it-swarm.com.de

Kann jemand, der denselben DNS-Server wie ich verwendet, meine Domains entführen?

Wenn ich eine neue Domain registriere, sende ich sie an meinen Hosting-Anbieter, indem ich ihr in den Einstellungen der Registrierung ihre Domain-Nameserver zuweise. Zum Beispiel gebe ich mit Digital Ocean Folgendes ein:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Anschließend füge ich die Domäneneinstellungen in den A-Datensatz meines Servers ein. Mir ist gerade eingefallen, dass jeder andere auf demselben Hosting-Anbieter einen A-Eintrag mit einer Domain hinzufügen kann, die ich besitze.

Gibt es irgendetwas, das dies verhindert? Wenn zwei verschiedene Server, die denselben Domain Name Server verwenden, versuchen, sich über die A-Einträge eine Domain zuzuweisen, wo würde sich die Domain tatsächlich auflösen, wenn Sie sie in den Browser eingeben? Was verhindert Domain-Kollisionen auf demselben DNS-Server?

48
Eran Galperin

Der Kommentarbereich unten macht Ihnen nichts aus, und die vorherigen Antworten im Bearbeitungsverlauf machen Ihnen nichts aus. Nach ungefähr einer Stunde Gespräch mit Freunden (danke @joeQwerty, @Iain und @JourneymanGeek) und einigem gemütlichen Hacken sind wir sowohl Ihrer Frage als auch der Situation insgesamt auf den Grund gegangen. Entschuldigen Sie die Brüskheit und das Missverständnis der Situation zunächst vollständig.

Lassen Sie uns den Prozess durchlaufen:

  1. Sie kaufen wesleyisaderp.com at, sagen wir, NameCheap.com.
  2. In Namecheap als Registrar füllen Sie Ihre NS -Datensätze) aus. Angenommen, Sie möchten die DNS-Zone tatsächlich auf Digital Ocean hosten.
  3. Sie zeigen die NS-Datensätze Ihrer glänzenden neuen Domain) auf ns1.digitalocean.com und ns2.digitalocean.com.
  4. Nehmen wir jedoch an, ich konnte feststellen, dass Sie diese Domain registriert haben, und außerdem, dass Sie Ihre NS-Datensätze in Digital Ocean's geändert haben. Dann habe ich dich auf ein Digital Ocean-Konto geschlagen und die Zone wesleyisaderp.com zu meiner eigenen hinzugefügt.
  5. Sie versuchen, die Zone in * Ihrem * Konto hinzuzufügen, aber Digital Ocean sagt, dass die Zone bereits in ihrem System vorhanden ist! Oh nein !
  6. I CNAME wesleyisaderp.com bis wesleyisbetterthanyou.com.
  7. Es kommt zu Heiterkeit.

Einige Freunde und ich haben gerade genau dieses Szenario durchgespielt, und ja, es funktioniert. Wenn @JoeQwerty eine Domain kauft und auf die Digital Ocean-Nameserver verweist, diese Zone jedoch bereits zu meinem Konto hinzugefügt wurde, bin ich der Zonenmaster und kann damit tun, was ich will.

Bedenken Sie jedoch, dass jemand zuerst die Zone zu seinem DNS-Konto hinzufügen müsste und dann Ihre NS-Datensätze) auf die Nameserver desselben Hosts verweisen müsste, damit etwas Schändliches passiert. Darüber hinaus können Sie als Domaininhaber jederzeit zwischen NS-Datensätzen) wechseln und die Auflösung vom Host der fehlerhaften Zone entfernen.

Die Wahrscheinlichkeit, dass dies geschieht, ist gelinde gesagt etwas gering. Es wird gesagt, dass Sie statistisch gesehen ein Kartenspiel mit 52 Spielkarten mischen und eine Bestellung erhalten können, die kein anderer Mensch jemals erhalten hat und die kein anderer Mensch jemals erhalten wird. Ich denke, die gleiche Argumentation existiert hier. Die Wahrscheinlichkeit, dass jemand dies ausnutzt, ist so gering, und es gibt bessere Abkürzungen, dass es wahrscheinlich nicht zufällig in freier Wildbahn passiert.

Wenn Sie eine Domain bei einem Registrar besitzen und jemand zufällig eine Zone bei einem Anbieter wie Digital Ocean eingerichtet hat, mit dem Sie kollidieren, werden Sie die Person, die die Domain erstellt hat, sicher fragen, wenn Sie einen Eigentumsnachweis vorlegen Zone in ihrem Konto, um es zu entfernen, da es keinen Grund dafür gibt, da sie nicht der Eigentümer des Domainnamens sind.

Aber was ist mit A-Aufzeichnungen?

Die erste Person, die eine Zone hat, zum Beispiel Digital Ocean, wird diejenige sein, die sie kontrolliert. Sie können nicht mehrere identische Zonen in derselben DNS-Infrastruktur haben. Wenn ich zum Beispiel die oben genannten albernen Namen verwende und wesleyisaderp.com als Zone in Digital Ocean habe, kann es niemand anderes in der DNS-Infrastruktur von Digital Ocean seinem Konto hinzufügen.

Hier ist der lustige Teil: Ich habe wesleyisaderp.com wirklich zu meinem Digital Ocean-Konto hinzugefügt! Gehen Sie voran und versuchen Sie, es zu Ihrem hinzuzufügen. Es wird nichts schaden.

Daher können Sie wesleyisaderp.com keinen A-Datensatz hinzufügen. Es ist alles meins.

Aber was ist mit...

Wie @Iain unten ausgeführt hat, ist mein Punkt 4 oben tatsächlich zu ausführlich. Ich muss überhaupt nicht warten oder planen oder planen. Ich kann einfach Tausende Zonen in einem Konto erstellen und mich dann zurücklehnen und warten. Technisch. Wenn ich Tausende von Domains erstelle und dann darauf warte, dass sie registriert werden, und dann hoffe, dass sie die DNS-Hosts verwenden, auf denen ich meine Zonen eingerichtet habe ... kann ich vielleicht etwas Schlechtes tun? Könnte sein? Aber wahrscheinlich nicht?

Entschuldigung an Digital Ocean & NameCheap

Beachten Sie, dass Digital Ocean und NameCheap nicht eindeutig sind und nichts mit diesem Szenario zu tun haben. Dies ist normales Verhalten. Sie sind an allen Fronten tadellos. Ich habe sie nur verwendet, da dies das gegebene Beispiel war, und sie sind sehr bekannte Marken.

60
Wesley

Zusätzlich zu Wesleys hervorragender Antwort möchte ich hinzufügen, dass es bereits eine Lösung gibt, um dies zu verhindern. Es heißt DNSSEC.

Die Grundlagen sind folgende:

  • Sie registrieren Ihre Domain (ich werde hier mit dem bekannten Namen wesleyisaderp.com Gehen, nur weil.)
  • Sie registrieren Ihre Nameserver bei Ihrem Registrar, normalerweise über eine Webschnittstelle, bei der Sie sich mit einer Kombination aus Benutzername und Passwort authentifizieren.
  • Sie erstellen auch ein öffentliches/privates Schlüsselpaar und laden Ihren öffentlichen Schlüssel in Form eines DNSKEY-Eintrags in Ihren Registrar hoch. (Auf diese Weise kann der Registrar die Vertrauenskette zu den Stammservern für die Top-Level-Domain einrichten - in diesem Fall die Stammserver für .com.) Sie laden diese erneut hoch, wenn Sie angemeldet sind mit Ihrer eigenen Kombination aus Benutzername und Passwort, damit diese mit Ihrer Domain (n) und nicht mit der einer anderen Person verbunden ist.
  • Sie gehen zum Nameserver, geben Ihre Datensätze ein und signieren die resultierende Zonendatei mit Ihrem privaten Schlüssel. Wenn Sie eine Weboberfläche für Ihren DNS-Hostingdienst haben, laden Sie den privaten Schlüssel auf diese hoch, damit sie die Zonendatei für sie signieren können.
  • Wenn Wesley so grob versucht, Ihre Domain zu entführen und sie auf wesleyisbetterthanyou.com CNAME, werden seine Datensätze von den .com-Root-Domain-Servern nicht akzeptiert, da sie nicht mit dem richtigen Schlüssel signiert sind. Wenn Ihr DNS-Hosting-Anbieter klug ist, wird er dies sofort überprüfen und ihm nicht einmal erlauben, zu dieser Domain Einträge hinzuzufügen, es sei denn, er verfügt über den richtigen privaten Schlüssel.
  • Wenn Sie Ihre eigenen Datensätze eingeben, werden diese mit dem richtigen Schlüssel signiert, damit sie funktionieren.
  • Sie können sich jetzt zurücklehnen und Wesley auslachen.

(Im ursprünglichen Fall, den Wesley beschreibt, wäre der Hauptfehler, dass Digital Ocean den Besitz einer Domain nicht überprüft hat, bevor jemand DNS-Einträge dafür einrichten konnte. Leider sind sie damit nicht allein; ich weiß von mindestens einem schwedischen Registrar mit den gleichen Problemen.)

32
Jenny D

Es geht Ihnen gut, solange Sie das Eigentum an der Domain bei DigitalOcean beanspruchen (d. H. Sie Ihrem Konto zuordnen), bevor Sie den Registrar anweisen, seine Nameserver zu verwenden.

Wenn jemand Ihre Domain bereits mit seinem Konto verknüpft hat, werden Sie dies herausfinden, bevor die DigitalOcean-Nameserver autorisierend werden. Wenn dies passiert, sprechen Sie mit DigitalOcean darüber, wie diese Person von ihrem Konto gebootet wird.

In Übereinstimmung mit der Best Practice fungieren {ns1, ns2, ns3} .DigitalOcean.com nicht als rekursive Resolver für Domänen, die an anderer Stelle gehostet werden. Wenn dies der Fall wäre und von DigitalOcean gehostete Server diese Server als Allzweck-Resolver verwenden würden, gäbe es ein viel größeres Problem. Trotz allem, was bekanntermaßen eine schlechte Praxis ist, ist es wahrscheinlich nicht so schwer, Hosting-Anbieter zu finden, die etwas falsch machen, was Möglichkeiten für Missbrauch eröffnet.

6
mc0e

Ich denke, dieses Problem bedeutet, dass niemand solche Nameserver (wie die von Digital Ocean) als Resolver verwenden sollte, da jeder einen Nameserver für eine vorhandene Domain auf ihnen erstellen kann. Der Kampf um die Kontrolle über die Domain ist irrelevant, da der Besitz einer Domain leicht bewiesen werden kann, aber die Tatsache, dass jemand beispielsweise jede vorhandene Domain, die NICHT bereits auf Digital Ocean gehostet ist, an einen beliebigen Ort leiten kann.

Fazit: Vertrauen Sie den DNS-Servern von Hosting-Diensten nicht, für die kein Nachweis des Domänenbesitzes erforderlich ist (einfach und schnell, beispielsweise mit der oben vorgeschlagenen Methode: durch Hinzufügen eines TXT) Nehmen Sie zuerst mit einem bestimmten Wert in der Domain auf (dies tun beispielsweise Microsoft O365 und Google).