攻击与威胁
域名劫持
定义
在注册商或注册局层面对已注册域名实施的未授权接管,使攻击者可以将流量、邮件和信任重定向到恶意基础设施。
域名劫持是指攻击者非法获得他人域名的管理控制权,例如盗取注册人邮箱账号、对注册商实施社会工程、利用注册商或注册局漏洞,或将域名欺诈性地转移到另一家注册商。一旦控制域名,攻击者就能修改 DNS 服务器、解析记录、联系人信息以及 SSL/TLS 证书签发,在网站、邮件和 API 上全面冒充合法组织。常见防御措施包括启用强 MFA 的注册商账户、Registry Lock(clientTransferProhibited、clientUpdateProhibited 以及注册局级锁定)、用 CAA 记录限制证书签发机构、与注册商建立专属联系人、对 DNS 与 WHOIS 进行监控,以及在事件响应手册中纳入注册商的紧急流程。
示例
- 攻击者钓鱼获取域名持有者邮箱,登录注册商账号将域名转到自有 DNS,以收集凭据。
- 某注册商被入侵,导致数百个客户域名的 NS 记录被篡改。
相关术语
DNS 劫持
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
域名抢注 (Cybersquatting)
未经授权注册含有他人商标或知名品牌名的域名,通常以向权利人勒索高价或欺骗用户为目的。
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
商业邮件诈骗
针对性诈骗:攻击者冒充或接管企业邮箱,诱使员工汇款、修改付款信息或发送敏感数据。
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。