随着网络技术的快速发展，大规模域名系统劫持事件也在快速增长，在过去的2021年全球DNS劫持事件数量空前，这不得不引起我们对这一威胁的高度重视。那么广大政企网站应该如何做才能免遭DNS劫持呢？

一、什么是DNS劫持？

我们知道DNS的主要作用就是将域名翻译成IP地址让计算机识别，从而实现我们输入域名就能直接访问对应服务器的效果。所以在整个网络访问过程中，DNS的作用是十分重要的。

但如果攻击者篡改DNS解析设置，将域名由正常IP指向由攻击者控制的非法IP，就会导致我们访问域名打开的却不是对应的网站，而是一个不可达或者假冒的网站。这种攻击手段就是DNS劫持。

二、DNS劫持有哪些危害？

DNS劫持是一种非常常见且危害极大的网络攻击手段，对用户而言，通过DNS劫持可以将用户诱导至攻击者控制额非法网站，可能会造成银行卡号、手机号码、账号密码等重要信息的泄露。对政企而言，DNS劫持将用户引导至其他网站，会导致用户流失和形象受损。

在去年6月份美国政府封禁伊朗网站，采用的就是这种攻击手段，导致伊朗几个官网网站被指向由FBI控制的站点，对伊朗的国家形象和利益造成了很大影响。

考虑到大多数组织的在线服务和运营规模，DNS是一个充满潜在漏洞的庞大网络也就不足为奇了。废弃的域名、薄弱的密码控制和繁重的管理过程更加剧了这些弱点。

1.过期或遗忘的域名

由于很多公司并不重视域名的重要性，因而导致域名的管理非常混乱，经常导致域名过期或被遗忘。而这些域名是攻击者进行DNS劫持的极佳工具。黑客通过较弱的安全账号密码设定，可以轻松取得域名的控制权，并将其指向受控的网站。

2.未使用或“孤立”的域名

很多公司为了防止域名被抢注影响公司形象，往往会注册很多与公司名称相关的域名进行品牌保护。但这些域名很多并不会被启用，而这些域名很容易遭受攻击，因为它们被遗忘在主服务器之外并且没有得到有效的管理。

3.域名系统安全防护问题

很多公司的域名系统密码设定过于薄弱，黑客很容易通过遍历方式获得后台密码，取得管理权限，进而直接修改DNS的解析记录，将域名解析指向非法网站。

4.服务商的问题

大部分的企业都不会自建解析服务器，而是将域名解析交给专门的DNS服务商去管理。但不同的服务商安全防护能力和服务水平也是参差不齐，较差的域名检测和域名防护能力以及不及时的服务反馈也会导致域名被劫持而不能提前预防，及时止损。

1.定期修改域名管理系统账号，设置复杂的密码组合和手机验证，强化管理平台的安全等级。

2.通过设置较小的TTL值，让递归服务器在较短时间间隙进行解析请求，从而获得最新的解析记录，可以有效防止DNS被劫持。

3.对DNS解析记录进行锁定，锁定期间DNS解析记录不能做任何修改，从根本上杜绝了攻击者通过修改DNS记录进行域名劫持的目的。

4.选择正规专业的DNS服务商，可以获得性能较为强大的域名解析和域名监测服务，及时发现域名异常状态并快速解决。中科三方采用最新域名安全监测系统，针对用户域名状态进行24小时无缝监测，第一时间发现问题，并及时作出响应，时刻为用户的域名安全保驾护航。

5.安装SSL证书。SSL证书具备服务器身份认证功能，可以使DNS 劫持导致的连接错误情况及时被发现和终止，同时 HTTPS 协议可以在数据传输中对数据进行加密传输，保护数据不被窃取和修改。