域名安全泛解析防范_如何降低域名被恶意泛解析的风险

域名遭受恶意解析已成为域名安全领域常见的问题之一，服务商在其中扮演着至关重要的角色。那么，对于站点本身而言，我们应当采取哪些措施来保障安全呢？洪石陈，一位专注于SEO的从业者，他负责管理着多个地方性媒体站点。尽管他自称在网站安全领域还是一名初学者，但他仍然乐于分享自己在网站安全方面的一些心得体会。百度站长平台特别邀请洪石陈撰写稿件，目的在于让他阐述如何从站点本身着手减少泛解析的可能性。以下是他的反馈信息，期望对各位站长有所裨益。同时，我们也热切期待更多网站安全领域的专家在百度站长平台上分享经验。

一，域名泛解析成因

1、站点自身问题

该站点在域名服务提供商的网站上注册的账户和密码设置过于简单，结果账户密码被非法获取，进而导致域名信息遭受恶意修改。

该站点在多个与域名相关的服务端进行注册时，均采用了同一账号与密码，黑客一旦破解了其中一密码，便轻易地控制了该域名。

当前众多域名解析服务提供泛解析功能，如图1所示，在配置A记录时，若主机记录输入“*”，即可启用泛解析机制。如此一来，一旦域名遭受劫持，便能在短时间内迅速在域名之下创建大量二级和三级子域名。

图1：在域名解析平台新增一条泛解析记录

2、域名服务商问题

1）网站被攻击，黑客盗取众多注册用户的信息。

域名服务商存在安全缺陷，致使域名遭受恶意篡改。更有甚者，即便域名服务商已设置域名锁，阻止域名持有人修改信息，黑客仍能利用这些漏洞对域名解析进行非法修改。

二，降低域名恶意泛解析，从自身做起

在注册域名时，务必优先考虑安全性，挑选那些专业可靠且技术实力出众的注册服务商，尽管他们的费用可能相对较高。

挑选域名注册服务商时，务必向客服深入了解其针对域名遭劫持等安全问题的应对措施，并询问过往安全事件的解决方法。

在设置与域名关联的账户密码时，应确保其复杂度，坚决避免采用简单易猜的密码，同时，对于与域名相关的多个账户，应避免使用相同的密码组合。

在进行域名解析配置过程中，除非有特别要求，切勿启用泛解析选项；在选定具体二级域名后，再单独进行该域名的解析设置。

推荐采用百度云加速服务，以获取高级防护的智能DNS功能，且此服务完全免费。百度云加速能有效掩饰网站的原始IP，如图2和图3所示，在ping网站时呈现的IP地址实际上是经过百度云加速DNS解析后的IP地址，也就是百度的IP地址。这样做不仅隐藏了网站的原始IP，还能有效提升网站的安全性。

图2：PING域名获取网站的IP地址

图3：该IP地址经查询为电信节点