Kann jemand, der denselben DNS-Server wie ich verwendet, meine Domains hijacken?

48

Wenn ich eine neue Domain registriere, sende ich sie an meinen Hosting-Provider, indem ich ihr in den Einstellungen der Registrierung die Domain-Nameserver zuordnete. Bei Digital Ocean habe ich beispielsweise Folgendes eingegeben:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Ich füge dann die Domain-Einstellungen im A-Eintrag meines Servers hinzu. Mir ist gerade eingefallen, dass jeder, der sich im selben Hosting-Anbieter befindet, einen A-Eintrag mit einer Domain, die ich besitze, hinzufügen kann.

Verhindert irgendetwas das? Wenn zwei verschiedene Server, die denselben Domain Name Server verwenden, versuchen, sich über die A-Datensätze eine Domain zuzuweisen, wo würde sich die Domain tatsächlich auflösen, wenn Sie sie in den Browser eingeben? Was verhindert Kollisionen von Domainnamen auf demselben DNS-Server?

domain-name-system domain-name dns-hosting dns-zone a-record Eran Galperin
quelle
7
Zum einen verhindert Digital Ocean dies. Nur versuchen , einen A - Eintrag für eine Domäne eingeben Sie nicht besitzen.
Michael Hampton
4
Die Frage ist, woher sie wissen, wem die Domain gehört. ist es zuerst gekommen, zuerst zu dienen? Wer also zuerst den A-Datensatz hinzufügt, kann die Domain nutzen?
Eran Galperin
16
@EranGalperin Hallo! Ich bin ein DigitalOcean-Mitarbeiter. Die erste Person, die ihrem Konto eine Domain hinzufügt, kann Datensätze für diese Domain festlegen. Wir verfügen jedoch über ein Verfahren, um bei Konflikten die Inhaberschaft festzulegen.
Jacob,
1
Fragen wie diese sind, warum die größeren DNS-Anbieter (wie Network Solutions) auch DNS-Registrare sind. Sie können beide Schritte gleichzeitig ausführen und sicherstellen, dass die Dinge synchron sind.
Barmar
Wie @Barmar bereits sagte, bieten die meisten Registrare auch DNS-Hosting an, wodurch das von Ihnen beschriebene Problem vermieden wird, auch wenn das Szenario unwahrscheinlich und trivial zu lösen scheint.
Fred Thomsen

Antworten:

60

Der Kommentarbereich unten macht Ihnen nichts aus, und die vorherigen Antworten im Bearbeitungsverlauf machen Ihnen nichts aus. Nach ungefähr einer Stunde Gespräch mit Freunden (danke @joeQwerty, @Iain und @JourneymanGeek) und einigem gemütlichen Herumhacken sind wir sowohl Ihrer Frage als auch der Situation im Großen und Ganzen auf den Grund gegangen. Entschuldigen Sie bitte, dass Sie die Situation auf den ersten Blick völlig falsch verstanden haben.

Lassen Sie uns durch den Prozess gehen:

  1. Sie kaufen beispielsweise wesleyisaderp.combei NameCheap.com.
  2. Namecheap als Registrar ist der Ort, an dem Sie Ihre NS-Einträge eintragen. Angenommen, Sie möchten die DNS-Zone tatsächlich auf Digital Ocean hosten.
  3. Sie verweisen die NS-Einträge Ihrer glänzenden neuen Domain auf ns1.digitalocean.comund ns2.digitalocean.com.
  4. Angenommen, ich konnte feststellen, dass Sie diese Domain registriert und Ihre NS-Einträge in Digital Ocean geändert haben . Dann habe ich dich auf ein Konto bei Digital Ocean geschlagen und die Zone wesleyisaderp.com zu meiner eigenen hinzugefügt.
  5. Sie versuchen, die Zone in * Ihrem * Konto hinzuzufügen, aber Digital Ocean meldet, dass die Zone bereits in ihrem System vorhanden ist! Oh nein!
  6. Ich benenne wesleyisaderp.comzu wesleyisbetterthanyou.com.
  7. Es kommt zur Heiterkeit.

Einige Freunde und ich haben gerade genau dieses Szenario durchgespielt, und ja, es funktioniert. Wenn @JoeQwerty eine Domain kauft und sie auf die Nameserver von Digital Ocean verweist, aber diese Zone meinem Konto bereits hinzugefügt wurde, bin ich der Zonenmaster und kann damit tun, was ich will.

Bedenken Sie jedoch, dass jemand zuerst die Zone zu seinem DNS-Konto hinzufügen und dann Ihre NS-Einträge auf die Nameserver desselben Hosts verweisen muss, damit etwas Unheilvolles passiert. Darüber hinaus können Sie als Domaininhaber jederzeit zwischen NS-Einträgen wechseln und die Auflösung vom Host der fehlerhaften Zone entfernen.

Die Wahrscheinlichkeit, dass dies geschieht, ist gelinde gesagt etwas gering. Es heißt, dass Sie statistisch gesehen ein Kartenspiel mit 52 Karten mischen und eine Bestellung erhalten können, die noch kein anderer Mensch erhalten hat und die kein anderer Mensch jemals erhalten wird. Ich denke, hier gibt es die gleiche Argumentation. Die Wahrscheinlichkeit, dass jemand dies ausnutzt, ist so gering, und es gibt bessere Abkürzungen, dass es wahrscheinlich nicht zufällig in freier Wildbahn passiert.

Wenn Sie eine Domain bei einem Registrar besitzen und jemand zufällig eine Zone bei einem Anbieter wie Digital Ocean eingerichtet hat, mit dem Sie kollidieren, werden Sie die Person fragen, die die Domain erstellt hat, wenn Sie einen Eigentumsnachweis vorlegen Zone in ihrem Konto, um es zu entfernen, da es keinen Grund dafür gibt, dass es existiert, da sie nicht der Domainnamen-Eigentümer sind.

Aber was ist mit A Records?

Die erste Person, die eine Zone hat, zum Beispiel Digital Ocean, wird diejenige sein, die sie kontrolliert. Sie können nicht mehrere identische Zonen auf derselben DNS-Infrastruktur haben. Wenn ich zum Beispiel die albernen Namen oben verwende und wesleyisaderp.com als Zone auf Digital Ocean habe, kann niemand sonst in der DNS-Infrastruktur von Digital Ocean sie zu ihrem Konto hinzufügen.

Hier ist der lustige Teil: Ich habe meinem Digital Ocean-Konto tatsächlich wesleyisaderp.com hinzugefügt! Fahren Sie fort und versuchen Sie, es zu Ihrem hinzuzufügen. Es wird nichts schaden.

Daher können Sie wesleyisaderp.com keinen A-Datensatz hinzufügen. Es ist alles meins.

Aber was ist mit...

Wie @Iain unten hervorhob, ist mein Punkt 4 oben tatsächlich zu ausführlich. Ich muss überhaupt nicht warten oder planen. Ich kann einfach Tausende von Zonen in einem Konto einrichten und mich dann zurücklehnen und warten. Technisch. Wenn ich Tausende von Domains erstelle und dann darauf warte, dass sie registriert werden, und dann hoffe, dass sie die DNS-Hosts verwenden, auf denen ich meine Zonen eingerichtet habe ... kann ich vielleicht etwas Schlimmes tun? Vielleicht? Aber wahrscheinlich nicht?

Entschuldigung an Digital Ocean & NameCheap

Beachten Sie, dass Digital Ocean und NameCheap nicht eindeutig sind und mit diesem Szenario nichts zu tun haben. Das ist normal. Sie sind an allen Fronten tadellos. Ich habe sie nur benutzt, da dies das angegebene Beispiel war, und sie sind sehr bekannte Marken.

Wesley
quelle
2
Ich nehme an, wenn Sie sich wirklich mit jemandem anlegen möchten, können Sie z. B. eine Aund eine MXRR mit sehr langen TTLs einrichten, die auf einen von Ihnen kontrollierten Host verweisen und gängige öffentliche DNS-Server (wie z. B. Google?) Hämmern. Eine Variante der Cache-Vergiftung ...
ein CVn
4
Es ist auch trivial, die Domain-Inhaberschaft zu zeigen, indem geändert werden kann, auf welche ns-Server verwiesen wird. Selbst wenn dies jemand tat, kann dies relativ schnell behoben werden, wenn sein Kundenservice gut ist.
James Ryan
3
In solchen Fällen werden @JamesRyan-TXT-Datensätze verwendet, um die Inhaberschaft nachzuweisen.
user9517 unterstützt GoFundMonica
4
@Wesley Das ist richtig. Wir haben ein Verfahren zur Behandlung von Zonenkonflikten mit unserem DNS-Dienst eingerichtet.
Jacob
7
Eine seltsame Situation, in der dies wahrscheinlicher ist, ist die Tatsache, dass die Domain zuvor bei Digital Ocean registriert und verwendet wurde und dann verfallen ist / nicht erneuert wurde, die Zone jedoch nicht aus Digitalocean gelöscht wurde. Jemand ruft es später als 'neue' Domain auf (ohne zu wissen, dass es zuvor im Besitz war) und versucht dann, die Zone bei Digital Ocean zu erstellen. Dies könnte nur verhindert werden, wenn der DNS-Host regelmäßig Zonen löscht, für die er nicht mehr der Nameserver ist. (ohne die oben genannten Konfliktlösungsmethoden)
Ashley
32

Zusätzlich zu Wesleys hervorragender Antwort möchte ich hinzufügen, dass es bereits eine Lösung gibt, um dies zu verhindern. Es heißt DNSSEC.

Die Grundlagen sind:

  • Sie registrieren Ihre Domain (Ich werde hier mit dem hervorragenden Namen gehen wesleyisaderp.com, nur weil.)
  • Sie registrieren Ihre Nameserver bei Ihrem Registrar, normalerweise über eine Webschnittstelle, bei der Sie sich mit einer Kombination aus Benutzername und Kennwort authentifizieren.
  • Sie erstellen auch ein öffentliches / privates Schlüsselpaar und laden Ihren öffentlichen Schlüssel in Form eines DNSKEY-Datensatzes zu Ihrer Registrierungsstelle hoch. (Auf diese Weise kann der Registrar die Vertrauenskette zu den Root-Servern für die Top-Level-Domain einrichten - in diesem Fall zu den Root-Servern für .com.) Auch dies laden Sie hoch, wenn Sie mit Ihrem eigenen Benutzernamen / Passwort angemeldet sind Combo, damit es mit Ihrer Domain (s) und nicht mit der einer anderen verbunden ist.
  • Sie gehen zum Nameserver, geben Ihre Datensätze ein und signieren die resultierende Zonendatei mit Ihrem privaten Schlüssel. Wenn Sie eine Weboberfläche für Ihren DNS-Hostingdienst haben, laden Sie den privaten Schlüssel auf diese hoch, damit diese die Zonendatei bei ihnen signieren können.
  • Wenn Wesley so grob versucht, Ihre Domain zu hijacken und sie mit CNAME zu versehen wesleyisbetterthanyou.com, werden seine Datensätze von den .com-Root-Domain-Servern nicht akzeptiert, da sie nicht mit dem richtigen Schlüssel signiert sind. Wenn Ihr DNS-Hosting-Provider clever ist, wird er dies sofort überprüfen und ihm nicht einmal erlauben, Datensätze zu dieser Domain hinzuzufügen, es sei denn, er hat den richtigen privaten Schlüssel.
  • Wenn Sie Ihre eigenen Datensätze eingeben, werden diese mit dem richtigen Schlüssel signiert, damit sie funktionieren.
  • Sie können sich jetzt zurücklehnen und Wesley auslachen.

(Im ursprünglichen Fall, den Wesley beschreibt, ist der Hauptfehler, dass Digital Ocean den Besitz einer Domain nicht verifiziert hat, bevor jemand DNS-Einträge dafür einrichten konnte. Leider sind sie damit nicht alleine. Ich weiß von mindestens einem schwedischen Registrar mit den gleichen Problemen.)

Jenny D sagt Reinstate Monica
quelle
1
Neugierig, wie würde ein Nicht-DNSSEC-DNS-Zonen-Hosting-Anbieter den Besitz bestätigen, bevor eine Zone erstellt werden kann? Ich habe es auch mit Amazon Route53 versucht und kann jede gewünschte Zone erstellen.
Wesley
Sie werden es wahrscheinlich nicht tun, es würde eine verzögerte Prüfung durch Versuch und Irrtum erfordern. Nur erraten, mit einigen (Smoke-Screen-) UX-Tricks ist das Löschen bei Fehlern immer noch möglich.
Sampo Sarrala
@Wesley Ich habe die Mechanik nicht berücksichtigt. Aber zumindest würde eine Art Überprüfung des Whois-Datensatzes oder die gleiche Art von Überprüfung funktionieren, die die billigen SSL-Zertifikatsverkäufer durchgeführt haben. Wenn sie das können, warum können sie dann keine Unternehmen hosten?
Jenny D sagt Reinstate Monica
1
@ JennyD Convenience, meistens! Diese Art von Domain-Hijacking ist so selten und erkennbar, dass es einfacher ist, es zu beheben, wenn es passiert, als dass jeder legitime Benutzer durch die Rahmen springt, um dies zu verhindern.
duskwuff
@duskwuff Wenn Convenience- und Sicherheitskonflikte auftreten, gewinnt Convenience normalerweise ... Ich stimme zu, dass Domain-Hijacking wahrscheinlich selten vorkommt - aber wie steht es mit einfachen Fehlern, ohne böse Absichten? IMAO, es ist leichtsinnig, dass DNS-Hoster keine Prüfungen durchführen.
Jenny D sagt Reinstate Monica
6

Sie werden in Ordnung sein, solange Sie das Eigentum an der Domain bei DigitalOcean beanspruchen (dh sie Ihrem Konto zuordnen), bevor Sie den Registrar anweisen, deren Nameserver zu verwenden.

Wenn jemand Ihre Domain bereits mit seinem Konto verknüpft hat, werden Sie es herausfinden, bevor die DigitalOcean-Nameserver autorisierend werden. Wenden Sie sich in diesem Fall an DigitalOcean, um zu erfahren, wie diese Person von ihrem Konto gebootet wird.

Entsprechend der bewährten Methode fungieren {ns1, ns2, ns3} .DigitalOcean.com nicht als rekursive Auflöser für Domains, die an anderer Stelle gehostet werden. Wenn dies der Fall wäre und von DigitalOcean gehostete Server diese Server als Allzweck-Resolver verwenden würden, bestünde ein weitaus größeres Problem. Bei allem, was bekanntermaßen eine schlechte Praxis ist, ist es wahrscheinlich nicht so schwer, Hosting-Anbieter zu finden, die etwas falsch machen, was Möglichkeiten für Missbrauch eröffnet.

mc0e
quelle
Wenn also DigitalOcean noch nicht für die Domain maßgeblich ist und mehrere potenzielle Kunden behaupten, die Domain zu besitzen, wie würde DigitalOcean dann wissen, welcher der potenziellen Kunden die Wahrheit sagt? Werden sie dem Ersten Zugriff auf das Erstellen von Datensätzen und eine Frist zum Aktualisieren von NS-Datensätzen gewähren, um die Kontrolle über die Domäne zu beweisen? Oder geben sie jedem potenziellen Kunden eine andere Untergruppe von autorisierenden Servern, die in die NS-Datensätze aufgenommen werden sollen?
Kasperd
2
@kasperd die rechtmäßigen Eigentümer einen Punkt die NS-Aufzeichnungen, wo immer sie wollen, und konfigurieren Sie dann zum Beispiel eine TXT-Aufzeichnung, die beweist, dass sie die Eigentümer sind, weil sie eindeutige Informationen enthält, die der Dienstanbieter ihnen gibt. Zugegeben, ein bisschen palaver, aber für die seltenen Fälle, in denen dies passieren könnte, ist es etwas einfacher, als dass jeder das Eigentum nachweist, bevor er sie an Bord bringt.
user9517 unterstützt GoFundMonica
@kasperd Oft identifiziert der Whois-Datensatz den rechtmäßigen Eigentümer, obwohl Menschen manchmal Grund haben, diese Informationen zu verschleiern. In jedem Fall, wenn Sie DO anweisen, die Domain mit Ihrem Konto zu verknüpfen, damit Sie sie autorisieren können, geben Sie dem Betrüger vermutlich einen Zeitplan, um entweder den Registrar zu aktualisieren oder die Domain-Verknüpfung bei DO aufzugeben. Der rechtmäßige Besitzer muss möglicherweise ein wenig warten, das ist alles.
mc0e
0

Ich denke, dass dieses Problem bedeutet, dass niemand solche Nameserver (wie Digital Ocean) als Resolver verwenden sollte, da jeder einen Nameserver für eine vorhandene Domain auf ihnen erstellen kann. Der Kampf um die Kontrolle über die Domain ist irrelevant, da der Domainbesitz leicht nachgewiesen werden kann, aber die Tatsache, dass jemand zum Beispiel eine vorhandene Domain, die NICHT bereits auf Digital Ocean gehostet ist, an einen beliebigen Ort leiten kann.

Fazit: Vertrauen Sie nicht den DNS-Servern eines Hosting-Dienstes, für den kein Nachweis der Domain-Inhaberschaft erforderlich ist (einfach und schnell, z. B. mit der oben vorgeschlagenen Methode: indem Sie zuerst einen TXT-Eintrag mit einem bestimmten Wert in der Domain hinzufügen , das machen zum Beispiel Microsoft O365 und Google).

Viel schlimmer als sie sagen
quelle