Як хтось вказав субдомен нашого домену на чужу IP-адресу?

У нас є основний домен:

businessdts.com

Я не знав, чи створили наші адміністратори субдомен "BDASERVER.businessdts.com", тому я просто спробував підключитися до нього за допомогою браузера і отримав "не знайдено". Потім я пінґорував цей піддомен і отримав IP-адресу, яка не належить нам:

Pinging BDASERVER.businessdts.com [198.105.244.117] з 32 байтами даних
Наш домен і всі субдомени повинні мати IP-адресу [173.203.24.209]

У мене адміністратори перевіряли всі наші DNS-зони, і ми не знаходимо жодного примірника піддомену BDASERVER (адміністратори ще не створили його), а також не знайшли жодного примірника IP-адреси 198.105.244.117.

Здійснивши пошук IP, ми виявили, що 198.105.244.117 належить компанії під назвою Search Guide Inc. (searchguideinc.com). Вони, схоже, є деякими доменними брокерами.

Я щось пропускаю:

Як цей субдомен BDASERVER вирішує адресу, яка не є нашою?
Як хтось викрадає SUB-домен?

domain-name-system subdomain hijack

— CBruce
джерело

Які сервери DNS ви використовуєте під час запуску цього пошуку? Мій пошук не може вирішити це ім'я. Це пахне NXDOMAIN захопленням мене.

— joeqwerty

Нашими серверами імен є NS.RACKSPACE.COM і NS2.RACKSPACE.COM, @joeqwerty. Коли ми встановимо піддомени BDASERVER та wildcard, схоже, це буде перекриття викрадачів. Єдиний спосіб, коли я дізнався про цю проблему, був тоді, коли я робив пінг проти субдомену.

— CBruce

Вибачте, я мав би уточнити свій коментар. Я запитав, які сервери DNS використовує ваш комп’ютер для роздільної здатності DNS? Це сервери імен, які викрадають відповідь NXDOMAIN, а не сервери імен для вашого доменного імені.

— joeqwerty

Відповіді:

Як підказали інші хлопці, - це фактично норма провайдера. ATT робить це і мені. Якщо запитуваний домен не знайдено, а записи DNS не вказують на місце призначення за замовчуванням (ви можете встановити це на вашому сервері, який управляє вашим DNS - швидше за все, ви використовуєте стандартний реєстратор, і вони будуть керувати вашим dns для вас - просто увійдіть до місця, де ви зареєстрували своє доменне ім’я, та натисніть кнопку керування dns). Вам слід додати запис про переадресацію «wildcard». Таким чином ви завжди будете вказувати невизначений трафік на веб-сторінку за замовчуванням - або на вашу індексну сторінку вашого основного веб-сайту. Установки DNS за замовчуванням

Підсумок - якщо ви керуєте своїм доменним іменем та сервером - встановіть стандартні символи за замовчуванням, і ви можете також додати деякі користувацькі сторінки помилок, щоб вказати веб-серверу, коли хтось запитує сторінку, яка не існує - додайте свій логотип та посилання на ваш головний сайт із невеликим скриптом пошуку на сайті чи чимось на ньому ... так прикро, що вимагати ресурс чи html-сторінку з веб-сайту - навіть натискаючи на одне з їх посилань на іншій сторінці свого сайту - і ця потворна "400 Помилка "з'являється сторінка. Стільки бізнесу може зробити для збереження користувацького досвіду, переконуючись у тому, щоб обробляти помилки та тримати своїх клієнтів. Я також рекомендую включити "ЗВІТ З ЗАМОВЛЕННЯМ ПОСИЛАННЯ"

Зараз я поза темою - але очевидно - ОП має знати трохи більше про те, що спричиняє можливість провайдера перехопити помилку ... обробник DNS не надає корисної відповіді на не визначений субдомен, який запитується, оскільки це не там - тож Інтернет-провайдер замість цього обслуговує сторінку, що приносить прибуток. Легко виправити, хоча!

— GoZippy
джерело

"це фактично ISP норма", я підозрюю, що це сильно залежить від місцевого значення. Жоден із Інтернет-провайдерів, якими я користувався, цього не робив (і якби мій поточний почав це робити, вони почули б від мене ...).

— CVn

Для того, щоб назвати це "нормою", це може бути БКП або принаймні МАЙ у відповідних RFC. Я сильно сумніваюся в цьому.

— Hagen von Eitzen

@HagenvonEitzen, на жаль, такі компанії, які приносять прибуток, як Інтернет-провайдери (принаймні тут, у США) мало піклуються про БКП та РФС та інші стандарти. Таким чином, норма справжнього світу може закінчитися відхиленням дуже, дуже далеко від опублікованих стандартів.

— Doktor J

@DoktorJ У певному сенсі можна сказати, що якщо вони навмисно порушують RFC, які є вільним фактичним стандартом Інтернету, то, що надає вам ваш постачальник послуг, це не Інтернет ... мій 2c

— Хаген фон Ейтцен

Інтернет-провайдер вважає, що повернення шахрайських відповідей на запити DNS може допомогти, але особа, яку вони вважають, може допомогти, це не клієнт.

— Джон Ханна

Для цього субдомену немає записів:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Ймовірно, що DNS вашого провайдера робить те, що називається викраденням NXDOMAIN, де вони викрадають відповіді NXDOMAIN DNS і замість того, щоб відповісти правильним NXDOMAIN (як вище), вони дають вам IP-адресу сторінки "пошуку", яка зазвичай отримує дохід від реклами для них.

Я б поговорив з вашим Інтернет-провайдером і попросив, щоб вони перестали втручатися у ваш трафік. Якщо вони відмовляться, придбайте кращий Інтернет-провайдер або використовуйте інший дозвіл для вашого трафіку.

— EEAA
джерело

Підтверджено. Ця IP-адреса зареєстрована в Search Guide Inc, відомому напрямку викрадення NXDOMAIN.

— Майкл Хемптон

І це частина того, чому реєстратори роблять так багато від "оборонних" реєстрацій :(

— Gypsy Spellweaver

Отже, якщо ми продовжимо та створимо піддомен BDASERVER у нашій зоні DNS - чи буде це витісняти все, що робити ривки та чи правильно працюватиме для нас?

— CBruce

@CBruce Так, так і повинно. А потім перейдіть і змініть свій DNS-роздільник. :)

— EEAA

@CBruce Ну, залежно від TTL вони підробили свою маніпульовану відповідь, це може зайняти деякий час

— Хаген фон Ейтцен

Хтось вказує на субдомен або будь-який запис DNS для цього, який не існує, виконуючи викрадення NXDOMAIN, а це означає, що жадібні власники DNS перезаписують записи, щоб вказувати на сторінки на основі оголошень.

На це є дуже проста відповідь: увімкніть DNSSEC у вашому домені, що не дозволить комусь відповісти від іншого DNS (наприклад, вашого провайдера).

— Макс Дор
джерело

Це передбачає, що клієнт перевіряє DNSSEC, а злий DNS-сервер провайдера не зніме записи DNSSEC. Заголовок Strict-Transport-Security з includeSubDomains може завдати більше шкоди викрадачу субдомену, ніж додавання DNSSEC.

— Ángel

Повна згода - у цей день і вік DNS просто незахищений (чому ми його використовуємо ...), ніяких аргументів щодо зміни будь-якого запиту DNS. Але вилучення записів DNSSEC - це зовсім інший рівень, ніж просто викрадення відповіді NXDOMAIN, до якої провайдери можуть не просто зробити крок.

— Макс Дор

Так, це дуже правда. Послухайте цю пораду ОП.

— GoZippy