域名安全与恢复

实战解析现实世界中攻击者接管域名的五种方式——社会工程学、注册商账户入侵、DNS 提供商接管、NS 劫持和过期域名抢注——以及阻断这些攻击的具体控制措施。

2015年9月，一位前谷歌员工通过 Google Domains 以12美元买下了 google.com，并对全球最具价值的域名拥有了约一分钟的管理控制权。这是 Sanmay Ved 的故事，6006.13美元的漏洞奖励，以及这一分钟的所有权所揭示的：究竟谁真正控制着一个域名。

2020年7月15日，攻击者通过电话诈骗入侵Twitter，劫持了奥巴马、拜登、马斯克、盖茨、苹果和Uber等认证账户，实施比特币翻倍骗局——最终骗取约11.8万美元。深度解析网络身份是如何被盗取的，以及这一事件对"拥有一个名字"的启示。

2024年7月，Google Domains 向 Squarespace 的注册商迁移，将薄弱的默认身份验证变成了大规模攻击面。攻击者劫持了 Compound Finance、Celer Network、Pendle、Unstoppable Domains 等加密货币和 DeFi 项目的域名，将其指向钱包耗尽型钓鱼网站。本文揭示"无缝"迁移如何创造了数百扇敞开的大门，以及这一事件对注册商安全和多因素认证的深刻启示。

2021 年 12 月，攻击者入侵了 BadgerDAO 的 Cloudflare 账户，并向其网站前端注入了一段恶意脚本。经过审计的智能合约从未被触动——然而约 1.2 亿美元的资产通过用户在毫不知情的情况下签署的钱包授权悄然流失。深度解析：为何网站本身也是你的安全防线的一部分。

2021年9月，Bitcoin.org——由化名运营者 Cobra 管理、长期作为比特币信息门户的网站——在 DNS 层遭到劫持，被改造成虚假的"比特币翻倍赠送"骗局。在网站被下线之前，骗子敛财约 17,000 美元。本文深入剖析事件经过、攻击手法，以及此次事件对即便是加密原生网站依赖 DNS 这一问题的深刻警示。

2022 年 8 月，Curve Finance 的智能合约完好无损——但攻击者在注册商层面劫持了 curve.fi 域名，克隆了网站，从用户处盗取约 57 万美元。深度解析针对 DeFi 前端的 DNS 攻击，以及它对域名安全的警示。

2018 年底，Cisco Talos 披露了 DNSpionage——一场后来被证实与伊朗利益相关的行动。攻击者篡改政府 DNS 记录，将电子邮件和 VPN 流量重定向至攻击者服务器，并申请有效的 TLS 证书以掩人耳目。这场行动促使美国政府发布了有史以来第一份同类紧急指令。

2016 年 10 月 21 日，由 Mirai 物联网僵尸网络发动的 DDoS 攻击以三波浪潮猛击 DNS 服务商 Dyn，导致 Twitter、Netflix、Reddit、Spotify、GitHub、Airbnb 和 PayPal 数小时无法访问——这是一个关于 DNS 服务商集中化风险的域名危机案例。

2017 年 9 月，攻击者登录了荷兰安全公司 Fox-IT 的第三方域名注册商，修改了其 DNS 记录，欺诈性地获取了一张 TLS 证书，并对客户流量实施了长达 10 小时的中间人攻击——直到 Fox-IT 发现并发布了行业内最透明的事后分析报告之一。

2020 年至 2022 年间，同一威胁行为者组织长期潜伏于 GoDaddy 的基础设施内部——盗取源代码、暴露 120 万 Managed WordPress 客户的数据，并间歇性地将客户网站重定向至恶意站点。本文深入剖析注册商集中化风险，以及这一事件揭示的单点故障问题。

2014年底，ICANN——协调互联网域名系统的机构——承认，一封伪造其自身域名的鱼叉式钓鱼邮件窃取了员工凭证，攻击者由此获得了对集中区域数据系统（CZDS）的管理员访问权限。Domain Mayday深度解析：DNS权威机构本身是如何遭到钓鱼攻击的、哪些数据被暴露，以及这一事件至今仍有何警示意义。

2015年2月25日，Lizard Squad（蜥蜴小队）通过入侵注册商 Webnic，劫持了 Lenovo.com，将全球最大PC制造商的域名重定向到一段网络摄像头幻灯片，并拦截其邮件——此事发生在 Superfish 丑闻曝光后的数天之内。这是一篇关于注册商才是真正安全边界的深度解析。

2015 年 1 月，Lizard Squad 劫持了 malaysiaairlines.com 的 DNS，将航空公司官网替换为一只身着燕尾服的蜥蜴图片，并配以嘲讽文字"404 — 飞机未找到"。整个攻击过程中，攻击者没有入侵任何服务器——他们只是修改了域名的指向。这是一次深度剖析 DNS 如何成为该航空公司最脆弱入口的"域名紧急事件"案例。

2018 年 4 月 24 日，攻击者劫持了 Amazon Route 53 的互联网路由，篡改了 myetherwallet.com 的 DNS 应答，并在自签名证书背后架设了一个钓鱼克隆站，最终盗走约 15 万美元的以太币。这是一篇"域名告急"深度分析文章，探讨为何 DNS 依托于一个默认信任的路由层之上。

2005 年 1 月，纽约最古老商业 ISP 的域名 panix.com 在未经授权的情况下，被人使用盗刷的信用卡转移至澳大利亚一家注册商，导致网页和电子邮件中断数日。当时的域名注册商间转移规则存在"自动批准"漏洞，使这一切成为可能，而事后的补救工作也重塑了域名转移政策。

2021年1月下旬，拥有数十年历史的Perl编程社区门户 perl.com 遭到盗窃——攻击者通过入侵注册商账户，将域名经中国转移，指向一个与恶意软件相关的IP地址，并以19万美元挂牌出售。本文还原事件经过、记录域名找回过程，并深入探讨注册商账户安全的重要性。

2019 年 Cisco Talos 披露的国家支持行动"海龟"，通过入侵域名注册商、注册局和 DNS 服务商来劫持 DNS，将政府机构、部委和能源企业的流量重定向至攻击者控制的服务器，伪造有效证书，甚至入侵了国家级顶级域名注册局。

1995年，一个名叫斯蒂芬·科恩的骗子仅凭一封伪造信件发给 Network Solutions，便从合法所有者加里·克雷门手中盗走了 sex.com。追回域名的漫长斗争最终以6500万美元的判决、一名逃亡墨西哥的逃犯，以及一项确立域名为财产的里程碑式裁决画上句号。

2021 年 9 月，一名匿名承包商通过恶意提交将自己的钱包地址悄悄植入 SushiSwap 的 MISO 发射台前端，从 Jay Pegs Auto Mart 拍卖中转走了 864.8 ETH（约 300 万美元）。Domain Mayday 深度解析代码供应链、前端信任机制及其对可验证所有权的启示。

2013年8月27日，叙利亚电子军通过钓鱼攻击墨尔本IT的一家经销商，篡改了nytimes.com和Twitter旗下域名的DNS记录，导致《纽约时报》网站数小时无法访问。本文深度剖析注册商链条的薄弱环节如何成为一家报纸的"前门"失守之源——以及注册表锁定机制本可带来怎样的改变。

在加密领域，多重签名钱包被广泛视为默认的安全托管模式，但“它们真的能提升安全性吗？”这个问题的答案完全取决于威胁模型。本文将详细探讨多签能防范什么、不能防范什么，以及在哪些情况下它会让事情变得更糟。

基于 HTTPS 的 DNS (DoH) 通过在 HTTPS 内部加密 DNS 查询来保护用户隐私。而企业水平分割 DNS 则依赖于网络能够查看到这些查询。这两者之间的冲突正在重塑企业网络、浏览器和操作系统处理名称解析的方式。

从域名注册商/DNS 运营角度深度解析 2025 年 10 月 20 日 AWS 事故，探讨 DNS 的实际工作原理、此次故障广泛传播的原因，以及弹性互联网团队的应对之策。