Benimle aynı DNS sunucusunu kullanan birileri etki alanlarımı kaçırdırabilir mi?

Yeni bir etki alanı kaydettiğimde, bunu registar ayarlarında etki alanı adı sunucularını atayarak barındırma sağlayıcıma gönderirim. Örneğin, Digital Ocean ile aşağıdakileri giriyorum:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Ardından, sunucumun A kaydına etki alanı ayarlarını eklerim. Az önce bana, aynı barındırma sağlayıcısındaki herhangi birinin, sahip olduğum bir alan adında bir A kaydı ekleyebildiğini gördüm.

Bunun olmasını engelleyen bir şey var mı? Aynı etki alanı adı sunucusunu kullanan 2 farklı sunucu A kayıtları aracılığıyla kendilerine bir etki alanı atamaya çalışırsa, etki alanı tarayıcıya girdiğinizde gerçekte nerede çözülür? Aynı DNS sunucusundaki alan adı çarpışmalarını önleyen nedir?

Asla aşağıdaki yorumlar bölümüne aldırma ve düzenleme geçmişindeki önceki cevaplara aldırma. Arkadaşlarla yaptığınız bir saatlik sohbetten sonra (teşekkür ederim @joeQwerty, @Iain ve @JourneymanGeek) ve etrafınızdaki hain bazı hackler, hem sorunuzun hem de bütünün durumunun altını çizdi. Brusqueness için özür dilerim ve durumu ilk başta tamamen yanlış anlıyorum.

İşlemden geçelim:

1. Sen satın wesleyisaderp.comen NameCheap.com, diyelim de.
2. Kayıt şirketiniz olarak Namecheap, NS kayıtlarınızı doldurduğunuz yerde olacaktır. Diyelim ki, DNS bölgesini Digital Ocean'da barındırmak istediğinizi varsayalım.
3. Parlak yeni alanınızın NS kayıtlarını ns1.digitalocean.comve ile işaret ediyorsunuz ns2.digitalocean.com.
4. Ancak diyelim ki, bu etki alanını kaydettirdiğinizi ve ayrıca NS kayıtlarınızı Dijital Okyanus’a değiştirdiğinizi belirleyebildiğimi varsayalım . Sonra seni Dijital Okyanus hesabına dövdüm ve wesleyisaderp.com bölgesini kendime ekle.
5. Bölgeyi * hesabınıza * eklemeye çalışırsınız ancak Digital Ocean, bölgenin zaten sistemlerinde bulunduğunu söylüyor! Ah hayır!
6. CNAME wesleyisaderp.comiçin wesleyisbetterthanyou.com.
7. Hilarity doğar.

Bazı arkadaşlar ve ben sadece bu senaryoyu oynadık ve evet işe yarıyor. @JoeQwerty bir alan adı satın alır ve Dijital Okyanus ad sunucularına yönlendirirse, ancak o bölgeyi zaten hesabıma ekledim, o zaman bölge yöneticisiyim ve onunla istediğimi yapabilirim.

Bununla birlikte, birinin bölgeyi DNS hesabına eklemesi gerekeceğini ve ardından NS kayıtlarınızı aynı ana bilgisayarın ad sunucularına yönlendirmek zorunda kalacağınızı düşünmeniz gerekir. Ayrıca, etki alanı sahibi olarak, istediğiniz zaman NS kayıtlarını değiştirebilir ve çözünürlüğü kötü bölge ana bilgisayarından uzağa taşıyabilirsiniz.

Bu olma olasılığı az söylemek biraz düşük. İstatistiki olarak, 52 iskambil destesini karıştırıp, başka hiçbir insanın almadığı ve başka hiçbir insanın almadığı emrini alabileceğiniz söylenir. Bence aynı sebep burada var. Bunu sömüren birinin olasılığı çok düşüktür ve varoluşta daha iyi kısayollar vardır, muhtemelen vahşi doğada kaza ile gerçekleşmeyecektir.

Ayrıca, bir kayıt şirketinde bir etki alanına sahipseniz ve biri Dijital Okyanus gibi bir sağlayıcıda çarpıştığınız bir bölge oluşturmuşsa, sahiplik kanıtı sağlarsanız, etki alanı adı sahibi olmadıkları için hiçbir neden olmadığından hesaplarındaki bölgeyi kaldırın.

Peki ya A kayıtları

Bölgeye ilk giren kişi, örneğin Dijital Okyanus, onu kontrol eden kişi olacak. Aynı DNS altyapısında birden fazla aynı bölgeye sahip olamazsınız. Örneğin, yukarıdaki saçma isimleri kullanarak, Dijital Okyanus bölgesinde bir bölge olarak wesleyisaderp.com'um varsa, Dijital Okyanus'un DNS altyapısında başka hiç kimse hesaplarına ekleyemez.

İşte eğlenceli bölüm: Digital Ocean hesabıma gerçekten wesleyisaderp.com'u ekledim! Devam et ve seninkine eklemeyi dene. Hiçbir şeye zarar vermez.

Sonuç olarak, wesleyisaderp.com'a bir A kaydı ekleyemezsiniz. Hepsi benim.

Ama ne hakkında...

@ Iain'in aşağıya çektiği gibi, yukarıda 4 numaralı noktam aslında çok ayrıntılı. Beklemek, komplo yapmak veya hiç plan yapmak zorunda değilim. Sadece yapabilir binlerce Bir hesaptaki bölgelerin ve daha sonra arkanıza yaslanın ve bekleyin. Teknik olarak. Binlerce etki alanı oluşturup daha sonra kayıt olmalarını beklerim ve sonra bölgeleri kurduğum DNS ana bilgisayarlarını kullanırlar ... belki de kötü bir şey yapabilir miyim? Olabilir? Ama muhtemelen değil?

Digital Ocean & NameCheap için Özür dileyin

Digital Ocean ve NameCheap'in benzersiz olmadığını ve bu senaryo ile ilgisi olmadığını unutmayın. Bu normal bir davranış. Tüm cephelerde suçsuzlar. Onları verilen örnek olduğundan beri kullandım ve çok iyi bilinen markalar.

Wesley'in mükemmel cevabına ek olarak, bunu önlemek için zaten bir çözüm olduğunu da eklemek isterim. DNSSEC olarak adlandırılır.

Temelleri şudur:

• Etki alanınızı kaydettiriyorsunuz ( wesleyisaderp.comburada ünlü isimle gideceğim , çünkü.)
• Ad sunucularınızı, genellikle bir kullanıcı adı / parola combo ile onayladığınız bir web arayüzü aracılığıyla kayıt şirketinize kaydedersiniz.
• Ayrıca bir genel / özel anahtar çifti oluşturursunuz ve genel anahtarınızı bir DNSKEY kaydı şeklinde kayıt şirketinize yüklersiniz. (Kayıt şirketi, üst düzey etki alanı için kök sunuculara güven zincirini bu şekilde ayarlayabilir - bu durumda, kök sunucular için .com.) Yine, kendi kullanıcı adınız / şifrenizle giriş yaptığınızda bunu yüklersiniz. combo, yani etki alanınıza / başkasına bağlı değil.
• Ad sunucusuna gidersiniz, kayıtlarınızı girersiniz ve elde edilen bölge dosyasını özel anahtarınızla imzalarsınız. Veya, DNS barındırma hizmetinize bir web arayüzünüz varsa, bölge dosyasını kendilerine imzalayabilmeleri için özel anahtarı onlara yüklersiniz.
• Wesley, etki alanınızı ve CNAME'yi bu kadar kaba bir şekilde ele geçirmeye çalıştığında wesleyisbetterthanyou.com, kayıtları sağ anahtarla imzalanmadıkları için .com kök etki alanı sunucuları tarafından kabul edilmeyecektir. DNS barındırma sağlayıcınız zekiyse, yarasadan çıkıp çıkmadığını kontrol eder ve doğru özel anahtarı almadıkça o alana kayıt eklemeye çalışmasına bile izin vermez.
• Kendi kayıtlarınızı girdiğinizde, sağ tuşla imzalanacaklar, böylece çalışacaklar.
• Şimdi arkanıza yaslanıp Wesley'e gülebilirsiniz.

(Orijinal durumda, Wesley'in açıkladığı gibi, asıl hata, Digital Ocean'ın birisinin bunun için DNS kayıtları kurmasına izin vermeden önce bir etki alanının sahipliğini doğrulamamasıydı. Ne yazık ki, bu konuda yalnız değiller; biliyorum. Aynı konulara sahip en az bir İsveçli sicil memuru.)

Kayıt sahibine ad sunucularını kullanmasını söylemeden önce, DigitalOcean'da etki alanının sahibi olduğunu iddia ettiğinizde (yani hesabınızla ilişkilendirin), iyi olacaksınız.

Biri etki alanınızı hesaplarıyla ilişkilendirmişse, DigitalOcean ad sunucularının yetkili hale gelmesinden önce bunu öğreneceksiniz. Ve bu olursa, o kişiyi hesabından çıkarması hakkında DigitalOcean ile konuşun.

En iyi uygulamalara paralel olarak, {ns1, ns2, ns3} .DigitalOcean.com, başka bir yerde barındırılan alanlar için özyinelemeli çözümleyiciler olarak davranmaz. Bunu yaptılarsa ve DigitalOcean tarafından barındırılan sunucular bu sunucuları genel amaçlı çözücüler olarak kullanırsa, çok daha büyük bir sorun çıkar. Tüm bunlar kötü uygulama olarak biliniyorsa, muhtemelen yanlış anlayan barındırma sağlayıcılarını bulmak zor değildir, bu da kötüye kullanım olanaklarını açar.

Bence bu sorun hiç kimse bu tür ad sunucularını (Dijital Okyanuslar gibi) çözücüler olarak kullanmamalı anlamına geliyor çünkü herhangi biri kendilerinde mevcut bir alan için ad sunucusu yapabilir. Alanın kontrolü için verilen savaş, alan mülkiyeti kolayca kanıtlanabildiği için önemli değildir, ancak örneğin birinin Dijital Okyanusta barındırılmayan mevcut herhangi bir alanı zaten istedikleri herhangi bir yere yönlendirebilir.

Alt satır: etki alanı sahipliği kanıtı gerektirmeyen herhangi bir barındırma hizmetinin DNS sunucularına güvenmeyin (örneğin yukarıda önerilen yöntemle kolay ve hızlı bir şekilde yapılır: önce etki alanına belirli bir değere sahip bir TXT kaydı ekleyerek) , örneğin Microsoft O365 ve Google’ın yaptığı şey budur).