域名与DNS的那些坑——被劫持、被污染、续费涨价怎么办
域名这玩意儿,平时想不起来,一出事就是大事。
我经历过两次。第一次是域名到期忘了续费,被抢注商挂到拍卖页面,赎回费花了800块。第二次是DNS被篡改,网站流量被人劫持到了赌博页面,折腾了两天才恢复。
今天就把域名和DNS这条线上踩过的坑、学到的教训,一条条说清楚。
坑一:域名到期忘记续费,被高价赎回
2018年,我做了一个小工具站,域名是xxx.tools。当时图便宜,在国外一个小注册商买的,首年1.99美金。
第二年,那个注册商提前7天才发续费提醒邮件,我刚好那几天忙没看到。等我想起来,域名已经过期进入赎回期。
赎回价格是多少?80美金。加上续费,总共花了将近100美金。一个本来一年10美金的域名,硬是花了10倍的钱。
后来学乖了,做了三件事:
把所有域名都转到主流注册商(Namecheap、Cloudflare、阿里云)
开启自动续费,同时绑定的信用卡设好余额提醒
重要域名一次性续费5-10年
多说一句:如果你做海外业务,需要用海外注册商买.com、.io这些域名,支付可能会遇到问题——很多海外注册商只支持PayPal或国际信用卡。我自己是通过ztopcloud的代理渠道搞定了一个海外账户的充值,用支付宝就能给Namecheap账户充值,省去了绑卡的麻烦。
坑二:DNS被篡改,流量被劫持
这事发生在前年。
有一天用户反馈,打开我的网站跳转到一个色情页面。我第一反应是被黑了。
查了一圈,服务器没发现异常,代码也没问题。最后查DNS解析记录,发现域名的NS记录被改成了另一个DNS服务商。
怎么回事?我在阿里云买的域名,但密码设得太简单,被人暴力破解了。黑客登录进去改了DNS,把流量引到他的服务器上。
从那之后,我给自己定了死规矩:
域名管理密码用随机生成的长密码,且开启两步验证
开启域名锁(Registrar Lock),任何修改需要额外验证
定期检查DNS记录,尤其是A记录和NS记录
DNS服务商怎么选?
我用过好几家,简单说一下:
Cloudflare DNS:免费,速度极快,自带DDoS防护。缺点是需要把NS托管给他们,有些人觉得不方便。
阿里云DNS:稳定,国内解析快,但海外节点慢一些。
DNSPod(腾讯云):跟阿里云差不多,国内好用。
华为云DNS:免费额度够用,但功能少。
个人建议:如果你的用户在国内,用阿里云或DNSPod。用户在海外,用Cloudflare。两者都有免费套餐。
坑三:域名被污染,国内无法访问
这个坑跟技术关系不大,但影响很大。
我有个朋友的博客,用了免费的.tk域名,后来发现国内很多地方打不开。因为.tk被大量垃圾网站使用,部分运营商直接屏蔽了整个后缀。
解决办法:
选主流后缀(
.com、.cn、.net、.org)避免使用小众后缀(
.tk、.ml、.ga这些免费域名)如果需要国内备案,必须用国内注册商,且服务器在国内
域名和DNS的日常维护清单
说了这么多,整理一份我每个月做一次的检查清单:
登录域名注册商,确认所有域名没有过期风险
检查DNS解析记录,看有没有异常修改
确认域名锁开启,两步验证开启
检查SSL证书是否即将过期(我用的Let's Encrypt自动续期)
如果用了第三方DNS服务,确认NS记录没有被篡改
这些事情看起来琐碎,但每件都踩过坑。花十分钟检查一遍,能避免很多麻烦。