Vraag Kan iemand die dezelfde DNS-server gebruikt als ik mijn domeinen kaping?


Wanneer ik een nieuw domein registreer, stuur ik het naar mijn hostingprovider door het zijn domeinnaamservers toe te wijzen in de instellingen van de registar. Met Digital Ocean heb ik bijvoorbeeld het volgende ingevoerd:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Vervolgens voeg ik de domeininstellingen toe aan het A-record van mijn server. Het kwam net bij me op dat iemand anders op dezelfde hostingprovider een A-record kan toevoegen met een domein dat ik bezit.

Is er iets dat dit voorkomt? als 2 verschillende servers die dezelfde domeinnaamserver gebruiken proberen een domein aan zichzelf toe te wijzen via de A-records, waar zou het domein dan werkelijk worden omgezet wanneer u het in de browser invoert? wat verhindert botsingen van domeinnamen op dezelfde DNS-server?


42
2017-12-19 06:25


oorsprong


Digital Ocean voorkomt het, bijvoorbeeld. Net proberen het invoeren van een A-record voor een domein u niet bezitten. - Michael Hampton♦
De vraag is, hoe weten ze wie de eigenaar is van het domein? is het wie het eerst komt, het eerst maalt? dus wie het A-record als eerste toevoegt, kan het domein gebruiken? - Eran Galperin
@EranGalperin Hallo! Ik ben een werknemer van DigitalOcean. De eerste persoon die een domein aan hun account toevoegt, kan hier records voor instellen, maar we hebben wel een procedure om het eigendom vast te stellen in geval van conflicten. - Jacob
@Jacob Bedankt! dat is goed om te weten - Eran Galperin
Dit soort problemen zijn de reden waarom de grotere DNS-providers (zoals Network Solutions) ook DNS-registrars zijn. Ze kunnen beide stappen tegelijk verwerken en ervoor zorgen dat alles gesynchroniseerd is. - Barmar


antwoorden:


Nooit vind je het opmerkingengedeelte hieronder erg, en nooit vind je de eerdere antwoorden in de bewerkingsgeschiedenis erg. Na ongeveer een uurtje van een gesprek met vrienden (bedankt @joeQwerty, @Iain en @JourneymanGeek), en wat joviaal hacken hebben we je vraag en de situatie in het algemeen helemaal doorgrond. Sorry voor brusqueness en het verkeerd begrijpen van de situatie helemaal in het begin.

Laten we het proces doorlopen:

  1. Je koopt wesleyisaderp.com bij, laten we zeggen, NameCheap.com.
  2. Namecheap als uw registrar is waar u uw NS-records invult. Stel dat u de DNS-zone op Digital Ocean wilt hosten.
  3. U wijst de NS-records van uw glanzende nieuwe domein naar ns1.digitalocean.com en ns2.digitalocean.com.
  4. Laten we echter zeggen dat ik kon vaststellen dat u dat domein had geregistreerd, en bovendien dat je je NS-records had veranderd in Digital Ocean's. Toen sloeg ik je op een Digital Ocean-account en voegde ik de zone wesleyisaderp.com toe aan de mijne.
  5. Je probeert de zone toe te voegen *jouw* account, maar Digital Ocean zegt dat de zone al bestaat in hun systeem! Oh nee!
  6. Ik CNAME wesleyisaderp.com naar wesleyisbetterthanyou.com.
  7. Hilariteit volgt.

Sommige vrienden en ik speelden dit exacte scenario gewoon uit, en ja het werkt. Als @JoeQwerty een domein koopt en naar de Digital Ocean-naamservers verwijst, maar ik heb die zone al aan mijn account toegevoegd, dan ben ik de zonemaster en kan ermee doen wat ik wil.

Overweeg echter dat iemand eerst de zone aan hun DNS-account moet toevoegen en dan moet u uw NS-records naar de naamservers van diezelfde host verwijzen om iets vreemds te laten gebeuren. Bovendien kunt u als domeineigenaar op elk gewenst moment van NS-records wisselen en de resolutie weg van de badzone-host verplaatsen.

De kans dat dit gebeurt, is op zijn zachtst gezegd wat laag. Er wordt gezegd dat je statistisch gezien een stapel van 52 speelkaarten in willekeurige volgorde kunt schudden en een bestelling kunt krijgen die geen ander mens ooit heeft gekregen, en geen ander mens ooit zal doen. Ik denk dat dezelfde redenering hier bestaat. De kans dat iemand dit misbruikt, is zo laag en er bestaan ​​betere snelkoppelingen, dat het waarschijnlijk niet per ongeluk in het wild zal gebeuren.

Verder, als u een domein bij een registrar bezit en iemand toevallig een zone heeft gemaakt op een provider als Digital Ocean waarmee u in botsing komt, weet ik zeker dat als u het bewijs van eigendom overlegt, zij de persoon zouden vragen die de zone heeft gemaakt. zone in hun account om het te verwijderen, omdat er geen reden voor is om te bestaan ​​omdat ze niet de eigenaar van de domeinnaam zijn.

Maar hoe zit het met A-records

De eerste persoon die een zone heeft, bijvoorbeeld Digital Ocean, zal degene zijn die deze zone bestuurt. U kunt niet meerdere identieke zones op dezelfde DNS-infrastructuur hebben. Dus, bijvoorbeeld, door de dwaze namen hierboven te gebruiken, als ik wesleyisaderp.com als een zone op Digital Ocean heb, kan niemand anders op de DNS-infrastructuur van Digital Ocean het aan hun account toevoegen.

Dit is het leuke gedeelte: ik heb wesleyisaderp.com echt toegevoegd aan mijn Digital Ocean-account! Ga je gang en probeer het in de jouwe toe te voegen. Het zal niets doen.

Dus als gevolg hiervan kun je geen A-record toevoegen aan wesleyisaderp.com. Het is allemaal van mij.

Maar hoe zit het met...

Zoals @Iain al zei, is mijn punt 4 hierboven eigenlijk te uitgebreid. Ik hoef helemaal niet te wachten of plot of schema. Ik kan het gewoon maken duizenden van zones in een account en leun dan achterover en wacht. Technisch gezien. Als ik duizenden domeinen maak, en dan wacht tot ze geregistreerd zijn, en dan hoop dat ze de DNS-hosts gebruiken waar ik mijn zones op heb gezet ... misschien kan ik iets ergs doen? Kan zijn? Maar waarschijnlijk niet?

Excuses voor Digital Ocean & NameCheap

Merk op dat Digital Ocean en NameCheap niet uniek zijn en niets te maken hebben met dit scenario. Dit is normaal gedrag. Ze zijn onberispelijk op alle fronten. Ik heb ze net gebruikt omdat dat het voorbeeld was en het zijn zeer bekende merken.


57
2017-12-19 06:31



Ik veronderstel dat als je echt met iemand wilt rotzooien, je bijvoorbeeld een A en een MX RR met echt lange TTL's, wijzend naar een host die je bestuurt, en algemene openbare DNS-servers hameren (zoals Google's misschien?). Een variant van cache-vergiftiging ... - α CVn
Het is ook triviaal om het eigendom van een domein te tonen door te kunnen wijzigen naar welke ns-servers wordt verwezen, dus zelfs als iemand het heeft gedaan, kan het relatief snel worden gewist als hun klantenservice goed is. - JamesRyan
@JamesRyan TXT-records worden gebruikt om het eigendom te bewijzen in zaken als deze. - Iain
@Wesley Dit is correct. We hebben een procedure ingesteld voor het afhandelen van gevallen van zoneconflicten met onze DNS-service. - Jacob
Een rare situatie waarin dit waarschijnlijker is, is waar het domein zich bevond eerder geregistreerd en in gebruik bij Digital Ocean, en vervolgens vervallen / niet vernieuwd, maar de zone niet verwijderd van digitalocean. Iemand slaat het later op als een 'nieuw' domein (niet wetende dat het eerder eigendom was) en probeert vervolgens de zone bij Digital Ocean te creëren. Dit kon alleen worden voorkomen als de DNS-host periodiek zones wist waarvoor het niet langer de nameserver is. (zonder de bovengenoemde conflictoplossingsmethoden) - Ashley Steel


In aanvulling op het uitstekende antwoord van Wesley wil ik hieraan toevoegen dat er al een oplossing is om dit te voorkomen. Het heet DNSSEC.

De basis is dit:

  • U registreert uw domein (ik ga met de eminente naam wesleyisaderp.com hier, alleen omdat.)
  • U registreert uw naamservers bij uw registrar, meestal via een webinterface die u verifieert met een combinatie van gebruikersnaam en wachtwoord.
  • U maakt ook een openbaar / persoonlijk sleutelpaar en uploadt uw openbare sleutel naar uw registrar in de vorm van een DNSKEY-record. (Op deze manier kan de registrator de keten van vertrouwen instellen op de basisservers voor het hoofddomein - in dit geval de basisservers voor .com.) Nogmaals, u upload dit wanneer u bent ingelogd met uw eigen gebruikersnaam / wachtwoord combo, dus het is verbonden met uw domein (en) en niet met die van iemand anders.
  • U gaat naar de naamserver, u voert uw records in en u ondertekent het resulterende zonebestand met uw persoonlijke sleutel. Of, als u een webinterface hebt voor uw DNS-hostingservice, uploadt u de persoonlijke sleutel naar hen zodat zij het zonebestand kunnen ondertekenen.
  • Wanneer Wesley zo grof probeert om uw domein te kapen en CNAME het aan wesleyisbetterthanyou.com, zijn records worden niet geaccepteerd door de .com-hoofddomeinservers omdat ze niet zijn ondertekend met de juiste sleutel. Als uw DNS-hostingprovider slim is, controleren ze dat meteen en kunnen ze zelfs geen records aan dat domein toevoegen, tenzij hij de juiste privésleutel heeft.
  • Wanneer u uw eigen records invoert, worden ze ondertekend met de juiste sleutel, zodat ze werken.
  • Je kunt nu achterover leunen en lachen om Wesley.

(In de oorspronkelijke situatie, die Wesley beschrijft, zou de belangrijkste fout zijn dat Digital Ocean het eigendom van een domein niet heeft geverifieerd voordat iemand DNS-records ervoor heeft opgezet. Helaas staan ​​ze hier niet alleen in, ik weet het van ten minste één Zweedse registrar met dezelfde problemen.)


31
2017-12-19 09:31



Nieuwsgierig hoe zou een niet-DNSSEC DNS-zonehostingprovider eigenaarschap verifiëren voordat een zone kan worden gemaakt? Ik heb dit ook geprobeerd met Amazon Route53 en ik kan elke gewenste zone maken. - Wesley
Waarschijnlijk is dit niet het geval, het vereist uitgestelde proef- en foutcontrole. Gewoon gissen, delete-on-error kan nog steeds mogelijk zijn met sommige (smoke-screen) ux-tricks. - Sampo Sarrala
@Wesley Ik heb de mechanica niet overwogen. Maar op zijn minst zou een of andere controle van het whois-record, of hetzelfde soort controles dat de goedkope SSL-certificaatverkopers hebben, zouden werken. Als ze het kunnen doen, waarom kunnen ze dan geen bedrijven hosten? - Jenny D
@JennyD Gemak, meestal! Dit type domeingacking is zeldzaam genoeg en is voldoende detecteerbaar zodat het gemakkelijker is om het te repareren wanneer het gebeurt dan om elke legitieme gebruiker door hoepels te laten springen om dit te voorkomen. - duskwuff
@duskwuff Wanneer gemak en veiligheid conflicteren, wint het gemak meestal ... Ik ben het ermee eens dat het kapen van domeinen waarschijnlijk zeldzaam is - maar hoe zit het met eenvoudige fouten, zonder kwade bedoelingen? IMAO, het is roekeloos van DNS-hosters om geen enkele vorm van cheques te doen. - Jenny D


Het komt wel goed zolang je het eigendom van het domein claimt bij DigitalOcean (dus koppel het aan je account) voordat je de registrar opdracht geeft zijn naamservers te gebruiken.

Als iemand je domein al aan zijn of haar account heeft gekoppeld, zul je het merken voordat de nameservers van DigitalOcean toonaangevend worden. En als dat gebeurt, praat dan met DigitalOcean over het feit dat die persoon is opgestart van zijn account.

In overeenstemming met de beste werkwijzen handelen {ns1, ns2, ns3} .DigitalOcean.com niet als recursieve resolvers voor domeinen die elders worden gehost. Als ze dat wel zouden doen, en als servers gehost door DigitalOcean die servers zouden gebruiken als resolvers voor algemene doeleinden, dan zou er een veel groter probleem zijn. Voor zover bekend is dit een slechte praktijk, het is waarschijnlijk niet zo moeilijk om hostingproviders te vinden die het verkeerd hebben, wat mogelijkheden voor misbruik biedt.


5
2017-12-19 10:07



Dus als DigitalOcean nog geen autoriteit is voor het domein en meerdere potentiële klanten allebei beweren eigenaar te zijn van het domein, hoe zou DigitalOcean dan weten welke van de potentiële klanten de waarheid spreekt? Gaan ze de eerste toegang geven tot het maken van records en een deadline om NS-records bij te werken om controle over het domein te bewijzen? Of zullen ze elk van de potentiële klanten een andere subset van gezaghebbende servers geven om in de NS-records te plaatsen? - kasperd
@kasperd de legitieme eigenaren een punt waarop de NS records registreert waar ze maar willen en configureer vervolgens bijvoorbeeld een TXT-record dat bewijst dat ze de eigenaar zijn omdat het unieke informatie bevat die de serviceprovider ze geeft. Toegegeven, een beetje een lust voor het oog, maar in het zeldzame geval dat dit kan gebeuren, is het iets gemakkelijker dan iedereen het eigendom te laten zijn voordat ze aan boord komen. - Iain
@kasperd Vaak identificeert de whois-record de legitieme eigenaar, hoewel mensen soms redenen hebben om die informatie te verbergen. Als je DO opgeeft om het domein aan je account te koppelen, zodat je het kunt autoriseren, geef dan de impostor vermoedelijk een tijdlijn om de registrar bij te werken of de domeinassociatie bij DO op te geven. De legitieme eigenaar moet misschien een beetje wachten, dat is alles. - mc0e


Ik denk dat dit probleem betekent dat niemand dergelijke nameservers (zoals Digital Ocean's) als hun resolvers zou moeten gebruiken, aangezien iedereen een nameserver voor een bestaand domein op hen kan maken. De strijd om controle over het domein is niet relevant, omdat het eigendom van een domein eenvoudig kan worden bewezen, maar het feit dat iemand bijvoorbeeld elk bestaand domein dat NIET op Digital Ocean wordt gehost, al naar elke gewenste locatie kan verwijzen.

Kort gezegd: vertrouw de DNS-servers van een hostingservice die geen bewijs van eigendom van het domein vereisen (eenvoudig en snel gedaan door bijvoorbeeld de hierboven voorgestelde methode) niet: door een TXT-record met een bepaalde waarde eerst aan het domein toe te voegen , dit is wat Microsoft O365 en Google bijvoorbeeld doen).


0
2017-12-16 21:10