DNS Ein Eintrag mit https: // im Etikett

19

Ich bin vor kurzem zum ersten Mal auf einen A-Datensatz der Form gestoßen:

https://www.example.com.    <TTL>   IN  A   <IP address>

Soweit ich weiß, ist diese Aufzeichnung absichtlich (dh kein Fehler). Ich weiß, dass der Doppelpunkt und der Schrägstrich gemäß RFC 2181 gültige Zeichen für eine Bezeichnung sind, verstehe aber den Zweck des Datensatzes nicht. Verwendet eine Zertifizierungsstelle dieses Formular zur Validierung der Domänensteuerung? Schützt dieses Formular vor einer Art Exploit? Trap irgendeine Art von Benutzerfehler oder bekanntes Problem mit der Software?

Binky
quelle
1
Unterscheidet sich die IP-Adresse von der für das übereinstimmende www.example.com? Was lässt Sie denken, dass dies absichtlich und kein Fehler ist?
Jcaron
Ich vermute, dass ein Datensatz nicht falsch konfiguriert ist, da es sich bei der Organisation, die diese Datensätze steuert, um ein großes Unternehmen mit einer großen Online-Präsenz handelt, dessen DNS-Datensätze meiner Ansicht nach einer eingehenden Prüfung unterzogen werden. Aber ich bin völlig in der Lage zu glauben, dass diese A-Datensätze ein Fehler sind. Ich werde mich weiter mit dieser Ausgabe befassen (kein Wortspiel beabsichtigt) und ein Update veröffentlichen, wenn ich den Grund für die Aufzeichnungen feststelle.
Binky
Wenn jemand ein Farsight-DNSDB-Konto oder einen ähnlichen Dienst hat und den gesamten DNS-Bereich nach anderen A-Einträgen mit "https: //" abfragen möchte, wäre das wirklich cool. :)
Binky
Die IP-Adressenzuordnung des A-Datensatzes für https://www.example.comunterscheidet sich von der IP-Adressenzuordnung für www.example.com. Die vorherige Zuordnung erfolgt zu Adressen (mehrere A-Datensätze) im / 16-Netzwerkblock von "example.com" pro ARIN whois. Letzteres ist einem CNAME in der Domäne eines großen CDN-Anbieters zugeordnet. Die CNAME-Kette wird schließlich einer IP-Adresse im Netzwerk des CDN-Anbieters zugeordnet
Binky,
@Binky: Das ist kein guter Grund zu vermuten, dass es nicht falsch konfiguriert ist. Inkompetenz in großen Unternehmen ist äußerst verbreitet.
R ..

Antworten:

51

Die wahrscheinlichste Erklärung ist, dass ein Benutzer, der mit DNS nicht vertraut ist, versucht hat, die DNS-Einträge zu konfigurieren, und einen Fehler gemacht hat, der für alle, die mit DNS vertraut sind, auffällig ist, jedoch nicht für Personen, die nicht mit DNS vertraut sind.

Während ein DNS-Label im Allgemeinen beliebige binäre Daten sein kann, sollten Sie den Rest von Abschnitt 11 lesen, insbesondere:

Beachten Sie jedoch, dass für die verschiedenen Anwendungen, die DNS-Daten verwenden, Einschränkungen hinsichtlich der in ihrer Umgebung zulässigen Werte gelten können. Wenn beispielsweise eine binäre Bezeichnung einen MX-Eintrag enthalten kann, bedeutet dies nicht, dass ein binärer Name als Host-Teil einer E-Mail-Adresse verwendet werden kann. DNS-Clients können den Werten, die sie als Schlüssel für DNS-Suchanfragen verwenden, und den vom DNS zurückgegebenen Werten die jeweils für sie zutreffenden Einschränkungen auferlegen. Wenn der Client solche Einschränkungen hat, ist er allein dafür verantwortlich, die Daten aus dem DNS zu validieren, um sicherzustellen, dass sie konform sind, bevor er diese Daten verwendet.

Dies bedeutet unter anderem, dass die Label-Syntax je nach RR-Typ eingeschränkt sein kann. Wie in RFC 1123, Abschnitt 2.1 und RFC 952 angegeben, haben Internet-Hostnamen eine solche eingeschränkte Syntax, bei der der Doppelpunkt und der Schrägstrich nicht gültig sind.

Michael Hampton
quelle
1

Es ist falsch für eine Standardadresse, aber es ist möglicherweise jemand, der DNS als Out-of-Band-Kommunikationsgerät verwendet.

Es ist nicht schwer vorstellbar, Daten über DNS anstatt über "normale" Kanäle weitergeben zu müssen.

djsmiley2k - CoW
quelle
1
Könnten Sie sich das für uns vorstellen? Da es sich um diese Antwort handelt, wird nicht wirklich gesagt, was passieren könnte - nur, dass der Antwortende sie für logisch hält.
Saiboogu
1
Möglicherweise verwendet jemand DNS als Out-of-Band-Kommunikationsgerät. @ djsmiley2k Ich habe diese Möglichkeit in meinem ursprünglichen Beitrag nicht erwähnt, da die Organisation, die diese A-Datensätze kontrolliert, ein Unternehmen mit erheblichen Sicherheits- / Compliance-Anforderungen ist. Es wäre höchst unwahrscheinlich, dass diese Datensätze einen bandexternen Zugriffsmechanismus darstellen, und wenn die Datensätze ein OOB-Hack wären, wären die Auswirkungen ... beängstigend.
Binky
@ Linky Fair genug, es ist unwahrscheinlich in diesem Fall, aber es ist eine Möglichkeit in anderen.
djsmiley2k - CoW
Dies ist sicherlich eine mögliche Sache, aber DNS-Seitenkanäle werden normalerweise mit Text in einem TXT-Eintrag und nicht im Hostnamen selbst ausgeführt. Außerdem sieht "https: //" wie ein Fehler aus, nicht wie ein verschlüsselter Text.
Criggie