Wenn ich eine neue Domain registriere, sende ich sie an meinen Hosting-Provider, indem ich ihr in den Einstellungen der Registrierung die Domain-Nameserver zuordnete. Bei Digital Ocean habe ich beispielsweise Folgendes eingegeben:
ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com
Ich füge dann die Domain-Einstellungen im A-Eintrag meines Servers hinzu. Mir ist gerade eingefallen, dass jeder, der sich im selben Hosting-Anbieter befindet, einen A-Eintrag mit einer Domain, die ich besitze, hinzufügen kann.
Verhindert irgendetwas das? Wenn zwei verschiedene Server, die denselben Domain Name Server verwenden, versuchen, sich über die A-Datensätze eine Domain zuzuweisen, wo würde sich die Domain tatsächlich auflösen, wenn Sie sie in den Browser eingeben? Was verhindert Kollisionen von Domainnamen auf demselben DNS-Server?
quelle
Antworten:
Der Kommentarbereich unten macht Ihnen nichts aus, und die vorherigen Antworten im Bearbeitungsverlauf machen Ihnen nichts aus. Nach ungefähr einer Stunde Gespräch mit Freunden (danke @joeQwerty, @Iain und @JourneymanGeek) und einigem gemütlichen Herumhacken sind wir sowohl Ihrer Frage als auch der Situation im Großen und Ganzen auf den Grund gegangen. Entschuldigen Sie bitte, dass Sie die Situation auf den ersten Blick völlig falsch verstanden haben.
Lassen Sie uns durch den Prozess gehen:
wesleyisaderp.com
bei NameCheap.com.ns1.digitalocean.com
undns2.digitalocean.com
.wesleyisaderp.com
zuwesleyisbetterthanyou.com
.Einige Freunde und ich haben gerade genau dieses Szenario durchgespielt, und ja, es funktioniert. Wenn @JoeQwerty eine Domain kauft und sie auf die Nameserver von Digital Ocean verweist, aber diese Zone meinem Konto bereits hinzugefügt wurde, bin ich der Zonenmaster und kann damit tun, was ich will.
Bedenken Sie jedoch, dass jemand zuerst die Zone zu seinem DNS-Konto hinzufügen und dann Ihre NS-Einträge auf die Nameserver desselben Hosts verweisen muss, damit etwas Unheilvolles passiert. Darüber hinaus können Sie als Domaininhaber jederzeit zwischen NS-Einträgen wechseln und die Auflösung vom Host der fehlerhaften Zone entfernen.
Die Wahrscheinlichkeit, dass dies geschieht, ist gelinde gesagt etwas gering. Es heißt, dass Sie statistisch gesehen ein Kartenspiel mit 52 Karten mischen und eine Bestellung erhalten können, die noch kein anderer Mensch erhalten hat und die kein anderer Mensch jemals erhalten wird. Ich denke, hier gibt es die gleiche Argumentation. Die Wahrscheinlichkeit, dass jemand dies ausnutzt, ist so gering, und es gibt bessere Abkürzungen, dass es wahrscheinlich nicht zufällig in freier Wildbahn passiert.
Wenn Sie eine Domain bei einem Registrar besitzen und jemand zufällig eine Zone bei einem Anbieter wie Digital Ocean eingerichtet hat, mit dem Sie kollidieren, werden Sie die Person fragen, die die Domain erstellt hat, wenn Sie einen Eigentumsnachweis vorlegen Zone in ihrem Konto, um es zu entfernen, da es keinen Grund dafür gibt, dass es existiert, da sie nicht der Domainnamen-Eigentümer sind.
Aber was ist mit A Records?
Die erste Person, die eine Zone hat, zum Beispiel Digital Ocean, wird diejenige sein, die sie kontrolliert. Sie können nicht mehrere identische Zonen auf derselben DNS-Infrastruktur haben. Wenn ich zum Beispiel die albernen Namen oben verwende und wesleyisaderp.com als Zone auf Digital Ocean habe, kann niemand sonst in der DNS-Infrastruktur von Digital Ocean sie zu ihrem Konto hinzufügen.
Hier ist der lustige Teil: Ich habe meinem Digital Ocean-Konto tatsächlich wesleyisaderp.com hinzugefügt! Fahren Sie fort und versuchen Sie, es zu Ihrem hinzuzufügen. Es wird nichts schaden.
Daher können Sie wesleyisaderp.com keinen A-Datensatz hinzufügen. Es ist alles meins.
Aber was ist mit...
Wie @Iain unten hervorhob, ist mein Punkt 4 oben tatsächlich zu ausführlich. Ich muss überhaupt nicht warten oder planen. Ich kann einfach Tausende von Zonen in einem Konto einrichten und mich dann zurücklehnen und warten. Technisch. Wenn ich Tausende von Domains erstelle und dann darauf warte, dass sie registriert werden, und dann hoffe, dass sie die DNS-Hosts verwenden, auf denen ich meine Zonen eingerichtet habe ... kann ich vielleicht etwas Schlimmes tun? Vielleicht? Aber wahrscheinlich nicht?
Entschuldigung an Digital Ocean & NameCheap
Beachten Sie, dass Digital Ocean und NameCheap nicht eindeutig sind und mit diesem Szenario nichts zu tun haben. Das ist normal. Sie sind an allen Fronten tadellos. Ich habe sie nur benutzt, da dies das angegebene Beispiel war, und sie sind sehr bekannte Marken.
quelle
A
und eineMX
RR mit sehr langen TTLs einrichten, die auf einen von Ihnen kontrollierten Host verweisen und gängige öffentliche DNS-Server (wie z. B. Google?) Hämmern. Eine Variante der Cache-Vergiftung ...Zusätzlich zu Wesleys hervorragender Antwort möchte ich hinzufügen, dass es bereits eine Lösung gibt, um dies zu verhindern. Es heißt DNSSEC.
Die Grundlagen sind:
wesleyisaderp.com
, nur weil.).com
.) Auch dies laden Sie hoch, wenn Sie mit Ihrem eigenen Benutzernamen / Passwort angemeldet sind Combo, damit es mit Ihrer Domain (s) und nicht mit der einer anderen verbunden ist.wesleyisbetterthanyou.com
, werden seine Datensätze von den .com-Root-Domain-Servern nicht akzeptiert, da sie nicht mit dem richtigen Schlüssel signiert sind. Wenn Ihr DNS-Hosting-Provider clever ist, wird er dies sofort überprüfen und ihm nicht einmal erlauben, Datensätze zu dieser Domain hinzuzufügen, es sei denn, er hat den richtigen privaten Schlüssel.(Im ursprünglichen Fall, den Wesley beschreibt, ist der Hauptfehler, dass Digital Ocean den Besitz einer Domain nicht verifiziert hat, bevor jemand DNS-Einträge dafür einrichten konnte. Leider sind sie damit nicht alleine. Ich weiß von mindestens einem schwedischen Registrar mit den gleichen Problemen.)
quelle
Sie werden in Ordnung sein, solange Sie das Eigentum an der Domain bei DigitalOcean beanspruchen (dh sie Ihrem Konto zuordnen), bevor Sie den Registrar anweisen, deren Nameserver zu verwenden.
Wenn jemand Ihre Domain bereits mit seinem Konto verknüpft hat, werden Sie es herausfinden, bevor die DigitalOcean-Nameserver autorisierend werden. Wenden Sie sich in diesem Fall an DigitalOcean, um zu erfahren, wie diese Person von ihrem Konto gebootet wird.
Entsprechend der bewährten Methode fungieren {ns1, ns2, ns3} .DigitalOcean.com nicht als rekursive Auflöser für Domains, die an anderer Stelle gehostet werden. Wenn dies der Fall wäre und von DigitalOcean gehostete Server diese Server als Allzweck-Resolver verwenden würden, bestünde ein weitaus größeres Problem. Bei allem, was bekanntermaßen eine schlechte Praxis ist, ist es wahrscheinlich nicht so schwer, Hosting-Anbieter zu finden, die etwas falsch machen, was Möglichkeiten für Missbrauch eröffnet.
quelle
Ich denke, dass dieses Problem bedeutet, dass niemand solche Nameserver (wie Digital Ocean) als Resolver verwenden sollte, da jeder einen Nameserver für eine vorhandene Domain auf ihnen erstellen kann. Der Kampf um die Kontrolle über die Domain ist irrelevant, da der Domainbesitz leicht nachgewiesen werden kann, aber die Tatsache, dass jemand zum Beispiel eine vorhandene Domain, die NICHT bereits auf Digital Ocean gehostet ist, an einen beliebigen Ort leiten kann.
Fazit: Vertrauen Sie nicht den DNS-Servern eines Hosting-Dienstes, für den kein Nachweis der Domain-Inhaberschaft erforderlich ist (einfach und schnell, z. B. mit der oben vorgeschlagenen Methode: indem Sie zuerst einen TXT-Eintrag mit einem bestimmten Wert in der Domain hinzufügen , das machen zum Beispiel Microsoft O365 und Google).
quelle