Làm thế nào một người nào đó chỉ một tên miền phụ của tên miền của chúng tôi đến địa chỉ IP của người khác?

34

Chúng tôi sở hữu một tên miền chính:

  • businessdts.com

Tôi không biết liệu quản trị viên của chúng tôi đã tạo một tên miền phụ mà tôi đã yêu cầu, "BDASERVER.businessdts.com.", Vì vậy tôi chỉ thử kết nối với nó bằng trình duyệt và nhận được "không tìm thấy". Sau đó, tôi đã ping tên miền phụ đó và có một địa chỉ IP không thuộc về chúng tôi:

  • Ping PingASASVER.businessdts.com [198.105.244.117] với 32 byte dữ liệu
  • Tên miền của chúng tôi và tất cả các tên miền phụ phải có địa chỉ IP là [173.203.24.209]

Tôi đã quản trị viên kiểm tra tất cả các vùng DNS của chúng tôi và chúng tôi không tìm thấy trường hợp nào của tên miền phụ BDASERVER, (các quản trị viên chưa tạo ra nó), chúng tôi cũng không tìm thấy bất kỳ trường hợp nào của địa chỉ IP 198.105.244.117.

Thực hiện tra cứu IP, chúng tôi thấy rằng 198.105.244.117 thuộc về một công ty có tên Search Guide Inc. (searchguideinc.com). Họ dường như là một nhà môi giới tên miền của một số loại.

Tui bỏ lỡ điều gì vậy:

  • Làm thế nào tên miền phụ BDASERVER này phân giải thành một địa chỉ không phải là của chúng tôi?
  • Làm thế nào để ai đó chiếm đoạt một tên miền SUB?
domain-name-system  subdomain  hijack 
CBruce
nguồn
29
Bạn đang sử dụng máy chủ DNS nào khi chạy tra cứu này? Tra cứu của tôi không giải quyết được tên đó. Điều này có mùi như NXDOMAIN chiếm quyền điều khiển đối với tôi.
joeqwerty
Máy chủ tên của chúng tôi là NS.RACKSPACE.COM và NS2.RACKSPACE.COM, @joeqwerty. Khi chúng tôi thiết lập các tên miền phụ BDASERVER và ký tự đại diện, có vẻ như điều đó sẽ ghi đè lên những tên không tặc. Cách duy nhất tôi phát hiện ra vấn đề là khi tôi thực hiện ping chống lại tên miền phụ.
CBruce
5
Xin lỗi, tôi nên đã làm rõ nhận xét của tôi. Tôi đã hỏi máy chủ DNS nào mà máy tính của bạn sử dụng để phân giải DNS? Đó là những máy chủ tên đang chiếm quyền phản hồi NXDOMAIN, không phải máy chủ tên cho tên miền của bạn.
joeqwerty

Câu trả lời:

37

Như những người khác ở đây đã đề xuất - đây thực sự là một tiêu chuẩn của ISP. ATT cũng làm điều đó với tôi. Khi không tìm thấy tên miền yêu cầu và bản ghi DNS không trỏ đến đích mặc định (bạn có thể thiết lập tên miền đó trên máy chủ quản lý DNS của mình - nhiều khả năng bạn đang sử dụng công ty đăng ký tiêu chuẩn và họ sẽ quản lý dns của bạn cho bạn - chỉ cần đăng nhập vào nơi bạn đã đăng ký tên miền và nhấp vào quản lý dns). Bạn nên thêm một bản ghi chuyển hướng "ký tự đại diện". Bằng cách này, bạn sẽ luôn trỏ lưu lượng truy cập không xác định đến một trang web mặc định - hoặc trang chỉ mục của trang web chính của bạn. Cài đặt DNS mặc định

Dòng dưới cùng - nếu bạn đang quản lý tên miền và máy chủ của mình - hãy thiết lập các ký tự mặc định của bạn và bạn cũng có thể muốn thêm một số trang lỗi tùy chỉnh để trỏ máy chủ web của mình đến khi ai đó yêu cầu một trang không tồn tại - thêm logo của bạn và liên kết lại trang web chính của bạn với một tập lệnh tìm kiếm trang web nhỏ hoặc một cái gì đó trên đó ... thật khó chịu khi yêu cầu tài nguyên hoặc trang html từ một trang web - thậm chí nhấp vào một trong các liên kết của họ trên một trang khác trên trang web của họ - và "Lỗi 400" xấu xí đó "Trang xuất hiện. Rất nhiều doanh nghiệp có thể làm để duy trì trải nghiệm người dùng bằng cách đảm bảo xử lý lỗi và giữ khách hàng của họ. Tôi cũng khuyên bạn nên bao gồm một "LIÊN KẾT BÁO CÁO GIỚI THIỆU"

Bây giờ tôi không có chủ đề - nhưng rõ ràng - OP cần biết thêm một chút về nguyên nhân khiến ISP có thể chặn lỗi ... trình xử lý DNS không cung cấp phản hồi hữu ích cho tên miền phụ không xác định được yêu cầu vì đó là không có ở đó - vì vậy ISP phục vụ một trang tạo doanh thu thay thế. Dễ dàng sửa chữa mặc dù!

GoZippy
nguồn
27
"Đây thực sự là một tiêu chuẩn của ISP" Tôi nghi ngờ điều này phụ thuộc nhiều vào ngôn ngữ. Không có ISP nào tôi đã sử dụng đã làm điều đó (và nếu nhà cung cấp hiện tại của tôi bắt đầu thực hiện, họ sẽ được nghe từ tôi ...).
một CVn
5
Để gọi đây là "định mức", đây có thể là BCP hoặc ít nhất là CÓ THỂ trong các RFC tương ứng. Tôi cực kỳ nghi ngờ điều đó.
Hagen von Eitzen
7
Đáng buồn là @HagenvonEitzen, các công ty có lợi nhuận như ISP (ít nhất là ở Mỹ) quan tâm rất ít đến BCP và RFC và các tiêu chuẩn khác. Do đó, chuẩn mực thế giới thực có thể sẽ đi rất xa so với các tiêu chuẩn được công bố.
Doktor J
4
@DoktorJ Theo một cách nào đó, người ta có thể nói rằng nếu họ cố tình phá vỡ RFC, vốn là tiêu chuẩn thực tế lỏng lẻo của Internet, thì nhà cung cấp dịch vụ của bạn cung cấp cho bạn không phải là Internet ... 2c của tôi
Hagen von Eitzen
6
ISP nghĩ rằng việc trả lại các phản hồi gian lận đối với các yêu cầu DNS có thể giúp ích, nhưng người mà họ nghĩ rằng nó có thể giúp đỡ không phải là khách hàng.
Jon Hanna
64

Không có bản ghi cho tên miền phụ đó:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Có khả năng DNS của ISP của bạn đang thực hiện những gì được gọi là chiếm quyền NXDOMAIN, trong đó chúng chiếm quyền điều khiển trả lời DNS NXDOMAIN và thay vì trả lời bằng một NXDOMAIN thích hợp (như trên), chúng cung cấp cho bạn địa chỉ IP của trang "tìm kiếm", thường là doanh thu quảng cáo cho họ.

Tôi sẽ nói chuyện với ISP của bạn và yêu cầu họ ngừng can thiệp vào lưu lượng truy cập của bạn. Nếu họ từ chối, hãy lấy một ISP tốt hơn hoặc sử dụng một bộ giải khác cho lưu lượng của bạn.

EEAA
nguồn
13
Khẳng định. Địa chỉ IP đó được đăng ký với Search Guide Inc, một điểm đến được biết đến của vụ cướp NXDOMAIN.
Michael Hampton
Và đó là một phần lý do tại sao các nhà đăng ký kiếm được rất nhiều từ đăng ký "phòng thủ" :(
Gypsy Spellweaver
Vì vậy, nếu chúng ta tiếp tục và tạo miền phụ BDASERVER trong vùng DNS của chúng ta - liệu nó có thay thế bất cứ điều gì mà các jerk đang làm và hoạt động chính xác cho chúng ta không?
CBruce
2
@CBruce Yep, nó nên. Và sau đó đi và thay đổi trình phân giải DNS của bạn. :)
EEAA
@CBruce Vâng, tùy thuộc vào TTL mà họ giả mạo trong phản ứng bị thao túng của họ, có thể mất một lúc
Hagen von Eitzen
2

Ai đó trỏ đến một tên miền phụ hoặc bất kỳ mục DNS nào cho vấn đề đó, không tồn tại bằng cách thực hiện chiếm quyền điều khiển NXDOMAIN, điều đó có nghĩa là chủ sở hữu DNS tham lam sẽ viết lại các mục để trỏ đến các trang dựa trên quảng cáo.

Có một câu trả lời rất đơn giản cho vấn đề này: kích hoạt DNSSEC trên miền của bạn, điều này sẽ ngăn bất kỳ ai đưa ra câu trả lời từ một DNS khác (như ISP của bạn).

Max Dor
nguồn
1
Điều này giả định rằng máy khách xác nhận DNSSEC máy chủ DNS xấu của ISP sẽ không tước các bản ghi DNSSEC. Tiêu đề Strict-Transport-Security có kèm theoSubDomains có thể gây thiệt hại nhiều hơn cho kẻ tấn công tên miền phụ so với việc thêm DNSSEC.
Ángel
1
Hoàn toàn đồng ý - trong thời đại ngày nay, DNS chỉ là không an toàn (tại sao chúng ta lại sử dụng nó ...), không có tranh luận về việc sửa đổi bất kỳ truy vấn DNS nào. Nhưng tước bỏ các bản ghi DNSSEC là một cấp độ hoàn toàn khác so với việc đơn giản là chiếm quyền trả lời NXDOMAIN mà các ISP có thể không chỉ bước tới.
Max Dor
Vâng, điều này rất đúng. Hãy chú ý lời khuyên này OP.
GoZippy
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.