41 votos

¿Alguien que usa el mismo servidor DNS como me puede secuestrar mis dominios?

Cuando puedo registrar un dominio nuevo, yo envío a mi proveedor de hosting mediante la asignación de sus servidores de nombres de dominio en el registro de la configuración. Por ejemplo, con Digital Ocean, yo de entrada lo siguiente:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Yo, a continuación, agregar la configuración del dominio en el registro de mi servidor. Se me acaba de ocurrir que de cualquier otra persona en el mismo proveedor de hosting puede agregar Un registro a con un dominio propio.

¿Hay algo que impide que esta se produzca? si 2 diferentes servidores que utiliza el mismo nombre de dominio del servidor de intentar asignar un dominio a sí mismos a través de los registros, donde el dominio de la realidad de resolver cuando usted entra en el navegador? qué impide que el nombre de dominio de colisiones en el mismo servidor DNS?

55voto

Wesley Puntos 22784

Nunca la mente de la sección de comentarios más abajo, y nunca la mente de las respuestas anteriores en el historial de edición. Después de una hora de una conversación con amigos (gracias @joeQwerty, @Iain, y @JourneymanGeek), y algunos jovial hacking alrededor llegamos a la parte inferior de tu pregunta y la situación en su conjunto. Lo siento por la brusquedad y la incomprensión de la situación completamente al principio.

Vamos paso a paso el proceso:

  1. Comprar wesleyisaderp.com a, digamos, NameCheap.com.
  2. Namecheap como su secretario será el lugar donde usted llena los registros NS. Digamos que usted realmente desea de host de la zona DNS en Digital Ocean.
  3. El punto de su brillante nuevo dominio registros NS para ns1.digitalocean.com y ns2.digitalocean.com.
  4. Sin embargo, digamos que yo era capaz de determinar que se había registrado ese dominio, y además de que había cambiado sus registros NS para Digital del Océano. Entonces me golpearon en Digital Ocean cuenta y se añade la zona wesleyisaderp.com a la mía.
  5. Intenta agregar la zona en *su* cuenta pero Digital Ocean dice que en la zona ya existe en su sistema! Oh noes!
  6. Yo CNAME wesleyisaderp.com a wesleyisbetterthanyou.com.
  7. Se produce hilaridad.

Algunos amigos y acabo de jugar este escenario exacto, y sí funciona. Si @JoeQwerty compra un dominio y puntos a Océano Digital de los servidores de nombres, pero yo ya tenía esa zona añadido a mi cuenta, yo soy el maestro de la zona y puede hacer con ella lo que quiero.

Sin embargo, considerar que una persona tendría que agregar primero la zona a su cuenta de DNS y, a continuación, usted tendría a punto de los registros NS para el nombre de los servidores de ese mismo host para nada nefasto a suceder. Además, como el propietario del dominio, usted puede cambiar los registros NS cualquier momento que desee y mover la resolución lejos de los malos de la zona de acogida.

La probabilidad de que esto ocurra es un poco baja para decir lo menos. Se dice que, estadísticamente, se puede barajar un mazo de 52 cartas y obtener un orden que ningún otro ser humano ha conseguido, y ningún otro ser humano jamás. Creo que el mismo razonamiento que existe aquí. La probabilidad de que alguien la explotación de esta es muy baja, y hay mejores accesos directos en la existencia, que probablemente no va a suceder en la naturaleza por accidente.

Además, si usted es dueño de un dominio en un registrador y se pasa alguien ha hecho una zona en un proveedor como Digital Océano que chocan con el, estoy seguro de que si usted proporcionar la prueba de la propiedad, se pediría a la persona que hizo la zona en su cuenta de eliminar ya que no hay ninguna razón para existir ya que no es el propietario del nombre de dominio.

Pero ¿qué hay acerca de los registros de

La primera persona a una zona, por ejemplo, Digital Ocean, será el que lo controla. Usted no puede tener idénticas múltiples zonas en la misma infraestructura de DNS. Así, por ejemplo, mediante el tonto por encima de los nombres, si tengo wesleyisaderp.com como una zona en Digital Ocean, nadie más en Digital Ocean de la infraestructura del DNS puede agregar a su cuenta.

Aquí está la parte divertida: yo realmente realmente han añadido wesleyisaderp.com a mi Digital Ocean cuenta! Seguir adelante y tratar de añadir en el suyo. No duele nada.

Así que como resultado, usted no puede agregar Un registro a wesleyisaderp.com. Es todo mío.

Pero, ¿qué acerca de...

Como @Iain se señala más abajo, mi punto #4 es en realidad demasiado detallado. No tengo que esperar o parcela o esquema. Sólo puedo hacer miles de zonas en una cuenta y, a continuación, sentarse y esperar. Técnicamente. Si puedo hacer miles de dominios y, a continuación, esperar a que registrarse, y pues espero que usar las DNS de los hosts a los que me he fijado mis zonas... tal vez yo pueda hacer algo un poco malo? Tal vez? Pero, probablemente, no?

Disculpas a Digital Ocean Y NameCheap

Tenga en cuenta que Digital Ocean y NameCheap no son únicos, y no tienen nada que ver con este escenario. Este comportamiento es normal. Son irreprensibles en todos los frentes. Acabo de utilizar ellos ya que fue el ejemplo dado, y son de marcas conocidas.

30voto

Jenny D Puntos 14396

Además de Wesley excelente respuesta, me gustaría añadir que ya hay una solución para evitar esto. Se llama DNSSEC.

Lo básico es este:

  • Registre su dominio (voy a ir con el eminente nombre wesleyisaderp.com aquí, porque sí.)
  • Usted registra su nombre de los servidores con su registrador, normalmente a través de un interfaz web que permite autentificar con un nombre de usuario/contraseña de combo.
  • También debe crear una clave pública/privada de par, y cargar su clave pública a su registrador en la forma de un registro DNSKEY. (Que es la manera en que el registrador puede configurar la cadena de confianza a los servidores root para el dominio de nivel superior - en este caso, los servidores root para .com.) De nuevo, se carga cuando estás conectado con tu propio nombre de usuario/contraseña de combo, por lo que está conectado a su dominio(s) y no al de otra persona.
  • Ir al servidor de nombres, entrar en sus expedientes y firmar el resultante de archivo de zona con la clave privada. O, si tienes una interfaz web para su servicio de hospedaje de DNS, debes subir la clave privada a ellos para que puedan firmar el archivo de zona.
  • Cuando Wesley tan bruscamente intenta secuestrar su dominio y CNAME a wesleyisbetterthanyou.com, sus registros no será aceptada por el .com dominio root de los servidores debido a que no son firmado con la clave correcta. Si su proveedor de hospedaje DNS es inteligente, se comprobará que la derecha del palo, y no permitir que él para tratar de agregar registros a ese dominio, a menos que él tiene el derecho de clave privada.
  • Cuando ingresa tus propios registros, que será firmada por el derecho de llave, por lo que van a trabajar.
  • Ahora puede sentarse y reírse de Wesley.

(En el caso original, la que Wesley se describe, el principal error sería que Digital Ocean no verificar la propiedad de un dominio antes de permitir que alguien para configurar los registros DNS para él. Por desgracia, no están solos en esto; sé de al menos un sueco registrador con los mismos problemas.)

5voto

mc0e Puntos 2661

Vas a estar bien siempre y cuando usted reclama la propiedad del dominio en DigitalOcean (es decir, asociado con su cuenta) antes de informar a la secretaría a utilizar sus servidores de nombres.

Si alguien ha asociado su dominio con su cuenta ya vas a encontrar antes de que el DigitalOcean convertirse en servidores de nombres autorizados. Y si eso sucede, hable con DigitalOcean acerca de conseguir que la persona arrancado de su cuenta.

En línea con la mejor práctica, {ns1,ns2,ns3}.DigitalOcean.com no actúan como resolutores recursivos para dominios alojados en otro lugar. Si ellos lo hicieron, y si los servidores alojados por DigitalOcean utiliza los servidores de propósito general resoluciones, entonces no sería un problema mucho más grande. Para todos que esto es bien conocido por ser mala práctica, es probable que no sea tan difícil de encontrar proveedores de hosting que se equivocan, que abre las posibilidades de abuso.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: