多年來，大規模域名系統劫持（通常以DNS欺騙或DDoS攻擊的形式）一直在穩定增長。但是，2019年前所未有的DNS劫持事件促使英國國家網路安全中心 警告該威脅並向組織提供建議。瞭解如何保護域名系統免遭劫持。

DNS的執行方式類似於Internet的總機，將鍵入Web瀏覽器的字母字元與內容所駐留的伺服器上的基於正確數字的IP地址連線起來。 如果DNS 連線被劫持，可以將毫無戒心的使用者流量重定向到危險的網站。

確保網際網路的基礎

DNS攻擊比其他攻擊更能破壞使用者對Internet的主要信任。從資料盜竊到財務欺詐的後果不堪設想，任何遭受DNS攻擊的人都會對Internet保持警惕，尤其是對攻擊起源的域產生懷疑。眾所周知，遭受DNS劫持傷害的客戶會大批放棄受影響的服務，同時損害收入和品牌聲譽。

透過劫持一個域，駭客可以有效地利用武器來提高公司的線上形象。

DNS劫持會對組織及其品牌形象造成災難性的後果。當一家公司成為DNS劫持的受害者時，其客戶將面臨欺詐，資料盜竊，隱私受到侵犯以及財務損失的風險。公司的品牌聲譽受損，導致客戶流失和收入下降。此外，公司可能會受到監管機構的罰款或其他處罰。

個人和企業都可能成為攻擊的犧牲品，但網站所有者面臨的後果最嚴重。

網際網路使用者信任他們訪問的網站的安全，可靠和加密，以保護其線上資料。

諸如《通用資料保護條例》之類的監管機構也將為此付出代價。英國航空公司最近因 涉及DNS劫持的資料洩露而被罰款 2。3億美元，該DNS劫持將流量重定向到欺詐網站。當他們將信用卡資料輸入他們認為是合法的英國航空公司網站時，超過40萬名客戶受到影響。

DNS劫持造成的收入，客戶和品牌聲譽損失直接關係到公司的底線和資本價值。

為什麼DNS容易受到攻擊

鑑於大多陣列織的線上存在和運營規模，DNS如此龐大的網路充滿了潛在的漏洞也就不足為奇了。遺棄的域，較弱的密碼控制和繁重的管理流程使這些弱點更加複雜。

駭客通常會利用公司忽視管理的過期或遺忘的域。

當一個被遺忘的域放棄了對該域的控制權時，戴爾便遭受了折衷。該域使使用者能夠一鍵將其計算機備份到線上服務。駭客發現疏忽後，他們便盜用了該域，將全球各地的戴爾計算機使用者重定向到一個包含明確內容和危險下載內容的網站。對戴爾品牌聲譽的損害是巨大的。

未使用或“孤立”的域是另一個問題：當公司管理數百個（甚至數千個）域時，很容易忽略受損的域。

在稱為“垃圾熊”的攻擊中，駭客利用GoDaddy的DNS系統 從600家所有者中竊取了 4，000個孤立域，其中包括ING Bank，Hilton，McDonald‘s和Mastercard。這些域特別容易受到攻擊，因為它們位於各自所有者的主要DNS服務之外，在那裡他們被忘記並且沒有得到有效管理。

正確執行域和DNS取決於規則和設定，例如“區域檔案”，也稱為資源記錄。

低效，無效的變更管理流程也會削弱DNS安全性。 較小的更改可能會使域面臨風險，因此管理員必須勤奮地跟蹤何時，何地，為什麼以及如何進行更改。這項工作通常是手動完成的，從而增加了錯誤和疏忽危害DNS安全的風險。

無效的更改管理可能會導致DNS安全設定被忽略或無效。

設定（例如用於驗證使用者和目的地的域名系統安全擴充套件）以及用於稽核電子郵件使用者的基於域的郵件驗證，報告和一致性以及發件人策略框架，被廣泛認為是強制性和 必要的安全措施。正在進行的 對《財富》 1000強公司的調查 顯示，這些保護要麼全部丟失，要麼部署不正確，使受影響組織的DNS網路和客戶遭受嚴重的破壞。

企業對客戶及其底線負有責任，以更加有效地管理DNS。

為了保護大家的利益，公司必須 透過全面有效地管理DNS 來 加強DNS安全性。

從各個角度捍衛DNS

預防DNS攻擊主要是 管理不斷增長的DNS網路操作規模。駭客利用混亂和複雜性來發揮自己的優勢。簡化是解藥。避免劫持並使用以下策略保護DNS：

1。整合到一個平臺

2。消除不必要的域

對所有域（包括未使用的域）的管理和維護都應與高階域相同。積極主動地消除孤立的域並管理可能容易被濫用的DNS設定，例如未使用的IP地址和缺少授權起始（SoA）的域。

3。整合變更管理

4。自動化DNS安全

透過自動化過程來克服重要的DNS安全功能的複雜性。DNSSEC，DMARC和SPF的管理難度很大，而且管理成本高昂，這對許多公司而言在經濟上是不可持續的。 自動化的DNS安全性使其在財務上可行且易於管理，同時確保完全合規。

客戶和使用者將避開他們認為不安全的網站。

每個具有線上狀態的組織都需要將DNS安全視為存在的優先事項。網際網路的安全性取決於它。