Frage Kann jemand, der denselben DNS-Server wie ich benutzt, meine Domains entführen?


Wenn ich eine neue Domain registriere, sende ich sie an meinen Hosting-Provider, indem ich ihr Domain-Name-Server in den Einstellungen des Registrars zuweise. Bei Digital Ocean beispielsweise gebe ich Folgendes ein:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Ich füge dann die Domain-Einstellungen in den A-Record meines Servers. Es ist mir gerade in den Sinn gekommen, dass jemand anderer auf dem gleichen Hosting-Provider einen A-Record mit einer eigenen Domain hinzufügen kann.

Gibt es etwas, das das verhindert? Wenn zwei verschiedene Server, die den gleichen Domänennamenserver verwenden, versuchen, sich über die A-Datensätze eine Domäne zuzuweisen, wo würde die Domäne tatsächlich aufgelöst, wenn Sie sie im Browser eingeben? was verhindert Domänennamen Kollisionen auf dem gleichen DNS-Server?


42
2017-12-19 06:25


Ursprung


Digital Ocean verhindert dies zum einen. Gerade Versuchen Einen A-Eintrag für eine Domain eingeben Sie nicht besitzen. - Michael Hampton♦
Die Frage ist, woher wissen sie, wem die Domain gehört? kommt es zuerst, zuerst dienen? wer also zuerst den A-Eintrag hinzufügt, kann die Domain verwenden? - Eran Galperin
@EranGalperin Hallo! Ich bin ein DigitalOcean-Mitarbeiter. Die erste Person, die eine Domain zu ihrem Konto hinzufügt, kann Datensätze dafür einrichten, aber wir haben eine Prozedur, um die Eigentumsrechte im Falle von Konflikten festzulegen. - Jacob
@ Jacob Danke! das ist gut zu wissen - Eran Galperin
Probleme wie diese sind, warum die größeren DNS-Anbieter (wie Network Solutions) auch DNS-Registrare sind. Sie können beide Schritte gleichzeitig verarbeiten und sicherstellen, dass die Dinge synchron sind. - Barmar


Antworten:


Es macht Ihnen nichts aus dem Kommentarbereich unten, und Sie kümmern sich nie um die vorherigen Antworten im Bearbeitungsverlauf. Nach ungefähr einer Stunde Gespräch mit Freunden (Danke @joeQwerty, @Iain und @JourneymanGeek) und einigen fröhlichen Hackereien sind wir sowohl Ihrer Frage als auch der Situation auf den Grund gegangen. Sorry für Schroffheit und missverstehen die Situation zunächst völlig.

Lassen Sie uns durch den Prozess gehen:

  1. Sie kaufen wesleyisaderp.com um, sagen wir, NameCheap.com.
  2. Namecheap als Ihr Registrator wird dort sein, wo Sie Ihre NS-Datensätze auffüllen. Angenommen, Sie möchten die DNS-Zone auf Digital Ocean tatsächlich hosten.
  3. Sie verweisen auf die NS-Datensätze Ihrer glänzenden neuen Domain ns1.digitalocean.com und ns2.digitalocean.com.
  4. Lassen Sie uns jedoch sagen, dass ich feststellen konnte, dass Sie diese Domain registriert haben, und außerdem, dass du deine NS-Aufzeichnungen in Digital Ocean geändert hast. Dann habe ich Sie zu einem Digital Ocean Account geschlagen und die Zone wesleyisaderp.com zu meiner eigenen hinzugefügt.
  5. Sie versuchen, die Zone in hinzuzufügen *Ihre* Konto aber Digital Ocean sagt, dass die Zone bereits in ihrem System existiert! Oh nein!
  6. Ich CNAME wesleyisaderp.com zu wesleyisbetterthanyou.com.
  7. Heiterkeit folgt.

Einige Freunde und ich haben gerade dieses genaue Szenario gespielt, und ja, es funktioniert. Wenn @JoeQwerty eine Domain kauft und auf die Digital Ocean-Nameserver verweist, aber ich habe diese Zone bereits zu meinem Account hinzugefügt, dann bin ich der Zonen-Master und kann damit machen, was ich will.

Bedenken Sie jedoch, dass jemand zuerst die Zone zu seinem DNS-Konto hinzufügen muss, und dann müssen Sie Ihre NS-Einträge auf die Nameserver des gleichen Hosts für alles, was ruchbar ist, zeigen. Darüber hinaus können Sie als Domäneninhaber jederzeit NS-Datensätze wechseln und die Auflösung vom Host der fehlerhaften Zone entfernen.

Die Wahrscheinlichkeit dafür ist, gelinde gesagt, etwas niedrig. Es wird gesagt, dass man statistisch gesehen ein Kartenspiel mit 52 Karten mischen kann und eine Bestellung bekommt, die kein anderer Mensch jemals bekommen hat, und kein anderer Mensch jemals. Ich denke, die gleiche Argumentation existiert hier. Die Wahrscheinlichkeit, dass jemand das ausnutzt, ist so gering, und es gibt bessere Abkürzungen, dass es wahrscheinlich nicht zufällig in der Wildnis passieren wird.

Außerdem, wenn Sie eine Domain bei einem Registrar besitzen und jemand eine Zone auf einem Provider wie Digital Ocean erstellt hat, mit der Sie kollidieren, bin ich sicher, wenn Sie einen Eigentumsnachweis erbringen, würden sie die Person fragen, die die Domain erstellt hat Zone in ihrem Konto, um sie zu entfernen, da es keinen Grund gibt, dass sie existiert, da sie nicht der Eigentümer des Domain-Namens sind.

Aber was ist mit A-Aufzeichnungen?

Die erste Person, die eine Zone hat, zum Beispiel Digital Ocean, wird diejenige sein, die sie kontrolliert. Sie können nicht mehrere identische Zonen in derselben DNS-Infrastruktur haben. Wenn ich zum Beispiel die oben genannten dummen Namen nutze, wenn ich wesleyisaderp.com als eine Zone auf Digital Ocean habe, kann niemand anderes auf der DNS-Infrastruktur von Digital Ocean ihr Konto hinzufügen.

Hier ist der spaßige Teil: Ich habe wirklich wesleyisaderp.com zu meinem Digital Ocean-Konto hinzugefügt! Gehen Sie voran und versuchen Sie, es zu Ihrem hinzuzufügen. Es wird nichts verletzen.

Aus diesem Grund können Sie wesleyisaderp.com keinen A-Eintrag hinzufügen. Es ist alles meins.

Aber was ist mit...

Wie @Iain unten ausgeführt hat, ist mein Punkt Nr. 4 zu ausführlich. Ich muss nicht warten oder Handlung oder Schema überhaupt. Ich kann es einfach machen Tausende von Zonen in einem Konto und dann lehnen Sie sich zurück und warten Sie. Technisch. Wenn ich Tausende von Domains mache und darauf warte, dass sie registriert werden und dann hoffen, dass sie die DNS-Hosts verwenden, auf denen ich meine Zonen eingerichtet habe ... kann ich vielleicht etwas Schlechtes tun? Könnte sein? Aber wahrscheinlich nicht?

Entschuldigung für Digital Ocean & NameCheap

Beachten Sie, dass Digital Ocean und NameCheap nicht eindeutig sind und nichts mit diesem Szenario zu tun haben. Das ist normales Verhalten. Sie sind an allen Fronten tadellos. Ich habe sie nur benutzt, weil das das Beispiel war, und sie sind sehr bekannte Marken.


57
2017-12-19 06:31



Ich nehme an, wenn du dich wirklich mit jemandem anlegen willst, könntest du z.B. ein A und ein MX RR mit sehr langen TTLs, die auf einen Host verweisen, den du kontrollierst, und allgemeine öffentliche DNS-Server hämmerst (wie Google, vielleicht?). Eine Variante der Cache-Vergiftung ... - α CVn
Es ist auch trivial, Domain-Besitz zu zeigen, indem man in der Lage ist, zu ändern, auf welche ns Server verwiesen wird, selbst wenn jemand es getan hat, könnte relativ schnell aufgeklärt werden, wenn sein Kundendienst gut ist. - JamesRyan
@ JamesRyan TXT-Datensätze werden verwendet, um das Eigentumsrecht in solchen Fällen nachzuweisen. - Iain
@ Wesley Das ist richtig. Wir haben ein Verfahren eingerichtet, um Fälle von Zonenkonflikten mit unserem DNS-Dienst zu behandeln. - Jacob
Eine seltsame Situation, wo dies möglicherweise wahrscheinlicher ist, ist, wo die Domain war vorher registriert und im Einsatz bei Digital Ocean, und dann abgelaufen / wurde nicht erneuert, aber die Zone nicht von digitalocean gelöscht. Jemand fängt es später als "neue" Domäne an (ohne zu wissen, dass es vorher Eigentum war) und versucht dann, die Zone bei Digital Ocean zu erstellen. Dies kann nur verhindert werden, wenn der DNS-Host regelmäßig Zonen bereinigt, für die er nicht mehr der Nameserver ist. (ohne die oben genannten Konfliktlösungsmethoden) - Ashley Steel


Zusätzlich zu Wesleys ausgezeichneter Antwort möchte ich hinzufügen, dass es bereits eine Lösung gibt, um dies zu verhindern. Es heißt DNSSEC.

Die Grundlagen sind dies:

  • Sie registrieren Ihre Domain (ich werde mit dem hervorragenden Namen gehen wesleyisaderp.com hier, nur weil.)
  • Sie registrieren Ihre Nameserver bei Ihrem Registrar, normalerweise über eine Webschnittstelle, mit der Sie sich mit einem Benutzernamen / Passwort-Combo authentifizieren.
  • Sie erstellen außerdem ein öffentliches / privates Schlüsselpaar, und Sie laden Ihren öffentlichen Schlüssel in Form eines DNSKEY-Datensatzes zu Ihrem Registrator hoch. (So ​​kann der Registrar die Vertrauenskette zu den Root-Servern für die Top-Level-Domain einrichten - in diesem Fall die Root-Server für .com.) Du lädst dies wieder hoch, wenn du mit deinem eigenen Benutzernamen / Passwort-Combo eingeloggt bist, also mit deinen Domains verbunden bist und nicht mit denen von jemand anderem.
  • Sie gehen zum Nameserver, Sie geben Ihre Datensätze ein und Sie signieren die resultierende Zonendatei mit Ihrem privaten Schlüssel. Oder wenn Sie eine Webschnittstelle zu Ihrem DNS-Hostingdienst haben, laden Sie den privaten Schlüssel hoch, damit diese die Zonendatei signieren können.
  • Wenn Wesley so grob versucht, deine Domain und CNAME zu entführen wesleyisbetterthanyou.com, werden seine Datensätze von den .com-Stammdomänenservern nicht akzeptiert, da sie nicht mit dem richtigen Schlüssel signiert sind. Wenn Ihr DNS-Hosting-Anbieter schlau ist, werden sie das sofort überprüfen und ihm nicht einmal erlauben, Datensätze zu dieser Domain hinzuzufügen, es sei denn, er hat den richtigen privaten Schlüssel.
  • Wenn Sie Ihre eigenen Datensätze eingeben, werden sie mit dem richtigen Schlüssel signiert, damit sie funktionieren.
  • Sie können sich jetzt zurücklehnen und Wesley auslachen.

(Im ursprünglichen Fall, dem Fall, den Wesley beschreibt, würde der Hauptfehler darin bestehen, dass Digital Ocean das Eigentumsrecht an einer Domäne nicht bestätigt hat, bevor jemand DNS-Einträge dafür einrichten konnte. Leider sind sie nicht allein dabei; ich weiß von mindestens einem schwedischen Registrar mit den gleichen Problemen.)


31
2017-12-19 09:31



Kurioserweise: Wie würde ein DNS-Zonenhosting-Anbieter, der kein DNSSEC-Dienst ist, die Eigentumsrechte überprüfen, bevor eine Zone erstellt werden kann? Ich habe es auch mit Amazon Route53 versucht und kann jede gewünschte Zone erstellen. - Wesley
Wahrscheinlich werden sie es nicht tun, es würde eine verzögerte Prüfung von Versuchen und Fehlern erfordern. Nur Raten, Löschen-bei-Fehler könnte immer noch mit einigen (Rauch-Bildschirm) ux Tricks möglich sein. - Sampo Sarrala
@ Wesley Ich habe die Mechanik nicht berücksichtigt. Aber zumindest eine Art Überprüfung des Whois-Datensatzes oder der gleichen Art von Prüfungen, die die billigen Verkäufer von SSL-Zertifikaten durchführen. Wenn sie es können, warum können Hosting-Unternehmen nicht? - Jenny D
@JennyD Bequemlichkeit, meistens! Diese Art von Domain-Hijacking ist selten genug und nachweisbar genug, dass es einfacher ist, es zu beheben, wenn es passiert, als jeden legitimen Benutzer dazu zu bringen, durch Ringe zu springen, um es zu verhindern. - duskwuff
@duskwuff Wenn Bequemlichkeit und Sicherheit in Konflikt geraten, gewinnt normalerweise die Bequemlichkeit ... Ich stimme zu, dass Domain-Hijacking wahrscheinlich selten ist - aber was ist mit einfachen Fehlern, ohne böse Absicht? IMAO, es ist rücksichtslos von DNS-Hoster, keine Form von Schecks zu machen. - Jenny D


Es wird Ihnen nichts passieren, solange Sie die Eigentumsrechte an der Domain bei DigitalOcean beanspruchen (d. H. Mit Ihrem Konto verknüpfen), bevor Sie dem Registrar mitteilen, dass sie ihre Nameserver verwenden.

Wenn jemand Ihre Domain bereits mit seinem Account verknüpft hat, werden Sie feststellen, dass die Nameserver von DigitalOcean autorisierend werden. Und wenn das passiert, dann rede mit DigitalOcean über den Start dieser Person aus ihrem Account.

In Übereinstimmung mit den Best Practices agieren {ns1, ns2, ns3} .DigitalOcean.com nicht als rekursive Resolver für Domains, die anderswo gehostet werden. Wenn dies der Fall wäre und Server, die von DigitalOcean gehostet werden, diese Server als Resolver für allgemeine Zwecke verwenden würden, gäbe es ein viel größeres Problem. Für all das ist bekannt, dass es eine schlechte Praxis ist, dass es nicht so schwer ist, Hosting-Anbieter zu finden, die es falsch verstehen, was Möglichkeiten für Missbrauch eröffnet.


5
2017-12-19 10:07



Wenn also DigitalOcean noch nicht für die Domain zuständig ist und mehrere potenzielle Kunden behaupten, die Domain zu besitzen, wie würde DigitalOcean dann wissen, welcher der potenziellen Kunden die Wahrheit sagt? Werden sie dem ersten Zugriff zum Erstellen von Datensätzen und einer Frist zum Aktualisieren von NS-Datensätzen geben, um die Kontrolle über die Domäne zu beweisen? Oder werden sie jedem der potenziellen Kunden eine andere Teilmenge von autoritativen Servern geben, die in die NS-Datensätze eingefügt werden? - kasperd
@ Kasperd die legitimen Besitzer einen Punkt die NS-Datensätze wo immer sie wollen und dann zum Beispiel eine TXT-Datensatz konfigurieren, die beweist, dass sie die Besitzer sind, weil es eindeutige Informationen enthält, die der Service-Provider ihnen gibt. Zugegeben, es ist ein bisschen wie ein Palaver, aber für die seltenen Fälle, in denen das passieren könnte, ist es etwas einfacher, als dass jeder die Eigentumsrechte nachweisen kann, bevor er sie an Bord bringt. - Iain
@ Kasperd Oft identifiziert der Whois-Datensatz den legitimen Besitzer, obwohl die Leute manchmal Grund haben, diese Informationen zu verschleiern. In jedem Fall, wenn Sie DO sagen, die Domain Ihrem Konto zuzuordnen, damit Sie es autorisieren können, geben Sie dem Betrüger wahrscheinlich eine Zeitleiste, um entweder den Registrar zu aktualisieren oder die Domain-Zuordnung bei DO aufzugeben. Der rechtmäßige Besitzer muss vielleicht ein wenig warten, das ist alles. - mc0e


Ich denke, dieses Problem bedeutet, dass niemand solche Nameserver (wie die von Digital Ocean) als Resolver verwenden sollte, da jeder einen Nameserver für eine bestehende Domäne auf ihnen erstellen kann. Der Kampf um die Kontrolle über die Domain ist irrelevant, da der Besitz von Domains leicht bewiesen werden kann, aber die Tatsache, dass jemand zum Beispiel jede existierende Domain, die NICHT auf Digital Ocean gehostet wird, irgendwohin leiten kann.

Bottom line: Vertrauen Sie nicht den DNS-Servern eines Hosting-Dienstes, der keinen Eigentumsnachweis erfordert (einfach und schnell zum Beispiel mit der oben vorgeschlagenen Methode: indem Sie zuerst einen TXT-Eintrag mit einem bestimmten Wert in der Domain hinzufügen) , das ist es, was Microsoft O365 und Google zum Beispiel tun).


0
2017-12-16 21:10