Sitting Ducks 攻击导致每日百万域名遭劫持！

近日，全球著名的安全厂商 Infoblox 和 Eclypsium 研究发现，每天有超过一百万个域名因 Sitting Ducks 攻击而遭劫持。多个网络犯罪组织一直使用这一攻击载体，通过垃圾邮件、恶意软件、网络钓鱼等方式对目标域名发起劫持攻击。

Sitting Ducks 攻击的核心在于利用 DNS 配置中的漏洞和缺陷。当注册域名或子域名将权威 DNS 服务委托权威 DNS 服务器时，就会发生委派行为，当权威名称服务器缺乏域名信息且无法解析查询时，委派就会失效。当攻击者注册分配的域名并获得指向该域名的所有域名的访问权限时，就会发生蹩脚的委派攻击。

此外，攻击者还会利用 DNS 服务商的漏洞，在互联网上扫描授权不充分的域名，并在未经适当授权的情况下声称拥有所有权。他们会为被劫持的域名创建恶意记录，将流量重定向到恶意服务器，从而将用户重定向到攻击者的网站。

DNS 劫持的定义

Sitting Ducks 攻击是 DNS 劫持的一种具体表现形式。所谓DNS劫持，是指攻击者通过篡改 DNS 服务器的解析结果，将用户访问的域名指向恶意的 IP 地址或错误的服务器，从而导致访客被劫持到一个不可达或者假冒的网站，以此达到非法窃取用户信息或者破坏正常网络服务的目的。

DNS 劫持可用于 DNS 域欺骗（攻击者通常目的是为了显示不需要的广告以产生收入）或用于网络钓鱼（为了让用户访问虚假网站并窃取用户的数据和凭据）。互联网服务提供商（ISP）也可能通过 DNS 劫持，以接管用户的 DNS 请求，收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问。

DNS 劫持的分类

本地 DNS 劫持：攻击者在用户的计算机或局域网内的设备（如路由器）上安装恶意软件，修改本地 DNS 设置，使得所有 DNS 查询都被重定向到攻击者控制的服务器。

ISP DNS 劫持：攻击者利用安全漏洞或通过其他手段控制互联网服务提供商（ISP）的 DNS 服务器，然后修改 DNS 记录，将用户导向不同的网站。这种类型的劫持可能用于实施广泛的钓鱼攻击、广告插入或审查特定网站。

DNS 缓存投毒：攻击者向 DNS 服务器发送伪造的 DNS 响应，这些响应被缓存并用于回答后续的查询请求。这种攻击通常针对中间服务器，如互联网服务提供商的缓存服务器。

域名注册劫持：攻击者通过非法手段获得对合法域名的控制权，然后更改该域名的 DNS 服务器指向，使得所有到该域名的流量都被重定向到攻击者指定的服务器。

DNS 劫持的危害

对用户而言

攻击者通过 DNS 劫持将用户的访问请求重定向到恶意网站，这些网站往往伪装成正规网站，诱骗用户输入个人信息、账号密码等敏感数据，导致用户信息泄露和财产损失。

对网站而言

通过 DNS 劫持，攻击者可以将合法网站的访问请求转发到大量的恶意请求中，导致服务器负载过高，无法提供正常的网络服务，形成拒绝服务攻击（DDoS 攻击），影响网站的稳定性和可用性。更重要的是，DNS 劫持会将用户重定向到其他网站，导致用户流失和业务受损，还可能因为数据安全问题影响网站的专业性和可信度，进而损害企业的形象和信誉。

DNS 劫持的防范

用户加强网络安全意识：提高用户和网络管理员的安全意识，不随意点击陌生链接，确保访问的网站是正规的。

定期更新系统和软件：对用户来说，及时安装操作系统和软件的补丁和更新，修复安全漏洞，是预防 DNS 劫持的有效手段。

定期刷新 DNS 缓存：定期对系统进行 DNS 缓存清理，确保获取最新的 DNS 解析记录，降低因缓存数据被污染导致的风险。

网站

加强域名解析安全管理：定期修改域名管理平台账号密码，使用复杂的高强度密码组合，提升域名管理平台安全等级。同时，定期检查域名的注册信息及解析状态是否发生异常，并对域名对应站点内容进行定期排查。

进行域名锁定：域名锁定是应对 DNS 劫持的有效手段，域名被锁定期间无法对 DNS 解析进行包括修改域名服务器在内的任何修改操作，从而杜绝了攻击者通过修改 DNS 记录进行域名劫持的目的。

使用 DNSSEC 技术：DNSSEC 是一种使用数字签名技术对 DNS 数据进行验证的方法，能够防止 DNS 数据被篡改。使用支持 DNSSEC 的域名和域名解析服务可以显著提高网络安全性。

安装 SSL 证书：SSL 证书具备服务器身份认证功能，能够确保 DNS 劫持导致的连接错误情况及时被发现和终止，同时 HTTPS 协议可以在数据传输中对数据进行加密传输，保护数据不被窃取和修改。

国科云 DNS 安全解决方案

云解析——抵御多种 DNS 攻击

云解析是国科云基于云计算和人工智能技术研发的全新一代 DNS 解析技术，具备全局流量管理功能，能够通过多探测节点对域名解析服务状态进行实时监测，发生异常情况及时发出告警，同时云解析内置了 DNSSEC、流量清洗等先进的安全防护机制，能够有效抵御 DDoS 攻击、DNS 劫持、缓存污染等攻击。

域名锁——防止域名被恶意操作

国科云域名锁产品能够通过技术手段对域名状态进行锁定，避免黑客通过修改 DNS 服务器和解析记录进行域名劫持的操作。同时在域名转移、过户和注销等敏感环节加强了安全措施，每一环节都执行严格的专人审查制度，对操作流程和提交的材料进行严格把控，杜绝域名被劫持的风险，为用户构筑起坚实的防护屏障，全方位保障用户的域名权益不受侵害。

SSL 证书——验证网站身份防钓鱼

国科云与国内外多家可信的 CA 机构合作，提供多品牌多类型的 SSL 证书，能够满足不同行业客户对数据安全和 HTTPS 协议改造的需求。通过安装国科云 SSL 证书，可以对网站传输数据进行加密处理，防止被中间人窃取和篡改，同时 SSL 证书还能够对网站身份进行验证，防止第三方通过域名劫持伪造钓鱼网站欺骗用户的行为。

DNS 劫持作为一种极具威胁性的网络攻击手段，其隐蔽性与危害性不容小觑，它不仅影响用户对网站的正常访问体验，还会损害域名持有者的商业信誉与利益。网站管理人员必须保持高度警惕，采取一系列防范措施，选择专业可靠的域名解析服务商，加强域名管理账户的安全等级，定期检查域名解析的配置情况，并通过采用 DNSSEC、安装域名锁和 SSL 证书等技术手段，提升网站安全防护能力，才能有效应对 DNS 劫持及其他形式的网络攻击。