀.org、.com 和 .net 的域名。

一旦您注册了所有可能的域名替代版本，只需将它们重定向到您的核心域名。这样，访问者将登陆您的真实域名，而不是黑客的网站获取您的错字流量。

二、注册商黑客

注册商黑客攻击虽然不常见，但对所有域名网站所有者构成严重风险。大多数域名都是通过注册商注册的，但私人注册的域名除外，例如品牌 TLD，例如 .google。您的注册商代表了最大的单一潜在故障点。如果您的注册商被黑了，您就完蛋了。黑客将完全控制您的域名。他们可以将它指向任何他们想要的地方，更糟糕的是，将它转让给新的所有者。

当黑客获取您的域名登录信息时，他们可以更改官方域名服务器上的域名详细信息，并对它们做任何他们想做的事情：将他们引导到一个克隆站点以收集客户信息、提供恶意软件等等。威胁可以是史诗般的规模，并且执行方式各不相同。考虑到更新 DNS 的延迟，如果进行了任何更改，它们可能会在检测到任何可疑内容之前的几个小时内被忽视。

顶级域名的移交导致对注册表名称服务器的未授权访问已发生。这可能导致将数千个域名重定向到恶意网站。一旦有人注意到任何可疑活动，注册服务商的技术团队将更改所有受影响的登录并恢复所做的任何更改。此过程可能需要几个小时。

尽管这些事件是您无法控制的，但您可以为您的网站和 DNS 增加额外的安全性，以降低您的域名被劫持的风险：

• 主动监控 DNS 解析；你可能只是抓了一只老鼠。密切关注您的 DNS 流量可能会发现您的网络中存在僵尸网络（受感染计算机的网络，该网络用于传播恶意软件）。使用您可能已经部署的名称解析器和安全系统监控此类流量。
• 使用防火墙（包括防止 IP 欺骗和拒绝分配号码空间之外的查询的规则 - 这将防止您的名称解析器在分布式拒绝服务攻击中被利用。那些试图让您的站点脱机的人。一定要检查 DNS可疑字节模式的流量以阻止名称服务器软件 exokit 攻击。防火墙很容易提供此功能，Sonicwall 等防火墙可以检测并阻止隧道流量。
• 从您的域名注册商处请求 DNSSEC。DNSSEC 通过将数字签名附加到您的域名 DNS 信息来为您的 DNS 增加额外的安全性。
• 联系您的域名扩展名 (.us) 的注册管理机构，例如了解它如何检测攻击并快速采取行动。
• 通过将严格的传输安全预加载到浏览器中来保护访问者。

选择一个提供额外安全预防措施的注册商，以降低您的帐户落入劫机者手中的风险。具体来说，我们建议寻找注册商产品：

• 2 因素身份验证- 如果域名注册商采取增强的身份验证措施，则可以防止大量劫持。提供双因素身份验证不仅需要用户名和密码，还需要用户独有的东西。注册商可能会要求提供只有真正的域名所有者才知道的信息。还有一些技术可以打电话或发送短信到域名所有者的手机，其中包含必须输入才能访问其帐户的代码。
• 帐户锁定- 为阻止人们尝试所有可能的字母、数字和特殊字符组合来破解您的密码，注册商可以在输入三个无效密码后自动锁定用户。限制密码尝试的目的是阻止暴力密码攻击。如果发现异常登录活动，域名帐户将被锁定一段设定的时间，然后用户才能重试。最好的情况是帐户被锁定，直到域名所有者通过注册商重置密码来恢复帐户。
• 注册表锁- 注册表锁是一项旨在为域名提供高级别保护的服务。注册表锁是一种机制，任何更改域名服务器的请求都必须手动验证。安全研究人员提倡在注册商可能受到威胁的情况下将其作为有用的屏障。

如果您的注册商不合格，请切换到具有更好安全措施的注册商。

三、域名劫持

域名劫持是一种在线发生的盗窃形式。窃贼未经域名注册人同意就访问域名。防止您的域名成为这种形式攻击的牺牲品取决于您自己和您的域名/托管公司，因为它们的发生是由于您和他们端的安全漏洞。

• 当黑客试图关闭网站时，域名可能会被劫持以供恶意使用。虽然无法访问，但域名所有者可能会赔钱。他们作为安全网站的声誉也将受到打击。黑客可能会向您勒索金钱以将您的域名转移回您的手中，或者将您的网站替换为另一个网站以向不知情的访问者勒索金钱或宝贵信息，这被称为网络钓鱼，我们稍后会对此进行调查。
• 有能力的黑客可能会将域名从合法所有者转移到其他名称。在这些情况下，要取回您的域名是很棘手的。黑客可能会冒充您请求您的注册商将域名转移到不同的注册商或其他帐户。在这种情况下，如果您无法说服注册商您的情况，则需要法律帮助来收回您的域名。

域名被劫持时会发生什么

要劫持域名，攻击者需要访问目标域名的控制面板。为此，他们只需要两件事：

• 域名注册商的名称。
• 与目标域名关联的管理电子邮件和密码。攻击者可以使用一种流行的密码破解方法，例如暴力破解。暴力攻击包括尝试所有可能的数字、字母和特殊字符组合，直到最终猜对为止。

在目标域名的公共WHOIS 数据库中直接查找将为攻击者提供管理员记录，包括与域名关联的管理员电子邮件。实际上，任何在 WHOIS 数据库中列出其联系信息的人都在提供劫持其域名的后门。要解锁域名控制面板以接管对域名的完全访问权限，黑客必须破解管理员电子邮件。一旦获得此访问权限，他们就可以重置控制面板密码、登录并劫持域名。

用这些对策保护自己：

1. Protect your domain control panel - 保护您的域名控制面板- 不要让您的域名因为您对安全的疏忽而遭受劫持。一旦您的域名被注册，注册商将授予您访问您域名的控制面板的权限。从面板中，您可以修改您的域名设置，例如它指向哪个服务器。注册时，您将提供一个用于访问面板的电子邮件地址。如果任何人都可以访问管理电子邮件帐户，他们就可以访问您的域名控制面板及其所有设置。黑客经常从 WHOIS 注册记录中获取这些信息。使用域名隐私将阻止他们访问此信息。
2. 选择受信任的域名提供商 - 另一个安全威胁来自您的域名提供商的安全故障。如果黑客可以访问您的注册商的后端，您的域名就会面临风险。为保护您自己，请选择 ICANN 认可的域名注册商。ICANN 是协调全球域名 IP 地址的机构，他们还发布新的域名后缀。如果对所有权有任何争议，管理机构 ICANN 是您恢复域名的最佳选择。
3. 启用域名自动续订 - 并非所有域名都被盗，您的域名注册可能会过期，同时有人可以注册该域名。这是完全合法的做法，因此您不能对这种行为采取任何行动。为避免这种情况发生，请启用您的域名的自动续订或注册更长的持续时间。例如，大多数注册商最多允许十年。
4. 申请域名隐私保护 - 使用 WHOIS 隐私从 WHOIS 记录中阻止您的名字，将您的详细信息交换为记录中的域名注册商。

如何恢复被盗的域名

• 联系您的域名注册商，即您最初购买域名的人。联系支持团队，说明情况。向他们提供相关详细信息，例如用于购买域名的帐户名、任何最近的通信，并完成任何必需的文书工作。
• 如果因为域名已经转移到另一个注册商而注册商无能为力，请寻求法律帮助。文件是证明您拥有所有权的关键，例如，与被劫持域名相关的注册记录副本或注册商的信件， 跟踪将您或您的组织与被劫持域名相关联的任何金融交易以及任何营销材料或目录，例如将被劫持域名与您的组织相关联的黄页。
• 您最后的选择是联系 ICANN。ICANN 拥有大量与域名争议解决相关的文档。如果您发现自己处于这种情况，请点击此链接到他们的帮助页面。提供的文档和步骤可能有助于恢复您被黑的网站。

四、域名钓鱼

垃圾邮件不仅仅是烦人的、未经请求的电子邮件。它被称为勒索软件、恶意软件、网络钓鱼和其他安全威胁的首选交付基础设施。

• 域名网络钓鱼是一种骗局，它会诱使毫无戒心的电子邮件收件人交出他们的帐户详细信息。向域名所有者发送一封电子邮件，模仿他们的注册商，要求他们点击。在某些情况下，链接会要求他们登录自己的帐户以检查是否存在可疑活动。该链接将他们转发到一个复制站点，在那里他们可以自由地提供用户名和密码。
• 密切关注网络钓鱼诈骗很重要，因为它们也是恶意软件的传播机制。另一种类型的网络钓鱼电子邮件要求收件人点击链接下载针对其域名的所有投诉。下载的文件包含恶意软件。这些类型的电子邮件被一揽子发送给众多注册商的客户，它们可能并不复杂，但人们仍然会点击。

为什么人们会上当受骗？

人们点击不良链接以及网络钓鱼诈骗盛行的原因一点也不奇怪。

1. 注册服务商没有遵循电子邮件最佳实践——网络罪犯很难在电子邮件中合并数据。当注册服务商向您发送电子邮件时，它不应仅按姓名称呼您。不幸的是，注册服务商不会这样做，因此当您收到网络钓鱼电子邮件时不要发出警告信号。如果您对电子邮件的合法性有任何疑问，如有任何问题，请随时单独联系您的注册商支持人员。多五分钟可以让你省去很多麻烦。
2. 出售廉价 WHOIS 数据的公司- 一些注册商出售 WHOIS 数据。这就是域名所有者在注册域名后收到如此多垃圾邮件的原因。众所周知，不可靠的注册商出售廉价的 WHOIS 数据副本。因此，新域名注册商会收到大量垃圾邮件。
3. WHOIS 中的新验证要求- 2013 RAA 的新要求要求注册商验证 WHOIS 中的信息。网络钓鱼通常是通过向注册人发送电子邮件要求他们单击链接来完成的。这在某种意义上是在训练客户点击电子邮件中的链接，而不是指导他们去网站登录，让他们自然更容易上当受骗。

使用以下对策保护自己免于成为其中一封电子邮件的牺牲品：

1、检查真实性- 有一些迹象可以发现“可疑”电子邮件。

• 当您的注册商向您发送电子邮件时，是否有针对您的唯一标识符。例如，一封包含“亲爱的先生/女士”的电子邮件比包含您的姓名和/或帐户信息等特定信息的电子邮件更有可能是网络钓鱼。
• 邮件是否包含不匹配的 URL？验证链接 - 通过将鼠标悬停在链接上来检查电子邮件中的完整 URL。如果超链接地址与电子邮件正文中显示的地址不同，则可能是恶意的。
• 在对电子邮件的拼写、语法和合法性进行审查之前，信誉良好的注册服务商不太可能代表他们的公司发送电子邮件。如果一条消息充满拼写和语法错误，则它可能不是来自它们。
• 最大的危险信号之一是消息要求提供个人信息。无论电子邮件看起来多么正式，询问密码、登录详细信息或安全问题答案等详细信息都是不好的迹象。
• 相信你的直觉，如果事情看起来不对劲，那可能是有充分理由的。在这种情况下，请联系您的注册商并确认电子邮件直接来自他们。

2、打开 2 因素身份验证- 如果您是网络钓鱼攻击的猎物，这是一种可靠的反防御形式。如果您的注册商不提供此服务，请切换到提供此服务的注册商。

3、添加 WHOIS 隐私- 阻止诈骗电子邮件数量进入您的收件箱。黑客热衷于对 WHOIS 记录中列出的人员进行网络钓鱼。

4、使用带有防病毒软件的最新浏览器- 如果您正在访问在网络钓鱼攻击中识别出的页面，大多数现代浏览器都会提醒您，但标记网站可能需要一些时间。您还应该使用防病毒软件。在目前的攻击中，这应该会阻止您打开下载文件。

五、DNS 攻击和缓存中毒

今天的头条新闻充斥着 DNS 攻击得逞的报道。“美国 65,000 名互联网用户因 DNS 更改器恶意软件而失去连接”、“美国银行客户因 DOS/DDOS 攻击而无法访问网站或帐户信息”只是媒体报道的几个头条新闻。

当 Internet 最初被设计时，诸如 DNS 之类的服务在设计时不一定考虑到安全性。如果 DNS 出现故障，所有网络连接设备都会出现故障。基于 DNS 的攻击正在增加，因为许多组织没有意识到 DNS 是一种威胁，因此没有保护它。公司失去与互联网的连接，因此无法在线开展业务。这会导致收入损失、客户流失和负面品牌影响。

当攻击者以 Microsoft 和 Twitter 为目标时，他们获得了对负责这些重要域名的注册商 MelbourneIT 的访问权限，并更改了权威 DNS 服务器，将其转移到自己的服务器上。推特的攻击者是伊朗网络军的一个功能，他们改变了 DNS 记录并重定向了流量，并将流量重定向到托管在他们控制的服务器上的宣传。在入侵 Twitter 员工的电子邮件帐户后，他们能够修改 DNS Twitter 设置。他们使用这个帐户来授权 DNS 更改。在那次事件中，我们联系了注册商 Dyn Inc. 来处理变更请求。

域名攻击：生存时间

这种域名系统攻击是最难撤消的攻击之一，因为攻击者不仅破坏了域名本身的注册，而且还可以更改分配给它的 DNS 服务器。这种攻击最危险的部分是所谓的生存时间 (TTL)。这种性质的更改会在全球范围内的递归 DNS 服务器上缓存几秒钟或一整天。除非运营商可以清除缓存，否则可能需要一整天（有时甚至更长）才能扭转影响。

让我们来看看需要注意的 DNS 攻击的主要形式：

攻击 1：DNS 欺骗

也称为 DNS 缓存中毒，DNS 欺骗将流量从一台计算机转移到假冒的复制品。当用户在浏览器中查找域名时，他们会被路由到错误的网站。例如，用户可能会在浏览器中键入 Yahoo，但黑客选择的页面会加载到他们的屏幕上。由于他们输入的是正确的域名，他们并不总是意识到他们使用的网站是假的。

检测 DNS 缓存中毒很困难。它可以持续到管理员意识到并解决问题为止。在此期间，攻击者有机会使用网络钓鱼技术从毫无戒心的互联网用户那里挖掘信息，从登录​​凭证到银行信息。攻击的程度取决于攻击者的意图和中毒的范围。

攻击 2：DDoS 的 DNS 放大

DNS 放大攻击与欺骗不同，黑客不是威胁 DNS 系统，而是利用 DNS 服务的开放性来实施攻击。众所周知的网站、Microsoft、Sony 和 BBC 都以这种方式成为攻击目标。

当攻击者利用允许递归查找的 DNS 服务器并使用递归将他的攻击传播到其他 DNS 服务器时，就会发生放大攻击。简单来说，僵尸网络不是将流量直接从僵尸网络发送到受害者，而是将 DNS 请求转发到其他系统。这些系统通过向目标网站发送更大的流量来做出响应。

放大攻击的结果是从僵尸网络发送的流量相对较少，这需要按比例使用更多的资源。因此，术语增加了来自 DNS 服务器的流量。这些额外的流量被定向到受害网站，导致系统崩溃或变慢。

攻击 3：缓存中毒

缓存中毒发生在 DNS 缓存数据损坏时。每当您浏览网页、访问网站和发送电子邮件时，您的计算机很可能正在使用从 DNS 网络某处缓存的 DNS 数据。这个过程提高了发送电子邮件和加载网页的速度，但是，缓存是另一个漏洞点。

在缓存投毒攻击期间，攻击者试图利用和瞄准 DNS 服务器中的漏洞，并更改缓存中的寻址信息。当用户试图访问某个站点时，他们会登陆由攻击者控制的服务器并登陆替代站点。这些通常是目标官方网站的近似副本。用户很难意识到他们正在被钓鱼，因为他们的浏览器告诉他们这是官方网站。

此类攻击的影响包括丢失重要信息，从登录​​名和密码到登录名和密码，再到所捕获用户的信用卡号码。防止 DNS 缓存中毒攻击的最佳方法包括定期更新程序、定期清除本地机器和网络系统的 DNS 缓存以及设置较短的 TTL 时间。

攻击 4：拒绝服务和 DDoS

拒绝服务是一种攻击，当黑客或恶意机器人向目标 IP 地址发送的流量超过计划其数据缓冲区的程序员预期有人可能发送的流量时。攻击者使用受恶意软件感染的计算机网络向目标（例如服务器）发送大量流量。目标变得无法解决合法请求。

分布式拒绝服务攻击 (DDoS) 涉及攻击者使用僵尸网络向目标 IP 地址生成大量解析请求。目标是使目标域名超载并使其减速或崩溃。无论一个网站的配置有多过度，如果 DNS 基础设施无法处理它收到的传入请求的数量，该网站的性能就会下降或被禁用。DNS 特别容易受到此类攻击，因为它代表了网络上的逻辑阻塞点。这个问题的一个解决方案是 DNSSEC，它已在注册商和注册管理机构中广泛推广。

如何预防和减轻 DNS 攻击

作为对此类攻击的回应，ICANN 投资了 DNSSEC，这是一种为避免 DNS 服务器攻击而开发的技术。DNSSEC 通过为每个 DNS 请求添加真实性签名来帮助服务器清除虚假请求。DNSSEC 的一个缺点是它必须在 DNS 协议的所有阶段都得到实施才能发挥作用——这需要一些时间才能应用。您可以实施保护措施以降低成为针对您的域名的 DDoS 攻击受害者的风险：

1. 了解最新的 DNS 攻击和预防技术是保持领先的好方法。
2. 将您的域名托管在多台服务器上，这样，如果一台服务器超载，另一台就会启动。
3. 使用托管 DNS 提供商，该提供商采用分布广泛、高度冗余的 Anycast 服务器网络来处理 DNS 流量。使用 Anycast 镜像您的 DNS 服务器可以显着提高性能并在 DDoS 攻击期间平衡负载。如果您要构建自己的托管 DNS 服务，请务必利用 Anycast 的强大功能。
4. 使用 UTM 防火墙转移和防御。它们可以配置为实时识别和阻止 DDoS 攻击。
5. 将您的系统配置为依赖多个 DNS 服务器，以便在主服务器出现故障时，您可以进行回退。

最后一句话

恢复被盗域名并不容易。收拾收入损失和声誉受损的烂摊子是一条漫长而昂贵的道路，您不想走下去。在某些情况下，网站所有者别无选择，只能更改其域名。通过保护与您的域名关联的管理电子邮件帐户来避免这种情况。如果你失去了这个，你很快就会失去你的域名。将域名安全放在首位。考虑到所讨论的 5 种关键域名攻击和防御形式，采取充分的保护措施来防止所有形式的网站黑客攻击和盗窃。