Frage Wie hat jemand eine Subdomain unserer Domain auf die IP-Adresse einer anderen Person ausgerichtet?


Wir besitzen eine primäre Domain:

  • businessdts.com

Ich wusste nicht, ob unsere Admins eine Subdomain angelegt hatten, "BDASERVER.businessdts.com.", Also habe ich gerade versucht, mich mit einem Browser zu verbinden und bekam ein "nicht gefunden". Dann habe ich diese Sub-Domain gepingt und eine IP-Adresse bekommen, die nicht zu uns gehört:

  • Pinging BDASERVER.businessdts.com [198.105.244.117] mit 32 Bytes Daten
  • Unsere Domain und alle Subdomains sollte habe eine IP-Adresse von [173.203.24.209]

Ich ließ die Admins alle unsere DNS-Zonen überprüfen und wir finden keine Instanz der BDASERVER-Subdomain, (die Admins hatten sie noch nicht erstellt), noch fanden wir irgendeine Instanz der 198.105.244.117 IP-Adresse.

Bei einer IP-Suche haben wir festgestellt, dass 198.105.244.117 zu einer Firma mit dem Namen Search Guide Inc. (searchguideinc.com) gehört. Sie scheinen ein Domänenmakler zu sein.

Fehle ich etwas:

  • Wie löst diese BDASERVER-Subdomain eine Adresse auf, die nicht von uns stammt?
  • Wie entführt jemand eine SUB-Domain?

34
2018-02-23 03:27


Ursprung


Welche DNS-Server verwenden Sie, wenn Sie diese Suche ausführen? Meine Suche löst diesen Namen nicht auf. Das riecht nach NXDOMAIN, die mich entführt. - joeqwerty
Unsere Nameserver sind NS.RACKSPACE.COM und NS2.RACKSPACE.COM, @joeqwerty. Wenn wir die BDASERVER- und Wildcard-Subdomains einrichten, sieht es so aus, als würde dies die Hijacker außer Kraft setzen. Das einzige, was ich über das Problem herausgefunden habe, war, als ich einen Ping gegen die Subdomain gemacht habe. - CBruce
Entschuldigung, ich hätte meinen Kommentar klären sollen. Ich habe gefragt, welche DNS-Server Ihr Computer für die DNS-Auflösung verwendet? Sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch 100 sch sch sch sch sch sch sch sch sch sch 100 sch sch sch sch sch sch sch sch sch sch 100 sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch 100 zwischen 100 sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch dieser - joeqwerty


Antworten:


Wie die anderen hier vorgeschlagen haben - das ist eigentlich eine ISP-Norm. ATT macht es auch für mich. Wenn die angeforderte Domäne nicht gefunden wird und die DNS-Einträge nicht auf ein Standardziel verweisen (Sie können dies auf Ihrem Server einrichten, der Ihr DNS verwaltet), verwenden Sie höchstwahrscheinlich einen Standard-Registrator und sie verwalten Ihre DNS für Sie - Melden Sie sich einfach dort an, wo Sie Ihren Domain-Namen registriert haben, und klicken Sie auf DNS verwalten. Sie sollten einen "Wildcard" -Umleitungsdatensatz hinzufügen. Auf diese Weise werden Sie undefinierten Datenverkehr immer auf eine Standardwebseite oder Ihre Indexseite Ihrer Hauptwebsite verweisen. Dies hilft auch bei Tippfehlern, wenn Sie Ihren Datenverkehr nicht verlieren und Kunden oder Besucher von ihrem ISP nicht mit missbräuchlichen Anzeigen bestraft werden (ich denke, es sollte eine Sammelklage gegen die ISPs geben, um Werbeeinnahmen für uns alle zu erzielen) - nein?) Wie auch immer - hier ist eine Diskussion zu diesem Thema, die Sie für mehr Details lesen können. Standard-DNS-Einstellungen

Bottom line - wenn Sie Ihren Domain-Namen und Server verwalten - richten Sie Ihre Standard-Wildcards ein und Sie könnten auch einige benutzerdefinierte Fehlerseiten hinzufügen, um Ihren Webserver darauf hinzuweisen, wenn jemand eine Seite anfordert, die nicht existiert - fügen Sie Ihr Logo und Link wieder hinzu Ihre Hauptseite mit einem kleinen Site-Suchskript oder etwas darauf ... es ist so nervig, eine Ressource oder HTML-Seite von einer Website anzufordern - sogar einen ihrer Links auf einer anderen Seite ihrer Site anzuklicken - und diesen hässlichen "400 Error "Seite kommt auf. So viel Geschäft kann tun, um die Benutzererfahrung zu konservieren, indem es sicherstellt, dass Fehler behandelt werden und ihre Kunden behalten. Ich empfehle auch, dass Sie auf den geänderten Fehlerseiten eine Meldung "BERITTE BROKEN LINKS HINZUFÜGEN" und eventuell die standardmäßige Platzhalterumleitung für Wildcards enthalten, die auch eine automatische Weiterleitung auf die Indexhomepage oder eine andere auswählbare Seite enthalten kann, wenn der Besucher nicht interagiert oder anderweitig .

Ich bin jetzt off topic - aber klar - das OP muss ein wenig mehr darüber wissen, was bewirkt, dass der ISP in der Lage ist, den Fehler abzufangen ... der DNS-Handler liefert keine nützliche Antwort auf die angefragte undefinierte Subdomain, weil sie es ist nicht da - also liefert der ISP stattdessen eine Einnahmen erzeugende Seite. Einfache Lösung, obwohl!


37
2018-02-23 04:31



"Das ist eigentlich eine ISP-Norm" Ich vermute, das hängt stark vom Gebietsschema ab. Keiner der ISPs, die ich benutzt habe, hat es getan (und wenn mein jetziger damit anfing, würden sie von mir hören ...). - α CVn
Um dies als "Norm" zu bezeichnen, sollte dies ein BCP oder zumindest ein KANN in den entsprechenden RFCs. Ich bezweifle das stark. - Hagen von Eitzen
@HagenvonEitzen traurig, gewinnorientierte Unternehmen wie ISPs (zumindest hier in den USA) kümmern sich wenig um BCPs und RFCs und andere Standards. Die reale Norm kann also sehr, sehr weit von den veröffentlichten Standards abweichen. - Doktor J
@DoktorJ In gewissem Sinne könnte man sagen, wenn sie absichtlich brechen RFCs, die der lose De-facto-Standard des Internets sind, was dein Dienstanbieter dir zur Verfügung stellt, ist nicht das Internet ... mein 2c - Hagen von Eitzen
Der ISP ist der Ansicht, dass das Zurückgeben von betrügerischen Antworten auf DNS-Anfragen helfen kann, aber die Person, von der er glaubt, dass sie helfen kann, ist nicht der Kunde. - Jon Hanna


Es gibt keinen Datensatz für diese Subdomain:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Es ist wahrscheinlich, dass der DNS Ihres Providers NIXDOMAIN-Hijacking durchführt, wo sie NXDOMAIN-DNS-Antworten entführen und statt mit einer richtigen NXDOMAIN (wie oben) antworten, geben sie Ihnen die IP-Adresse einer "Such" -Seite, die normalerweise erhalten wird Werbeeinnahmen für sie.

Ich würde mit Ihrem Internetdienstanbieter sprechen und Sie bitten, den Verkehr nicht mehr zu stören. Wenn sie sich weigern, sollten Sie einen besseren Internetdienstanbieter oder einen anderen Resolver für Ihren Datenverkehr verwenden.


64
2018-02-23 03:33



Bestätigt. Diese IP-Adresse ist bei Search Guide Inc registriert, einem bekannten Ziel von NXDOMAIN Hijacking. - Michael Hampton♦
Und das ist einer der Gründe, warum Registrare so viel von "defensiven" Registrierungen machen :( - Gypsy Spellweaver
Also, wenn wir fortfahren und die BDASERVER-Subdomain in unserer DNS-Zone erstellen - wird das, was auch immer die Idioten tun und richtig für uns arbeiten, übertroffen? - CBruce
@CBruce Ja, sollte es. Und dann gehen Sie und ändern Sie Ihren DNS Resolver. :) - EEAA
Dieser sch 100 sch 100 sch dieser sch 100 sch dieser 100 sch dieser 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 sch 100 sch 100 sch 100 sch 100 sch dieser sch sch sch sch sch sch sch sch sch sch 100 dieser sch sch 100 100 100 100 100 100 100 100 100 100 100 100 100 sch dieser 100 sch dieser sch 100 sch sch 100 100 100 100 100 100 100 100 100 100 100 100 100 sch sch sch sch sch 100 sch dieser 100 sch sch sch 100 100 100 100 100 100 100 100 dieser sch 100 sch 100 dieser - Hagen von Eitzen


Jemand zeigt auf eine Subdomain oder irgendeinen DNS-Eintrag für diesen Fall, der nicht existiert, wenn NXDOMAIN-Hijacking durchgeführt wird, was bedeutet, dass gierige DNS-Besitzer Einträge so umschreiben, dass sie auf ads-basierte Seiten verweisen.

Es gibt eine sehr einfache Antwort darauf: Aktivieren Sie DNSSEC in Ihrer Domain, wodurch verhindert wird, dass jemand eine Antwort von einem anderen DNS (wie Ihrem ISP) gibt.


2
2018-02-24 22:03



Dies setzt voraus, dass der Client DNSSEC validiert und Der bösartige DNS-Server des ISP wird keine DNSSEC-Einträge entfernen. Ein Strict-Transport-Security-Header mit includeSubDomains kann dem Subdomain-Hijacker mehr Schaden zufügen als das Hinzufügen von DNSSEC. - Ángel
Voll einverstanden - in der heutigen Zeit ist DNS einfach unsicher (warum nutzen wir das Event ...), kein Argument, irgendwelche DNS-Anfragen zu modifizieren. Aber das Entfernen von DNSSEC-Datensätzen ist ein ganz anderes Niveau als einfach die NXDOMAIN-Antwort zu entführen, zu der ISPs nicht einfach gelangen. - Max Dor
Ja das ist sehr wahr. Beachten Sie diesen Hinweis OP. - GoZippy