Ai đó có thể sử dụng cùng một máy chủ DNS như tôi chiếm quyền điều khiển tên miền của tôi không?

Khi tôi đăng ký một tên miền mới, tôi gửi nó cho nhà cung cấp dịch vụ lưu trữ của mình bằng cách chỉ định cho nó các máy chủ tên miền của nó trong cài đặt của đăng ký. Ví dụ: với Digital Ocean, tôi nhập vào như sau:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Sau đó tôi thêm các cài đặt tên miền trong bản ghi A của máy chủ của mình. Tôi nhận thấy rằng bất kỳ ai khác trên cùng một nhà cung cấp dịch vụ lưu trữ đều có thể thêm bản ghi A với tên miền tôi sở hữu.

Có bất cứ điều gì ngăn chặn điều này xảy ra? Nếu 2 máy chủ khác nhau sử dụng cùng một máy chủ tên miền cố gắng tự gán tên miền cho mình thông qua các bản ghi A, thì tên miền thực sự sẽ giải quyết khi bạn nhập nó vào trình duyệt? Điều gì ngăn chặn xung đột tên miền trên cùng một máy chủ DNS?

Không bao giờ bạn để ý phần bình luận bên dưới, và không bao giờ bạn nhớ những câu trả lời trước đó trong lịch sử chỉnh sửa. Sau khoảng một giờ trò chuyện với bạn bè (cảm ơn bạn @joeQwerty, @Iain và @JTHERmanGeek), và một số hack vui nhộn xung quanh chúng tôi đã đi đến tận cùng câu hỏi của bạn và toàn bộ tình huống. Xin lỗi vì sự thô bạo và hiểu lầm hoàn toàn tình huống lúc đầu.

Hãy bước qua quy trình:

1. Bạn mua wesleyisaderp.comtại, giả sử, NameCheap.com.
2. Namecheap là công ty đăng ký của bạn sẽ là nơi bạn điền vào hồ sơ NS của bạn. Giả sử bạn thực sự muốn lưu trữ vùng DNS trên Digital Ocean.
3. Bạn trỏ các bản ghi NS của miền mới sáng bóng của bạn đến ns1.digitalocean.comvà ns2.digitalocean.com.
4. Tuy nhiên, giả sử tôi có thể xác định rằng bạn đã đăng ký tên miền đó và hơn nữa bạn đã thay đổi hồ sơ NS của mình thành Digital Ocean . Sau đó, tôi đánh bại bạn vào một tài khoản Digital Ocean và thêm khu vực wesleyisaderp.com vào tài khoản của tôi.
5. Bạn cố gắng thêm vùng trong tài khoản * của bạn nhưng Digital Ocean nói rằng vùng đó đã tồn tại trong hệ thống của họ! Ôi không!
6. Tôi CNAME wesleyisaderp.comđến wesleyisbetterthanyou.com.
7. Nảy sinh vui nhộn.

Một số bạn bè và tôi chỉ chơi kịch bản chính xác này, và nó hoạt động. Nếu @JoeQwerty mua một tên miền và trỏ nó đến máy chủ tên Digital Ocean, nhưng tôi đã thêm vùng đó vào tài khoản của mình, thì tôi là chủ khu vực và có thể làm điều đó với những gì tôi muốn.

Tuy nhiên, hãy cân nhắc rằng trước tiên ai đó sẽ phải thêm vùng vào tài khoản DNS của họ và sau đó bạn phải trỏ bản ghi NS của mình đến máy chủ tên của cùng máy chủ đó để bất kỳ điều gì bất chính xảy ra. Hơn nữa, với tư cách là chủ sở hữu tên miền, bạn có thể chuyển đổi bản ghi NS bất cứ lúc nào bạn muốn và di chuyển độ phân giải ra khỏi máy chủ vùng xấu.

Ít nhất có thể nói điều này xảy ra là hơi thấp. Người ta nói rằng, theo thống kê, bạn có thể xáo trộn một bộ bài gồm 52 lá bài và nhận được một mệnh lệnh mà không một người nào khác nhận được, và sẽ không có người nào khác làm được. Tôi nghĩ lý do tương tự tồn tại ở đây. Khả năng ai đó khai thác điều này là rất thấp, và có những lối tắt tốt hơn trong sự tồn tại, rằng nó có thể sẽ không xảy ra trong tự nhiên một cách tình cờ.

Hơn nữa, nếu bạn sở hữu một tên miền tại một công ty đăng ký và ai đó tình cờ đã tạo một khu vực trên một nhà cung cấp như Digital Ocean mà bạn va chạm, tôi chắc chắn nếu bạn cung cấp bằng chứng về quyền sở hữu, họ sẽ hỏi người đã tạo ra trong tài khoản của họ để xóa nó vì không có lý do gì để nó tồn tại vì họ không phải là chủ sở hữu tên miền.

Nhưng những gì về hồ sơ A

Người đầu tiên có khu vực trên, ví dụ Digital Ocean, sẽ là người kiểm soát khu vực đó. Bạn không thể có nhiều vùng giống hệt nhau trên cùng một cơ sở hạ tầng DNS. Vì vậy, ví dụ, bằng cách sử dụng các tên ngớ ngẩn ở trên, nếu tôi có wesleyisaderp.com là một khu vực trên Digital Ocean, không ai khác trên cơ sở hạ tầng DNS của Digital Ocean có thể thêm nó vào tài khoản của họ.

Đây là phần thú vị: Tôi thực sự đã thêm wesleyisaderp.com vào tài khoản Digital Ocean của mình! Đi trước và cố gắng thêm nó vào của bạn. Nó sẽ không làm tổn thương gì cả.

Do đó, bạn không thể thêm bản ghi A vào wesleyisaderp.com. Đó là tất cả của tôi.

Nhưng còn ...

Như @Iain đã chỉ ra bên dưới, điểm số 4 của tôi ở trên thực sự quá dài dòng. Tôi không phải chờ đợi hay âm mưu hay kế hoạch nào cả. Tôi chỉ có thể tạo hàng ngàn vùng trong một tài khoản và sau đó ngồi lại và chờ đợi. Về mặt kỹ thuật. Nếu tôi tạo hàng ngàn tên miền, sau đó đợi chúng được đăng ký, và sau đó hy vọng chúng sử dụng máy chủ DNS mà tôi đã đặt vùng của mình trên ... có lẽ tôi có thể làm điều gì đó tồi tệ không? Có lẽ? Nhưng có lẽ là không?

Lời xin lỗi đến Digital Ocean & NameCheap

Lưu ý rằng Digital Ocean và NameCheap không phải là duy nhất và không liên quan gì đến kịch bản này. Đây là hành vi bình thường. Họ đáng trách trên mọi mặt trận. Tôi chỉ sử dụng chúng vì đó là ví dụ được đưa ra, và chúng là những thương hiệu rất nổi tiếng.

Ngoài câu trả lời tuyệt vời của Wesley, tôi muốn nói thêm rằng đã có một giải pháp để ngăn chặn điều này. Nó được gọi là DNSSEC.

Những điều cơ bản là:

• Bạn đăng ký tên miền của mình (tôi sẽ đi với tên nổi tiếng wesleyisaderp.comở đây, chỉ vì.)
• Bạn đăng ký máy chủ tên của mình với công ty đăng ký, thường thông qua giao diện web mà bạn xác thực bằng kết hợp tên người dùng / mật khẩu.
• Bạn cũng tạo một cặp khóa công khai / riêng tư và bạn tải khóa công khai của mình lên công ty đăng ký dưới dạng bản ghi DNSKEY. (Đó là cách nhà đăng ký có thể thiết lập chuỗi tin cậy cho các máy chủ gốc cho tên miền cấp cao nhất - trong trường hợp này là máy chủ gốc .com.) Một lần nữa, bạn tải lên điều này khi bạn đăng nhập bằng tên người dùng / mật khẩu của riêng bạn kết hợp, do đó, nó được kết nối với (các) tên miền của bạn chứ không phải với người khác.
• Bạn vào máy chủ tên, bạn nhập hồ sơ của bạn và bạn ký vào tệp vùng kết quả bằng khóa riêng của bạn. Hoặc, nếu bạn đã có giao diện web cho dịch vụ lưu trữ DNS của mình, bạn tải lên khóa riêng cho họ để họ có thể ký vào tệp vùng cho họ.
• Khi Wesley rất thô lỗ cố chiếm đoạt tên miền của bạn và CNAME nó wesleyisbetterthanyou.com, hồ sơ của anh ta sẽ không được các máy chủ tên miền gốc .com chấp nhận vì chúng không được ký với khóa bên phải. Nếu nhà cung cấp dịch vụ lưu trữ DNS của bạn thông minh, họ sẽ kiểm tra ngay lập tức và thậm chí sẽ không cho phép anh ta thử thêm hồ sơ vào miền đó trừ khi anh ta có đúng khóa riêng.
• Khi bạn nhập hồ sơ của riêng bạn, chúng sẽ được ký bằng phím bên phải, vì vậy chúng sẽ hoạt động.
• Bây giờ bạn có thể ngồi lại và cười vào Wesley.

(Trong trường hợp ban đầu, trường hợp mà Wesley mô tả, lỗi chính là Digital Ocean đã không xác minh quyền sở hữu tên miền trước khi cho phép ai đó thiết lập bản ghi DNS cho nó. Thật không may, họ không đơn độc trong việc này; của ít nhất một công ty đăng ký Thụy Điển có cùng vấn đề.)

Bạn sẽ ổn miễn là bạn yêu cầu quyền sở hữu tên miền tại DigitalOcean (tức là liên kết nó với tài khoản của bạn) trước khi bạn báo cho nhà đăng ký sử dụng máy chủ tên của họ.

Nếu ai đó đã liên kết tên miền của bạn với tài khoản của họ, bạn sẽ tìm ra trước khi máy chủ tên DigitalOcean trở nên có thẩm quyền. Và nếu điều đó xảy ra, hãy nói chuyện với DigitalOcean về việc khiến người đó khởi động khỏi tài khoản của họ.

Theo thông lệ tốt nhất, {ns1, ns2, ns3} .DigitalOcean.com không đóng vai trò là bộ giải quyết đệ quy cho các tên miền được lưu trữ ở nơi khác. Nếu họ đã làm và nếu các máy chủ được lưu trữ bởi DigitalOcean sử dụng các máy chủ đó làm trình giải quyết mục đích chung, thì sẽ có một vấn đề lớn hơn nhiều. Đối với tất cả những điều này nổi tiếng là thông lệ xấu, có lẽ không khó để tìm thấy các nhà cung cấp dịch vụ lưu trữ đã hiểu sai, điều này mở ra khả năng lạm dụng.

Tôi nghĩ vấn đề này có nghĩa là không ai nên sử dụng các máy chủ tên như vậy (chẳng hạn như Digital Ocean) làm trình giải quyết của họ, vì bất kỳ ai cũng có thể tạo máy chủ tên cho tên miền hiện có trên chúng. Cuộc chiến giành quyền kiểm soát tên miền là không liên quan vì quyền sở hữu tên miền có thể được chứng minh dễ dàng, nhưng thực tế là ai đó có thể lấy bất kỳ tên miền hiện có nào chưa được lưu trữ trên Digital Ocean, đến bất cứ nơi nào họ muốn.

Điểm mấu chốt: không tin tưởng các máy chủ DNS của bất kỳ dịch vụ lưu trữ nào không yêu cầu bằng chứng về quyền sở hữu tên miền (ví dụ, dễ dàng và nhanh chóng thực hiện bằng phương pháp được đề xuất ở trên: bằng cách thêm bản ghi TXT với một giá trị nhất định trên tên miền trước , đây là những gì Microsoft O365 và Google làm chẳng hạn).