互聯(lián)網(wǎng)上的每一個(gè)人和每一件事都依賴于域名系統(tǒng)（DNS）的正常運(yùn)作。近年來，DNS一直是網(wǎng)絡(luò)攻擊的常見對(duì)象，2019年當(dāng)然也不例外。大多數(shù)這類攻擊的目的遠(yuǎn)比簡單地讓一家公司網(wǎng)絡(luò)崩潰或破壞一個(gè)網(wǎng)站更加險(xiǎn)惡；已知的攻擊包括重定向一家組織的部分或全部域名以獲得訪問受保護(hù)資源的權(quán)限、攔截流量甚至獲得該域名的TLS證書。組織應(yīng)定期進(jìn)行DNS審查和審計(jì)。下面的指導(dǎo)說明將讓您的審查邁出第一步。

　　為什么DNS常被攻擊？

　　DNS對(duì)于任何有線上平臺(tái)的組織都是至關(guān)重要的。因此，攻擊域名是一個(gè)攻擊任何線上組織的有效方法，具體途徑包括拒絕服務(wù)、污損、濫用等其他方式。域名不僅代表您的品牌，也是您的客戶與您進(jìn)行業(yè)務(wù)互動(dòng)的方式。在當(dāng)今世界，域名對(duì)于網(wǎng)頁、語音、視頻、聊天、API及公司可能提供或使用的所有其他服務(wù)都至關(guān)重要。簡而言之，擁有自己域名的控制權(quán)對(duì)您的生意至關(guān)重要。

　　對(duì)這個(gè)問題缺乏重視是對(duì)您的DNS存在的最大威脅。許多組織認(rèn)為DNS的安裝設(shè)置是理所當(dāng)然的，只需配置一次就可以永遠(yuǎn)保留它。然而，對(duì)手便會(huì)利用這種忽視和由此產(chǎn)生的弱點(diǎn)。定期進(jìn)行DNS審查和審計(jì)是一項(xiàng)基本的預(yù)防措施。

　　攻擊從哪里開始？

　　攻擊者可以通過DNS根區(qū)域、DNS注冊(cè)中心/頂級(jí)域（TLD）（例如.com、.net、.uk、.jp等）、域名注冊(cè)器、DNS名稱注冊(cè)器（該區(qū)域被委派的實(shí)體）、DNS區(qū)域文件、權(quán)威的DNS名稱服務(wù)器和遞歸DNS解析器等對(duì)其進(jìn)行攻擊。攻擊者還可以劫持路由，或以欺騙方式得到DNS服務(wù)器的IP地址。綜上所述，攻擊面十分的廣泛。好消息是DNS本身有較強(qiáng)的抵抗能力，而且也有許多組織關(guān)注著DNS的安全、穩(wěn)定和彈性。

　　第一個(gè)重點(diǎn)領(lǐng)域是DNS區(qū)域的管理（例如example.com）。DNS區(qū)域管理是許多組織在其安全和網(wǎng)絡(luò)審查中容易忽視的一個(gè)問題。不要低估攻擊的范圍和潛在危害：只要進(jìn)入并訪問DNS區(qū)域和/或注冊(cè)器，攻擊者就可以重定向入站電子郵件、通過攻擊者控制的主機(jī)引導(dǎo)流量，甚至可以獲得TLS證書。

　　域名注冊(cè)商和DNS區(qū)域文件

　　除此之外，域名注冊(cè)商控制域名的權(quán)威名稱服務(wù)器（或稱“授權(quán)”，delegations）的列表。這些授權(quán)包括對(duì)有關(guān)域具有權(quán)威性的DNS服務(wù)器的主機(jī)名和IP地址。權(quán)威的DNS服務(wù)器有一個(gè)主區(qū)域文件的副本，并用“權(quán)威答案”回應(yīng)DNS查詢。近年來大規(guī)模攻擊的興起已經(jīng)改變了域所有者操作其權(quán)威命名服務(wù)器的方式。過去，大多數(shù)組織在自己的系統(tǒng)上操作權(quán)威的命名服務(wù)器。而如今，組織有了更多選擇。有些域名注冊(cè)商提供全面服務(wù)包，由注冊(cè)商負(fù)責(zé)管理和維護(hù)域名的完整DNS配置。例如，基于云的提供者如Akamai的Fast DNS可以提供應(yīng)對(duì)DDoS攻擊的增強(qiáng)彈性功能，以及簡化的基礎(chǔ)設(shè)施管理。

　　DNS審查和審計(jì)工作

　　新聞報(bào)道、計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT）和政府通知可能會(huì)敦促您“做DNS審計(jì)”，但建議往往到此為止。這篇文章的其余部分是一家組織應(yīng)該審查的主題領(lǐng)域的集合，以評(píng)估他們目前的DNS“態(tài)度”。這些建議是基于Akamai自身經(jīng)驗(yàn)、ICANN的安全和穩(wěn)定性咨詢委員會(huì)（SSAC）、DNS操作分析和研究中心（DNS-OARC）以及其他DNS專家的工作所得出。

　　審查對(duì)域名注冊(cè)商的訪問

　　按照注冊(cè)商的要求檢查組織中當(dāng)前的域管理員，并確保他們符合您的期望。檢查與注冊(cè)商配置的所有域并確保您知道組織中有哪些人可以訪問注冊(cè)商的在線門戶，同時(shí)與這些用戶進(jìn)行確認(rèn)。如果您有與多個(gè)注冊(cè)商注冊(cè)的域名，確保您向每一個(gè)注冊(cè)商重復(fù)這個(gè)操作。盡管如此，還是建議您考慮將注冊(cè)合并到一個(gè)單一的注冊(cè)商下。同時(shí)，找機(jī)會(huì)核實(shí)您所有的域名都在您的域名注冊(cè)審計(jì)中——有些人可能已經(jīng)使用個(gè)人賬戶注冊(cè)了一個(gè)域名，如果他們離開了您所在的組織，這可能會(huì)導(dǎo)致失去控制。

　　攻擊者會(huì)充分利用一家組織忽略的DNS漏洞。他們會(huì)找到?jīng)]有妥善維護(hù)的賬戶，并對(duì)其進(jìn)行破壞。因此您的第一步就是在每個(gè)注冊(cè)商處檢查、更新和記錄哪些人可以訪問哪些區(qū)域。

　　審查域名系統(tǒng)的角色和責(zé)任

　　最少化訪問（least access）原則是一個(gè)最安全的準(zhǔn)則：人們只需要擁有完成其工作所需的最低訪問權(quán)限。檢查能夠訪問注冊(cè)商的用戶是否是其工作職能所必需。除了一次性審查之外，安排對(duì)每個(gè)人訪問級(jí)別的反復(fù)審查。此外，確保至少有兩個(gè)人可以訪問每個(gè)注冊(cè)門戶；否則一旦管理員離職，訪問權(quán)限的喪失將對(duì)組織造成災(zāi)難性后果。

　　請(qǐng)記住，攻擊者經(jīng)常利用社交媒體作為網(wǎng)絡(luò)釣魚嘗試的一部分。他們可以很容易地在社交媒體平臺(tái)上鎖定知名度高的員工，因?yàn)樗麄冎澜M織在重組、裁員或員工退休后可能會(huì)忘記刪除注冊(cè)信息。

　　員工權(quán)限轉(zhuǎn)讓

　　組織的預(yù)終止過程應(yīng)該包括對(duì)用戶角色的審核。作為審核的一部分，組織應(yīng)該審核員工對(duì)資源的訪問權(quán)限，比如注冊(cè)賬戶或DNS云提供者，并終止所有權(quán)限。在合理的情況下，應(yīng)盡快將權(quán)限賦予替代人員或繼任人員。

　　終止程序還應(yīng)更換或撤銷離職員工可以獲得的所有機(jī)密。除了密碼，這還應(yīng)該包括雙重身份驗(yàn)證（2FA）令牌、口頭身份驗(yàn)證密碼以及組織文件中任何授權(quán)員工的登記名單。無論員工離職的情況如何，這些都應(yīng)當(dāng)是一種常規(guī)操作。這并不是對(duì)離職員工的玷污，而是組織規(guī)避威脅的必要手段。

　　更新所有注冊(cè)資料

　　接下來，查看與您注冊(cè)的域名相關(guān)聯(lián)的聯(lián)系信息。確保每個(gè)域名的有效期足夠長（建議至少一年），并正確設(shè)置其中的各選項(xiàng)如自動(dòng)續(xù)約等。一個(gè)意外過期的域名可能會(huì)導(dǎo)致巨大的財(cái)務(wù)成本，在最壞的情況下，可能會(huì)無可挽回地丟失，或是被競爭對(duì)手注冊(cè)。

　　域名也通常有四個(gè)聯(lián)系點(diǎn)：注冊(cè)人、技術(shù)、管理和賬單聯(lián)系人。您的注冊(cè)商可能只會(huì)發(fā)送特定類型的訊息給這些角色中的一個(gè)，在某些爭端中，注冊(cè)人會(huì)處于優(yōu)先的位置。確保所有的聯(lián)系信息是最新的——因?yàn)樵诮M織發(fā)展壯大、縮小、轉(zhuǎn)移或被并購時(shí)，注冊(cè)聯(lián)系人的更新問題往往會(huì)被忽視。

　　使用角色賬戶獲取域注冊(cè)信息

　　為了幫助管理域注冊(cè)聯(lián)系信息，組織經(jīng)常使用一個(gè)角色賬戶（role account）來管理所有的四個(gè)必需的域聯(lián)系點(diǎn)。角色賬戶的構(gòu)建因組織而異，但基本思想是建立一個(gè)嚴(yán)格限制的郵件列表，所有域名注冊(cè)信函都可以發(fā)送到該列表。這些角色職位通常被命名為“域管理員”（Domain Administrator）或“主機(jī)管理員”（Hostmaster），并列出組織的總部聯(lián)系信息，包括地址、電話和傳真號(hào)碼。確保直接發(fā)送到這些號(hào)碼的合法電話和傳真仍將到達(dá)DNS管理員手中。使用角色職位，而不是指定的人員可以使得更改工作職責(zé)或者增加和刪除人員更加靈活，而不需要在注冊(cè)商處進(jìn)行重要更新。如果使用郵件列表，您的定期審計(jì)應(yīng)審查訂閱郵件列表的員工，以限制潛在的濫用行為。

　　不要使用個(gè)人電子郵件地址

　　個(gè)人電子郵件地址不應(yīng)該用作企業(yè)、政府或組織域管理員的聯(lián)系點(diǎn)。作為審查過程的一部分，確保個(gè)人電子郵件地址從未用于域名聯(lián)系信息或注冊(cè)商訪問賬戶。

　　?使用員工的個(gè)人電子郵件地址（例如joe@gmail.com）作為聯(lián)絡(luò)點(diǎn)，將會(huì)將域名的控制權(quán)移交到該員工手中。此外，您也無法知道您的員工在他們的個(gè)人電子郵件賬戶上使用了什么樣的安全措施，因此您可能把自己暴露在一個(gè)心懷不滿的現(xiàn)任或前任員工的報(bào)復(fù)行為面前。您所有的域名聯(lián)系人應(yīng)該包括由您的組織或母組織控制的電子郵件地址。

　　?還應(yīng)該避免使用員工的組織或公司電子郵件地址（例如jane.q.smith@examplecompany.com）。暴露參與管理公司域名的個(gè)人姓名，就會(huì)使他們面臨更大的社會(huì)風(fēng)險(xiǎn)和針對(duì)公司的釣魚式攻擊。相反，應(yīng)該使用基于角色或基于部門的名稱（例如hostmaster-technical@example.com、hostmaster-billing@example.com），最好是讓多個(gè)用戶接收發(fā)送到這些地址的通信。

　　防范釣魚式攻擊

　　網(wǎng)絡(luò)釣魚是破壞注冊(cè)賬戶的主要攻擊之一。您有可能遭遇到針對(duì)DNS管理員的釣魚攻擊，所以一個(gè)全面的釣魚防御是必不可少的。以下一系列反釣魚技術(shù)可提供有效保護(hù)，防止釣魚式攻擊。

　　?使用通用的、基于角色職能的或基于部門的電子郵件地址，例如domainadmin@example.com。通過基于角色的賬戶收到的釣魚郵件通常更容易被管理員發(fā)現(xiàn)。

　　?在年度安全審查中加入反釣魚培訓(xùn)，并要求所有DNS管理員完成培訓(xùn)。

　　?在DNS管理員（以及組織中的每個(gè)人）使用的所有設(shè)備上部署終端安全/安全軟件并加強(qiáng)安保措施。

　　?啟用電子郵件過濾服務(wù)，以防止一些常見的釣魚和惡意軟件攻擊您的DNS管理員以及您的組織的其余部分。

　　?過濾DNS查詢，防止員工訪問已知的網(wǎng)絡(luò)釣魚網(wǎng)站。像Akamai的企業(yè)威脅保護(hù)器（ETP）這樣的工具提供DNS級(jí)別的企業(yè)安全。

　　沒有可以阻止網(wǎng)絡(luò)釣魚攻擊的萬全之策，但是采用正確的防御組合將有助于組織降低風(fēng)險(xiǎn)。

　　憑證更新——更改密碼

　　定期更改密碼是所有在線賬戶的良好做法，域名注冊(cè)商賬戶也不例外。在對(duì)您的DNS基礎(chǔ)設(shè)施進(jìn)行審查時(shí)，要求每個(gè)具有注冊(cè)服務(wù)器訪問權(quán)限的人輪換他們的憑據(jù)。雖然您的組織可能有一個(gè)全面的密碼策略，但是通常會(huì)忽略外部服務(wù)，如注冊(cè)服務(wù)器。外部賬戶應(yīng)遵守您的內(nèi)部密碼安全指導(dǎo)方針和輪換時(shí)間表。注冊(cè)服務(wù)器賬戶的密碼應(yīng)該是長而復(fù)雜的；使用密碼管理器可以很容易地以加密、冗長和易找到的方式生成和存儲(chǔ)復(fù)雜的密碼。密碼永遠(yuǎn)不應(yīng)該寫下來或以未加密的形式存儲(chǔ)。

　　注冊(cè)商賬戶雙重認(rèn)證（2FA）

　　當(dāng)您的注冊(cè)商支持時(shí)，所有賬戶都應(yīng)該使用雙重身份驗(yàn)證（2FA）。使用2FA時(shí)，任何試圖登錄到注冊(cè)器的人不僅需要賬戶密碼，還需要第二個(gè)因素，如智能手機(jī)應(yīng)用程序或硬件令牌等。2FA可以阻止本來可能成功的網(wǎng)絡(luò)釣魚嘗試。

　　如果可能的話，應(yīng)該避免使用基于SMS的2FA?；赟MS的2FA仍然優(yōu)于只使用密碼保護(hù)的賬戶，但其他方法如基于時(shí)間的一次性密碼（TOTP）、硬件令牌或基于推送的2FA應(yīng)該是首選的。新的NIST數(shù)字身份指南建議，短信作為2FA的一部分應(yīng)該被廢棄（參見NIST特刊800-63B）。

　　如果您的注冊(cè)商不支持2FA，申請(qǐng)這個(gè)功能。如果他們不接受，考慮尋找替代的注冊(cè)商。在許多情況下，同一頂級(jí)域名、通用頂級(jí)域名和通用頂級(jí)域名都會(huì)存在處于競爭關(guān)系的多個(gè)注冊(cè)商。

　　了解注冊(cè)商的安全策略、工具和流程

　　世界上有數(shù)百個(gè)域名注冊(cè)商，支持超過1500個(gè)頂級(jí)域名。一些注冊(cè)商比其他機(jī)構(gòu)有更好的安全措施。您的組織可以幫助引導(dǎo)行業(yè)朝著更好的方向發(fā)展。通過查看注冊(cè)商的在線文檔了解他們的安全實(shí)踐和策略。如果無法找到此信息，請(qǐng)與注冊(cè)商進(jìn)行對(duì)話，并鼓勵(lì)他們發(fā)布此信息。

　　例如，您的注冊(cè)商是否提供運(yùn)營域所需的支持服務(wù)？注冊(cè)商是否提供24x7技術(shù)支持，允許在非營業(yè)時(shí)間進(jìn)行故障排除？ICANN的政策要求您的當(dāng)前注冊(cè)商通知您，他們從注冊(cè)商那里收到的任何域名轉(zhuǎn)移請(qǐng)求，表明有人已經(jīng)要求將域名轉(zhuǎn)移到一個(gè)新的注冊(cè)商。您的注冊(cè)商是否只通過電子郵件發(fā)送此信息，或者您可以選擇通過電話或傳真請(qǐng)求此信息？您的注冊(cè)商是否發(fā)送通知所有其他更新到您的域名？ICANN的安全和穩(wěn)定性咨詢委員會(huì)（SSAC）與ICANN社區(qū)合作，提供DNS操作和安全指導(dǎo)。ICANN的SAC 40保護(hù)域名注冊(cè)服務(wù)免受剝削或?yàn)E用的措施和SAC 44注冊(cè)人保護(hù)域名注冊(cè)賬戶指南是理解和評(píng)估注冊(cè)商安全實(shí)踐的出色指南。

　　審核隱私注冊(cè)選項(xiàng)

　　許多域名注冊(cè)商提供隱私或代理注冊(cè)服務(wù)。這些服務(wù)會(huì)對(duì)公眾隱藏您的個(gè)人聯(lián)系信息，并用ICANN-聯(lián)系信息取而代之。歐盟的一般數(shù)據(jù)保護(hù)條例（GDPR）已經(jīng)改變了在像WHOIS這樣的域注冊(cè)數(shù)據(jù)庫中發(fā)布信息的方式。作為一般原則，一個(gè)基于角色注冊(cè)域名信息的方法可以兼容GDPR，同時(shí)在您的域名下向社區(qū)提供最新的聯(lián)系信息。

　　注：在某些情況下，代理服務(wù)器或隱私注冊(cè)表會(huì)妨礙獲取組織驗(yàn)證（OV）和擴(kuò)展驗(yàn)證（EV）SSL/TLS證書所需的驗(yàn)證過程。啟用或禁用代理或隱私注冊(cè)的過程可能因注冊(cè)商而異，在訂閱這些服務(wù)之前，應(yīng)充分了解時(shí)間表。在關(guān)閉隱私注冊(cè)方面的延遲可能會(huì)導(dǎo)致證書輪換失敗或域轉(zhuǎn)移的延遲，如果需要這些服務(wù)的話。應(yīng)該仔細(xì)考慮這些風(fēng)險(xiǎn)。

　　在您的區(qū)域內(nèi)檢查和維護(hù)記錄

　　DNS區(qū)域包含許多主機(jī)名和子域，但許多DNS管理員可能不知道哪個(gè)部門或業(yè)務(wù)單位負(fù)責(zé)給定的條目。主機(jī)名（hostname）指的是類型為A、AAAA、CNAME、TXT等的記錄。子域由NS記錄的存在來指示，并將對(duì)區(qū)域的該部分的控制委托給另一個(gè)名稱服務(wù)器上的區(qū)域。

　　DNS管理員應(yīng)該知道哪些組或團(tuán)隊(duì)負(fù)責(zé)他們組織區(qū)域文件中的每個(gè)條目。如果您的組織使用內(nèi)部票據(jù)跟蹤系統(tǒng)，信息可能存儲(chǔ)在系統(tǒng)中，但在短時(shí)間內(nèi)可能不容易訪問。確保隨著時(shí)間的推移精確地跟蹤區(qū)域的更改可能需要對(duì)內(nèi)部流程進(jìn)行更新。一旦您可以在您的區(qū)域文件中確定每個(gè)條目的責(zé)任方，您應(yīng)該執(zhí)行定期審查并確保記錄。驗(yàn)證每個(gè)主機(jī)名和子域的所有權(quán)，并刪除過時(shí)的條目應(yīng)該是常規(guī)DNS審查的一部分。

　　對(duì)于新的應(yīng)用程序、服務(wù)或現(xiàn)場演示，可以快速添加記錄，但是這些記錄可能在相關(guān)服務(wù)關(guān)閉或遷移之后仍然存在很長時(shí)間。作為內(nèi)部產(chǎn)品生命周期的一部分，確保對(duì)服務(wù)的關(guān)閉給予了足夠的重視，關(guān)閉過程包括通知DNS管理員不再需要主機(jī)名或子域。

　　特別要注意委托的子域，因?yàn)樗鼈兊脑O(shè)計(jì)目的是將區(qū)域的一部分控制權(quán)讓給另一個(gè)名稱服務(wù)器。確保NS記錄是準(zhǔn)確的，并且它們?nèi)匀粸樽佑蛱峁?quán)威的答案。如果您的組織將一個(gè)子域名委托給第三方DNS服務(wù)提供商，那么經(jīng)常檢查委托子域名的答案就更重要了，因?yàn)橥獠糠?wù)提供商可能會(huì)在沒有通知您他們的客戶的情況下重新使用這些IP地址。如果一個(gè)區(qū)域被委托給由您的組織在第三方云提供商中運(yùn)行的名稱服務(wù)器，那么一定要跟蹤IP地址的變化并相應(yīng)地更新區(qū)域委托。公共云計(jì)算傾向于快速重新啟用IP地址，因此無法審計(jì)您的NS記錄和相關(guān)的IP地址可能會(huì)導(dǎo)致域管理權(quán)的變更。

　　名稱服務(wù)器和區(qū)域文件最佳實(shí)踐

　　DNS審查應(yīng)包括對(duì)您控制的所有名稱服務(wù)器上的所有用戶賬戶的審查，包括“初級(jí)”和“次級(jí)”名稱服務(wù)器?？梢栽L問名稱服務(wù)器的用戶可以直接編輯域文件或更改系統(tǒng)上運(yùn)行的軟件。不要僅僅依靠操作系統(tǒng)中的訪問許可權(quán)或訪問級(jí)別保護(hù)，因?yàn)槔没蝈e(cuò)誤配置可能允許任何擁有賬戶的人訪問區(qū)域文件或服務(wù)器配置實(shí)用程序。確保保存訪問日志以跟蹤什么人登錄到服務(wù)器；訪問控制和問責(zé)制對(duì)您的DNS基礎(chǔ)設(shè)施的所有部分都至關(guān)重要。這在主輔模型中尤其重要，其中“初級(jí)”名稱服務(wù)器包含區(qū)域文件的規(guī)范副本，而“次級(jí)”名稱服務(wù)器定期或根據(jù)請(qǐng)求將其從主服務(wù)器轉(zhuǎn)移過來。

　　DNS區(qū)域文件修改控制

　　審查還應(yīng)該包括對(duì)區(qū)域文件本身的管理，以確保存在并執(zhí)行適當(dāng)?shù)淖兏芾砹鞒?。區(qū)域文件的主副本應(yīng)該存儲(chǔ)在修訂控制系統(tǒng)或其他訪問控制存儲(chǔ)器中。當(dāng)出現(xiàn)更改請(qǐng)求時(shí)，DNS管理員生成一個(gè)更新的區(qū)域文件，將其放入一個(gè)審查程序中，檢查其是否有錯(cuò)誤，然后將新的副本推送到生產(chǎn)環(huán)境。在更新導(dǎo)致意外行為的情況下，應(yīng)該有一個(gè)定期測試和易于執(zhí)行的過程，將區(qū)域恢復(fù)到最后一個(gè)已知的良好狀態(tài)；一個(gè)修訂控制系統(tǒng)可以幫助促進(jìn)這種恢復(fù)。審查您的DNS基礎(chǔ)設(shè)施還應(yīng)包括定期審查賬戶，編輯訪問用于維護(hù)區(qū)域文件的修訂控制系統(tǒng)。

　　與所有重要數(shù)據(jù)一樣，區(qū)域文件及其更改日志應(yīng)定期備份到安全的異地備份?？尚艂浞菖c修訂控制相結(jié)合，將有助于建立用于恢復(fù)文件的“最后已知良好”版本。

　　如果區(qū)域文件的主副本存在于云DNS提供商中，您應(yīng)該確保所有可以編輯區(qū)域記錄的賬戶都遵守為注冊(cè)賬戶服務(wù)的強(qiáng)大安全條例。即使在使用云提供商時(shí)，也要確保定期存儲(chǔ)區(qū)域文件的備份副本，以便在災(zāi)難恢復(fù)中使用。Akamai的Fast DNS產(chǎn)品提供了粒度訪問控制（granular access control）、雙因素身份驗(yàn)證（two-factor authentication）以及輕松下載專區(qū)副本以便備份或?qū)徲?jì)的能力。

　　您的域名是否在注冊(cè)商處被鎖定？

　　域鎖定（domain locking）是防止未經(jīng)授權(quán)更改域注冊(cè)的一種方法。大多數(shù)域名注冊(cè)商允許注冊(cè)域名的注冊(cè)商鎖定（registrar locks），也稱為客戶端鎖定（client locks）。與注冊(cè)商聯(lián)系，看看他們是否支持這項(xiàng)服務(wù)。如果可用，確保您的域是鎖定的。更具體地說，建議至少您的域名應(yīng)該有客戶端刪除、客戶端更新和客戶端傳輸鎖定功能，不要有客戶端重置鎖定。一些注冊(cè)商在他們的門戶只提供一個(gè)鎖定選項(xiàng)，這往往會(huì)包含上述三個(gè)推薦的鎖定功能。鎖定功能集可以防止任何未經(jīng)授權(quán)的更新或傳輸，同時(shí)也防止攻擊者在沒有首先解鎖域之前刪除域注冊(cè)。而只要不設(shè)置重置鎖定，您仍然可以更新域名或利用注冊(cè)商的自動(dòng)更新功能。許多注冊(cè)商不會(huì)為鎖定功能收取費(fèi)用，有些甚至?xí)J(rèn)鎖定域名，無需您做任何事情。

　　除了客戶端/注冊(cè)商鎖定，一些gTLD或ccTLD運(yùn)營商還提供服務(wù)器鎖定（server lock），也稱為注冊(cè)表鎖定（registry lock）。服務(wù)器鎖定為域更新增加了額外的保護(hù)層，只有在注冊(cè)人的請(qǐng)求下，才能通過與注冊(cè)操作員的協(xié)調(diào)的“帶外”（out-of-band）進(jìn)程（通常是通過電話）添加或刪除服務(wù)器鎖定。與客戶端鎖定一樣，建議的服務(wù)器鎖定是Server Delete、Server Update和Server Transfer，出于與前面相同的原因，不建議使用Server Renew。請(qǐng)注意，有些注冊(cè)商/TLD運(yùn)營商并不提供這項(xiàng)服務(wù)。使用服務(wù)器或注冊(cè)表鎖定服務(wù)通常需要額外的成本，并涉及增加的注冊(cè)人/注冊(cè)商交互。

　　請(qǐng)注意，添加或刪除服務(wù)器/注冊(cè)表鎖定可能會(huì)導(dǎo)致更改域的延遲（長達(dá)一周），例如更新注冊(cè)聯(lián)系信息、更新委托記錄、域轉(zhuǎn)移或域刪除。例如，當(dāng)轉(zhuǎn)移域之間的注冊(cè)，您需要在傳輸過程開始之前解除鎖定域。

　　在對(duì)您的域進(jìn)行更改時(shí)，請(qǐng)確保使用WHOIS來驗(yàn)證鎖是否按預(yù)期應(yīng)用。要查詢WHOIS信息，您可以使用ICANN的WHOIS頁面，通過計(jì)算機(jī)終端的WHOIS命令，或者注冊(cè)網(wǎng)站的WHOIS頁面。下面您可以看到一個(gè)應(yīng)用客戶機(jī)/注冊(cè)機(jī)鎖的例子：

　　同樣，在檢查客戶端/注冊(cè)商和服務(wù)器/注冊(cè)表鎖定的WHOIS時(shí)，應(yīng)該從您的WHOIS查詢返回以下內(nèi)容：

　　抱最好的希望，做最壞的打算

　　域名注冊(cè)商已被黑客入侵。DNS管理員賬戶已被攻破。等到這種情況發(fā)生就為時(shí)已晚了。將這些情況作為DNS審查工作的一部分進(jìn)行準(zhǔn)備。在您的域被劫持的情況下，向您的注冊(cè)商詢問他們的恢復(fù)過程。他們應(yīng)該引導(dǎo)您完成準(zhǔn)備適當(dāng)文檔的過程。ICANN的SAC044服務(wù)建議收集以下文檔，以防備注冊(cè)商域名在被劫持的最壞情況：

　　?域名注冊(cè)記錄的副本（例如：帶有時(shí)間戳的WHOIS查找、截圖或來自注冊(cè)商門戶的導(dǎo)出）。

　　?結(jié)算記錄，尤其是已顯示付款的記錄。

　　?將域名與您（合法注冊(cè)人）發(fā)布的內(nèi)容相關(guān)聯(lián)的日志、存檔或財(cái)務(wù)事務(wù)。

　　?電話簿（黃頁）、營銷材料等，其中包含將您（注冊(cè)人）與域名相關(guān)聯(lián)的廣告。

　　?來自注冊(cè)服務(wù)商和ICANN的提及域名的通信。

　　?將您（注冊(cè)人）與域名相關(guān)聯(lián)的法律文件、稅務(wù)申報(bào)、政府頒發(fā)的身份證明、營業(yè)稅通知等。

　　這份名單來自ICANN SSAC，一個(gè)由ICANN委員會(huì)任命的安全專家小組。您的組織應(yīng)該充分利用他們來之不易的恢復(fù)被劫持域的經(jīng)驗(yàn)。