Wie hat jemand eine Subdomain unserer Domain auf die IP-Adresse einer anderen Person verwiesen?

34

Wir besitzen eine primäre Domain:

  • businessdts.com

Ich wusste nicht, ob unsere Administratoren eine von mir angeforderte Sub-Domain "BDASERVER.businessdts.com." Erstellt hatten. Deshalb habe ich nur versucht, eine Verbindung mit einem Browser herzustellen, und eine "Nicht gefunden" -Domain erhalten. Dann habe ich diese Subdomain gepingt und eine IP-Adresse erhalten, die uns nicht gehört:

  • Pingen von BDASERVER.businessdts.com [198.105.244.117] mit 32 Datenbytes
  • Unsere Domain und alle Sub-Domains sollten eine IP-Adresse von [173.203.24.209] haben.

Ich ließ die Administratoren alle unsere DNS-Zonen überprüfen und wir fanden keine Instanz der Subdomain BDASERVER (die Administratoren hatten sie noch nicht erstellt), und wir fanden auch keine Instanz der IP-Adresse 198.105.244.117.

Bei einer IP-Suche wurde festgestellt, dass 198.105.244.117 zu einer Firma mit dem Namen Search Guide Inc. (searchguideinc.com) gehört. Sie scheinen ein Domain-Broker zu sein.

Vermisse ich etwas:

  • Wie wird diese BDASERVER-Subdomain in eine Adresse aufgelöst, die nicht unsere ist?
  • Wie entführt jemand eine SUB-Domain?
domain-name-system subdomain hijack CBruce
quelle
29
Welche DNS-Server verwenden Sie beim Ausführen dieser Suche? Mein Lookup kann diesen Namen nicht auflösen. Das riecht, als würde NXDOMAIN mich entführen.
Joeqwerty
Unsere Nameserver sind NS.RACKSPACE.COM und NS2.RACKSPACE.COM, @joeqwerty. Wenn wir die Subdomains BDASERVER und Wildcard einrichten, werden die Hijacker anscheinend außer Kraft gesetzt. Der einzige Weg, wie ich davon erfahren konnte, war ein Ping gegen die Subdomain.
CBruce
5
Entschuldigung, ich hätte meinen Kommentar klären sollen. Ich habe gefragt, welche DNS-Server Ihr Computer für die DNS-Auflösung verwendet. Dies sind die Nameserver, die die NXDOMAIN-Antwort hijacken, nicht die Nameserver für Ihren Domainnamen.
Joeqwerty

Antworten:

37

Wie die anderen Jungs hier vorgeschlagen haben - das ist eigentlich eine ISP-Norm. ATT macht das auch mit mir. Wenn die angeforderte Domain nicht gefunden wird und die DNS-Einträge nicht auf ein Standardziel verweisen (Sie können dies auf Ihrem Server einrichten, der Ihr DNS verwaltet - höchstwahrscheinlich verwenden Sie einen Standardregistrar und sie verwalten Ihre DNS für Sie - Melden Sie sich einfach an der Stelle an, an der Sie Ihren Domainnamen registriert haben, und klicken Sie auf DNS verwalten. Sie sollten einen "Platzhalter" -Umleitungsdatensatz hinzufügen. Auf diese Weise verweisen Sie immer undefinierten Datenverkehr auf eine Standardwebseite - oder Ihre Indexseite Ihrer Hauptwebsite. Standard-DNS-Einstellungen

Fazit: Wenn Sie Ihren Domain-Namen und Server verwalten, richten Sie Ihre Standard-Platzhalter ein, und Sie möchten möglicherweise auch einige benutzerdefinierte Fehlerseiten hinzufügen, auf die Ihr Webserver verweist, wenn jemand eine Seite anfordert, die nicht vorhanden ist. Fügen Sie Ihr Logo hinzu und verknüpfen Sie ihn erneut Ihre Hauptwebsite mit einem kleinen Site-Suchskript oder so ... Es ist so ärgerlich, eine Ressource oder HTML-Seite von einer Website anzufordern - selbst wenn Sie auf einen ihrer Links auf einer anderen Seite ihrer Website klicken - und dieser hässliche "400-Fehler "Seite erscheint. So viel kann ein Unternehmen tun, um die Benutzererfahrung zu erhalten, indem es sicherstellt, dass Fehler behandelt und seine Kunden gehalten werden. Ich empfehle außerdem, dass Sie einen "REPORT BROKEN LINKS" hinzufügen.

Ich bin jetzt nicht am Thema - aber klar - das OP muss ein wenig mehr darüber wissen, warum der ISP den Fehler abfangen kann ... Der DNS-Handler bietet keine nützliche Antwort auf die angeforderte undefinierte Unterdomäne, da dies der Fall ist nicht da - also bedient der ISP stattdessen eine Seite, die Einnahmen generiert. Einfache Lösung!

GoZippy
quelle
27
"Dies ist eigentlich eine ISP-Norm" Ich vermute, dass dies stark von der Ländereinstellung abhängt. Keiner der ISPs, die ich benutzt habe, hat es getan (und wenn mein derzeitiger ISP damit anfangen würde, würden sie von mir hören ...).
ein Lebenslauf
5
Um dies als "Norm" zu bezeichnen, könnte dies ein BCP oder zumindest ein MAY in den entsprechenden RFCs sein. Das bezweifle ich sehr.
Hagen von Eitzen
7
@HagenvonEitzen Leider interessieren sich gewinnorientierte Unternehmen wie ISPs (zumindest hier in den USA) wenig für BCPs und RFCs und andere Standards. Somit kann die Norm der realen Welt sehr, sehr weit von den veröffentlichten Normen abweichen.
Doktor J
4
@DoktorJ In gewissem Sinne könnte man sagen , dass wenn sie intentiously brechen RFCs, die das lose de-facto - Standard des Internet sind, was Ihr Service - Provider liefert Ihnen ist nicht das Internet ... meine 2c
Hagen von Eitzen
6
Der ISP ist der Ansicht, dass das Zurücksenden betrügerischer Antworten auf DNS-Anfragen hilfreich sein kann, aber die Person, von der er glaubt, dass sie helfen kann, ist nicht der Kunde.
Jon Hanna
64

Für diese Subdomain gibt es keinen Datensatz:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Es ist wahrscheinlich, dass der DNS Ihres Internetdienstanbieters das so genannte NXDOMAIN-Hijacking durchführt, bei dem er NXDOMAIN-DNS-Antworten entführt Werbeeinnahmen für sie.

Ich würde mit Ihrem ISP sprechen und ihn bitten, Ihren Datenverkehr nicht mehr zu stören. Wenn sie sich weigern, holen Sie sich einen besseren ISP oder verwenden Sie einen anderen Resolver für Ihren Datenverkehr.

EEAA
quelle
13
Bestätigt. Diese IP-Adresse ist bei Search Guide Inc registriert, einem bekannten Ziel von NXDOMAIN-Hijacking.
Michael Hampton
Und das ist ein Teil dessen, warum Registrare so viel aus "defensiven" Registrierungen machen :(
Gypsy Spellweaver
Wenn wir also die BDASERVER-Unterdomäne in unserer DNS-Zone erstellen, wird das alles ersetzen, was die Idioten tun und für uns richtig funktionieren?
CBruce
2
@CBruce Ja, das sollte es. Und dann gehen Sie und ändern Sie Ihren DNS-Resolver. :)
EEAA
@CBruce Nun, abhängig von der TTL, die sie in ihre manipulierte Antwort gefälscht haben, kann es eine Weile dauern
Hagen von Eitzen
2

Jemand verweist auf eine Unterdomäne oder auf einen DNS-Eintrag, der bei NXDOMAIN-Hijacking nicht vorhanden ist. Dies bedeutet, dass gierige DNS-Besitzer Einträge neu schreiben, um auf anzeigenbasierte Seiten zu verweisen.

Darauf gibt es eine sehr einfache Antwort: Aktivieren Sie DNSSEC in Ihrer Domain, um zu verhindern, dass jemand eine Antwort von einem anderen DNS (wie Ihrem ISP) gibt.

Max Dor
quelle
1
Dies setzt voraus, dass der Client DNSSEC validiert und der böse DNS-Server des ISP keine DNSSEC-Einträge entfernt. Ein Strict-Transport-Security-Header mit includeSubDomains kann dem Subdomain-Hijacker mehr Schaden zufügen als das Hinzufügen von DNSSEC.
Ángel
1
Volle Übereinstimmung - in der heutigen Zeit ist DNS einfach nur unsicher (warum verwenden wir es überhaupt?), Kein Argument über das Ändern von DNS-Abfragen. Das Entfernen von DNSSEC-Einträgen ist jedoch eine ganz andere Ebene als die bloße Entführung einer NXDOMAIN-Antwort, auf die ISPs möglicherweise nicht nur zugreifen.
Max Dor
Ja das ist sehr wahr. Beachten Sie diesen Rat OP.
GoZippy