最近出現了許多關于修改域名系統（DNS）攻擊的新聞報道，因此英國國家網絡安全中心（NCSC）提供了緩解措施，以助組織和個人防范此類威脅。

域名系統（DNS）是將域名和IP地址相互映射的一個分布式數據庫，能夠使人更方便地訪問互聯網。

從用戶的角度來看，DNS劫持主要是網絡釣魚和流量攔截，而對組織而言，可能導致失去對域名的控制權。

一份來自Avast遙測數據的報告顯示，在2月至6月期間，巴西至少有18萬名用戶的路由器遭到入侵，DNS設置也發生了變化。到3月底，殺毒軟件已經阻止了超過460萬次跨站點請求偽造（CSRF）嘗試，這些攻擊會改變路由器上的DNS設置。

Ixia的研究人員也一直在跟蹤針對消費級路由器的DNS劫持活動。他們注意到4月初，DNS劫持攻擊頻繁，攻擊將受害者重定向到虛假的金融機構和網絡托管服務提供商網站，如Gmail、PayPal、優步和Netflix等頁面。

上周，思科Talos分析得出使用DNS劫持進行網絡間諜活動的黑客組織——海龜（Sea Turtle）開始重新活動。在持續至少兩年的活動中，海龜主要針對中東和北非的組織，破壞電信公司、IT公司、域名注冊商使用的DNS服務。

英國NCSC周五發布了一份文件，概述了DNS劫持所帶來的風險，并為組織和個人提供建議。

域名注冊帳戶是高價值目標，黑客可以通過憑證填充、網絡釣魚等常用技術接管。因此，NCSC建議用戶使用獨特的強密碼以防止網絡釣魚，并啟用多因素身份驗證。定期檢查與帳戶關聯的詳細信息和確保更新，是阻止賬戶被接管的好方法。限制對帳戶的訪問權限，還有來自“注冊商鎖定”服務的額外保護也可降低入侵者控制帳戶的風險。

對于運行DNS基礎架構的組織，NCSC建議實施訪問和更改控制系統，這些系統可以為DNS記錄提供備份和還原功能，并強制嚴格訪問管理DNS服務的計算機。NCSC還建議使用SSL監控和DNS安全擴展（DNSSEC）。SSL監控有助于密切關注公司域名的SSL證書，DNSSEC能確保服務器上的DNS記錄帶有加密簽名。

對個人用戶而言，使用最新固件更新設備，檢查網站是否具有有效證書以及驗證DNS設置是降低受到DNS劫持威脅的好方法。一些消費者可用的網絡級安全解決方案也可阻止黑客利用漏洞來修改DNS設置。