Ai đó có thể sử dụng cùng một máy chủ DNS như tôi chiếm quyền điều khiển tên miền của tôi không?


48

Khi tôi đăng ký một tên miền mới, tôi gửi nó cho nhà cung cấp dịch vụ lưu trữ của mình bằng cách chỉ định cho nó các máy chủ tên miền của nó trong cài đặt của đăng ký. Ví dụ: với Digital Ocean, tôi nhập vào như sau:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Sau đó tôi thêm các cài đặt tên miền trong bản ghi A của máy chủ của mình. Tôi nhận thấy rằng bất kỳ ai khác trên cùng một nhà cung cấp dịch vụ lưu trữ đều có thể thêm bản ghi A với tên miền tôi sở hữu.

Có bất cứ điều gì ngăn chặn điều này xảy ra? Nếu 2 máy chủ khác nhau sử dụng cùng một máy chủ tên miền cố gắng tự gán tên miền cho mình thông qua các bản ghi A, thì tên miền thực sự sẽ giải quyết khi bạn nhập nó vào trình duyệt? Điều gì ngăn chặn xung đột tên miền trên cùng một máy chủ DNS?


7
Digital Ocean ngăn chặn nó, vì một điều. Chỉ cần thử nhập bản ghi A cho tên miền bạn không sở hữu.
Michael Hampton

4
Câu hỏi là, làm thế nào để họ biết ai sở hữu tên miền? Là lần đầu tiên đến, phục vụ đầu tiên? Vì vậy, bất cứ ai thêm bản ghi A đầu tiên, có thể sử dụng tên miền?
Eran Galperin

16
@EranGalperin Xin chào! Tôi là nhân viên của DigitalOcean. Người đầu tiên thêm tên miền vào tài khoản của họ có thể thiết lập hồ sơ cho tên miền đó, nhưng chúng tôi có quy trình thiết lập quyền sở hữu trong trường hợp có xung đột.
Jacob

1
Các vấn đề như thế này là lý do tại sao các nhà cung cấp DNS lớn hơn (như Giải pháp Mạng) cũng là nhà đăng ký DNS. Họ có thể xử lý cả hai bước cùng một lúc và đảm bảo rằng mọi thứ được đồng bộ hóa.
Barmar

Như @Barmar đã nói ở trên, hầu hết các nhà đăng ký cũng cung cấp dịch vụ lưu trữ DNS, điều này tránh được vấn đề bạn đã mô tả, mặc dù kịch bản có vẻ khó xảy ra và tầm thường để giải quyết.
Fred Thomsen

Câu trả lời:


60

Không bao giờ bạn để ý phần bình luận bên dưới, và không bao giờ bạn nhớ những câu trả lời trước đó trong lịch sử chỉnh sửa. Sau khoảng một giờ trò chuyện với bạn bè (cảm ơn bạn @joeQwerty, @Iain và @JTHERmanGeek), và một số hack vui nhộn xung quanh chúng tôi đã đi đến tận cùng câu hỏi của bạn và toàn bộ tình huống. Xin lỗi vì sự thô bạo và hiểu lầm hoàn toàn tình huống lúc đầu.

Hãy bước qua quy trình:

  1. Bạn mua wesleyisaderp.comtại, giả sử, NameCheap.com.
  2. Namecheap là công ty đăng ký của bạn sẽ là nơi bạn điền vào hồ sơ NS của bạn. Giả sử bạn thực sự muốn lưu trữ vùng DNS trên Digital Ocean.
  3. Bạn trỏ các bản ghi NS của miền mới sáng bóng của bạn đến ns1.digitalocean.comns2.digitalocean.com.
  4. Tuy nhiên, giả sử tôi có thể xác định rằng bạn đã đăng ký tên miền đó và hơn nữa bạn đã thay đổi hồ sơ NS của mình thành Digital Ocean . Sau đó, tôi đánh bại bạn vào một tài khoản Digital Ocean và thêm khu vực wesleyisaderp.com vào tài khoản của tôi.
  5. Bạn cố gắng thêm vùng trong tài khoản * của bạn nhưng Digital Ocean nói rằng vùng đó đã tồn tại trong hệ thống của họ! Ôi không!
  6. Tôi CNAME wesleyisaderp.comđến wesleyisbetterthanyou.com.
  7. Nảy sinh vui nhộn.

Một số bạn bè và tôi chỉ chơi kịch bản chính xác này, và nó hoạt động. Nếu @JoeQwerty mua một tên miền và trỏ nó đến máy chủ tên Digital Ocean, nhưng tôi đã thêm vùng đó vào tài khoản của mình, thì tôi là chủ khu vực và có thể làm điều đó với những gì tôi muốn.

Tuy nhiên, hãy cân nhắc rằng trước tiên ai đó sẽ phải thêm vùng vào tài khoản DNS của họ và sau đó bạn phải trỏ bản ghi NS của mình đến máy chủ tên của cùng máy chủ đó để bất kỳ điều gì bất chính xảy ra. Hơn nữa, với tư cách là chủ sở hữu tên miền, bạn có thể chuyển đổi bản ghi NS bất cứ lúc nào bạn muốn và di chuyển độ phân giải ra khỏi máy chủ vùng xấu.

Ít nhất có thể nói điều này xảy ra là hơi thấp. Người ta nói rằng, theo thống kê, bạn có thể xáo trộn một bộ bài gồm 52 lá bài và nhận được một mệnh lệnh mà không một người nào khác nhận được, và sẽ không có người nào khác làm được. Tôi nghĩ lý do tương tự tồn tại ở đây. Khả năng ai đó khai thác điều này là rất thấp, và có những lối tắt tốt hơn trong sự tồn tại, rằng nó có thể sẽ không xảy ra trong tự nhiên một cách tình cờ.

Hơn nữa, nếu bạn sở hữu một tên miền tại một công ty đăng ký và ai đó tình cờ đã tạo một khu vực trên một nhà cung cấp như Digital Ocean mà bạn va chạm, tôi chắc chắn nếu bạn cung cấp bằng chứng về quyền sở hữu, họ sẽ hỏi người đã tạo ra trong tài khoản của họ để xóa nó vì không có lý do gì để nó tồn tại vì họ không phải là chủ sở hữu tên miền.

Nhưng những gì về hồ sơ A

Người đầu tiên có khu vực trên, ví dụ Digital Ocean, sẽ là người kiểm soát khu vực đó. Bạn không thể có nhiều vùng giống hệt nhau trên cùng một cơ sở hạ tầng DNS. Vì vậy, ví dụ, bằng cách sử dụng các tên ngớ ngẩn ở trên, nếu tôi có wesleyisaderp.com là một khu vực trên Digital Ocean, không ai khác trên cơ sở hạ tầng DNS của Digital Ocean có thể thêm nó vào tài khoản của họ.

Đây là phần thú vị: Tôi thực sự đã thêm wesleyisaderp.com vào tài khoản Digital Ocean của mình! Đi trước và cố gắng thêm nó vào của bạn. Nó sẽ không làm tổn thương gì cả.

Do đó, bạn không thể thêm bản ghi A vào wesleyisaderp.com. Đó là tất cả của tôi.

Nhưng còn ...

Như @Iain đã chỉ ra bên dưới, điểm số 4 của tôi ở trên thực sự quá dài dòng. Tôi không phải chờ đợi hay âm mưu hay kế hoạch nào cả. Tôi chỉ có thể tạo hàng ngàn vùng trong một tài khoản và sau đó ngồi lại và chờ đợi. Về mặt kỹ thuật. Nếu tôi tạo hàng ngàn tên miền, sau đó đợi chúng được đăng ký, và sau đó hy vọng chúng sử dụng máy chủ DNS mà tôi đã đặt vùng của mình trên ... có lẽ tôi có thể làm điều gì đó tồi tệ không? Có lẽ? Nhưng có lẽ là không?

Lời xin lỗi đến Digital Ocean & NameCheap

Lưu ý rằng Digital Ocean và NameCheap không phải là duy nhất và không liên quan gì đến kịch bản này. Đây là hành vi bình thường. Họ đáng trách trên mọi mặt trận. Tôi chỉ sử dụng chúng vì đó là ví dụ được đưa ra, và chúng là những thương hiệu rất nổi tiếng.


2
Tôi cho rằng nếu bạn thực sự muốn gây rối với ai đó, bạn có thể thiết lập ví dụ như RR AMXRR với các TTL thực sự dài, chỉ vào máy chủ mà bạn kiểm soát và đập các máy chủ DNS chung chung (như Google, có thể?). Một biến thể của ngộ độc bộ đệm ...
CVn

4
Việc thể hiện quyền sở hữu tên miền cũng không quan trọng bằng việc có thể thay đổi máy chủ ns nào được chỉ ra để ngay cả khi ai đó đã làm điều đó, có thể bị xóa tương đối nhanh nếu dịch vụ khách hàng của họ tốt.
JamesRyan

3
Bản ghi @JamesRyan TXT được sử dụng để chứng minh quyền sở hữu trong các trường hợp như thế này.
user9517 hỗ trợ GoFundMonica

4
@Wesley Điều này đúng. Chúng tôi có một quy trình tại chỗ để xử lý các trường hợp xung đột vùng với dịch vụ DNS của chúng tôi.
Jacob

7
Một tình huống kỳ lạ trong đó điều này có thể có nhiều khả năng là nơi tên miền đã được đăng ký trước đó và được sử dụng tại Digital Ocean, sau đó mất hiệu lực / không được gia hạn nhưng vùng này không bị xóa khỏi Digitalocean. Một số người sau đó chộp lấy nó như một miền 'mới' (không biết rằng nó đã được sở hữu trước đó), sau đó cố gắng tạo vùng tại Digital Ocean. Điều này chỉ có thể được ngăn chặn nếu máy chủ DNS định kỳ thanh trừng các vùng mà nó không còn là máy chủ tên. (không có các phương pháp giải quyết xung đột đã nói ở trên)
Ashley

32

Ngoài câu trả lời tuyệt vời của Wesley, tôi muốn nói thêm rằng đã có một giải pháp để ngăn chặn điều này. Nó được gọi là DNSSEC.

Những điều cơ bản là:

  • Bạn đăng ký tên miền của mình (tôi sẽ đi với tên nổi tiếng wesleyisaderp.comở đây, chỉ vì.)
  • Bạn đăng ký máy chủ tên của mình với công ty đăng ký, thường thông qua giao diện web mà bạn xác thực bằng kết hợp tên người dùng / mật khẩu.
  • Bạn cũng tạo một cặp khóa công khai / riêng tư và bạn tải khóa công khai của mình lên công ty đăng ký dưới dạng bản ghi DNSKEY. (Đó là cách nhà đăng ký có thể thiết lập chuỗi tin cậy cho các máy chủ gốc cho tên miền cấp cao nhất - trong trường hợp này là máy chủ gốc .com.) Một lần nữa, bạn tải lên điều này khi bạn đăng nhập bằng tên người dùng / mật khẩu của riêng bạn kết hợp, do đó, nó được kết nối với (các) tên miền của bạn chứ không phải với người khác.
  • Bạn vào máy chủ tên, bạn nhập hồ sơ của bạn và bạn ký vào tệp vùng kết quả bằng khóa riêng của bạn. Hoặc, nếu bạn đã có giao diện web cho dịch vụ lưu trữ DNS của mình, bạn tải lên khóa riêng cho họ để họ có thể ký vào tệp vùng cho họ.
  • Khi Wesley rất thô lỗ cố chiếm đoạt tên miền của bạn và CNAME nó wesleyisbetterthanyou.com, hồ sơ của anh ta sẽ không được các máy chủ tên miền gốc .com chấp nhận vì chúng không được ký với khóa bên phải. Nếu nhà cung cấp dịch vụ lưu trữ DNS của bạn thông minh, họ sẽ kiểm tra ngay lập tức và thậm chí sẽ không cho phép anh ta thử thêm hồ sơ vào miền đó trừ khi anh ta có đúng khóa riêng.
  • Khi bạn nhập hồ sơ của riêng bạn, chúng sẽ được ký bằng phím bên phải, vì vậy chúng sẽ hoạt động.
  • Bây giờ bạn có thể ngồi lại và cười vào Wesley.

(Trong trường hợp ban đầu, trường hợp mà Wesley mô tả, lỗi chính là Digital Ocean đã không xác minh quyền sở hữu tên miền trước khi cho phép ai đó thiết lập bản ghi DNS cho nó. Thật không may, họ không đơn độc trong việc này; của ít nhất một công ty đăng ký Thụy Điển có cùng vấn đề.)


1
Tò mò, làm thế nào bất kỳ nhà cung cấp dịch vụ lưu trữ khu vực DNS không phải DNSSEC sẽ xác minh quyền sở hữu trước khi cho phép một khu vực được tạo? Tôi cũng đã thử điều này bằng cách sử dụng Amazon Route53 và tôi có thể tạo bất kỳ khu vực nào tôi muốn.
Wesley

Họ có thể sẽ không, nó sẽ yêu cầu hoãn thử nghiệm và kiểm tra lỗi. Chỉ cần đoán, xóa lỗi vẫn có thể xảy ra với một số thủ thuật ux (màn hình khói).
Sampo Sarrala

@Wesley Tôi chưa xem xét cơ học. Nhưng ít nhất, một số loại kiểm tra trong hồ sơ whois, hoặc cùng loại kiểm tra mà người bán chứng chỉ SSL giá rẻ sẽ làm việc. Nếu họ có thể làm điều đó, tại sao không thể lưu trữ các công ty?
Jenny D nói Phục hồi Monica

1
@JennyD Tiện lợi, chủ yếu! Kiểu chiếm quyền điều khiển tên miền này đủ hiếm và có thể phát hiện đủ để dễ dàng khắc phục khi xảy ra hơn là làm cho mọi người dùng hợp pháp nhảy qua các vòng để ngăn chặn.
duskwuff

@duskwuff Khi xung đột thuận tiện và bảo mật, sự thuận tiện thường thắng ... Tôi đồng ý rằng việc chiếm đoạt tên miền có thể là hiếm - nhưng còn những lỗi đơn giản, không có ý định xấu thì sao? IMAO, thật thiếu thận trọng khi các máy chủ DNS không thực hiện bất kỳ hình thức kiểm tra nào.
Jenny D nói Phục hồi Monica

6

Bạn sẽ ổn miễn là bạn yêu cầu quyền sở hữu tên miền tại DigitalOcean (tức là liên kết nó với tài khoản của bạn) trước khi bạn báo cho nhà đăng ký sử dụng máy chủ tên của họ.

Nếu ai đó đã liên kết tên miền của bạn với tài khoản của họ, bạn sẽ tìm ra trước khi máy chủ tên DigitalOcean trở nên có thẩm quyền. Và nếu điều đó xảy ra, hãy nói chuyện với DigitalOcean về việc khiến người đó khởi động khỏi tài khoản của họ.

Theo thông lệ tốt nhất, {ns1, ns2, ns3} .DigitalOcean.com không đóng vai trò là bộ giải quyết đệ quy cho các tên miền được lưu trữ ở nơi khác. Nếu họ đã làm và nếu các máy chủ được lưu trữ bởi DigitalOcean sử dụng các máy chủ đó làm trình giải quyết mục đích chung, thì sẽ có một vấn đề lớn hơn nhiều. Đối với tất cả những điều này nổi tiếng là thông lệ xấu, có lẽ không khó để tìm thấy các nhà cung cấp dịch vụ lưu trữ đã hiểu sai, điều này mở ra khả năng lạm dụng.


Vì vậy, nếu DigitalOcean chưa có thẩm quyền cho tên miền và nhiều khách hàng tiềm năng đều tuyên bố sở hữu tên miền, làm thế nào DigitalOcean biết khách hàng tiềm năng nào đang nói sự thật? Có phải họ sẽ cấp cho người đầu tiên quyền truy cập để tạo hồ sơ và thời hạn cập nhật hồ sơ NS để chứng minh quyền kiểm soát tên miền? Hay họ sẽ cung cấp cho mỗi khách hàng tiềm năng một tập hợp con máy chủ có thẩm quyền khác nhau để đưa vào hồ sơ NS?
kasperd

2
@kasperd chủ sở hữu hợp pháp một điểm NS ghi lại bất cứ nơi nào họ muốn và sau đó định cấu hình ví dụ bản ghi TXT chứng minh họ là chủ sở hữu vì nó chứa thông tin duy nhất mà nhà cung cấp dịch vụ cung cấp cho họ. Phải thừa nhận một chút về một chiếc váy nhưng trong những dịp hiếm hoi điều này có thể xảy ra, nó dễ dàng hơn nhiều so với việc mọi người chứng minh quyền sở hữu trước khi đưa họ lên tàu.
user9517 hỗ trợ GoFundMonica

@kasperd Thường thì hồ sơ whois xác định chủ sở hữu hợp pháp, mặc dù đôi khi mọi người có lý do để che khuất thông tin đó. Trong mọi trường hợp, nếu bạn yêu cầu DO liên kết tên miền với tài khoản của bạn để bạn có thể khiến nó có thẩm quyền, DO có thể cung cấp cho kẻ mạo danh một dòng thời gian để cập nhật nhà đăng ký hoặc từ bỏ liên kết tên miền tại DO. Chủ sở hữu hợp pháp có thể phải chờ một chút, đó là tất cả.
mc0e

0

Tôi nghĩ vấn đề này có nghĩa là không ai nên sử dụng các máy chủ tên như vậy (chẳng hạn như Digital Ocean) làm trình giải quyết của họ, vì bất kỳ ai cũng có thể tạo máy chủ tên cho tên miền hiện có trên chúng. Cuộc chiến giành quyền kiểm soát tên miền là không liên quan vì quyền sở hữu tên miền có thể được chứng minh dễ dàng, nhưng thực tế là ai đó có thể lấy bất kỳ tên miền hiện có nào chưa được lưu trữ trên Digital Ocean, đến bất cứ nơi nào họ muốn.

Điểm mấu chốt: không tin tưởng các máy chủ DNS của bất kỳ dịch vụ lưu trữ nào không yêu cầu bằng chứng về quyền sở hữu tên miền (ví dụ, dễ dàng và nhanh chóng thực hiện bằng phương pháp được đề xuất ở trên: bằng cách thêm bản ghi TXT với một giá trị nhất định trên tên miền trước , đây là những gì Microsoft O365 và Google làm chẳng hạn).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.