Ketika saya mendaftarkan domain baru, saya mengirimkannya ke penyedia hosting saya dengan menugaskannya server nama domainnya dalam pengaturan pendaftar. Misalnya, dengan Digital Ocean, saya memasukkan yang berikut:
ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com
Saya kemudian menambahkan pengaturan domain di catatan A server saya. Terpikir oleh saya bahwa orang lain di penyedia hosting yang sama dapat menambahkan catatan A dengan domain yang saya miliki.
Adakah yang mencegah hal ini terjadi? jika 2 server berbeda yang menggunakan server nama domain yang sama mencoba untuk menetapkan domain untuk diri mereka sendiri melalui catatan A, di mana domain akan benar-benar menyelesaikan ketika Anda memasukkannya di browser? apa yang mencegah tabrakan nama domain pada server DNS yang sama?
domain-name-system
domain-name
dns-hosting
dns-zone
a-record
Eran Galperin
sumber
sumber
Jawaban:
Jangan pedulikan bagian komentar di bawah ini, dan jangan pedulikan jawaban sebelumnya di riwayat edit. Setelah sekitar satu jam bercakap-cakap dengan teman-teman (terima kasih @joeQwerty, @Iain, dan @JourneymanGeek), dan beberapa peretasan riang di sekitar kami sampai di bagian bawah baik pertanyaan Anda dan situasi secara keseluruhan. Maaf atas kesalahan dan kesalahpahaman situasi sepenuhnya pada awalnya.
Mari kita melangkah melalui proses:
wesleyisaderp.com
di, katakanlah, NameCheap.com.ns1.digitalocean.com
danns2.digitalocean.com
.wesleyisaderp.com
untukwesleyisbetterthanyou.com
.Beberapa teman dan saya baru saja memainkan skenario persis ini, dan ya itu berhasil. Jika @JoeQwerty membeli domain dan mengarahkannya ke server nama Digital Ocean, tetapi saya sudah menambahkan zona itu ke akun saya, maka saya adalah master zona dan dapat melakukan apa yang saya inginkan.
Namun pertimbangkan bahwa seseorang harus terlebih dahulu menambahkan zona ke akun DNS mereka, dan kemudian Anda harus mengarahkan catatan NS Anda ke server nama dari host yang sama agar terjadi sesuatu yang jahat. Selain itu, sebagai pemilik domain, Anda dapat mengganti data NS kapan saja Anda inginkan dan memindahkan resolusi menjauh dari host zona buruk.
Kemungkinan ini terjadi agak rendah untuk sedikitnya. Dikatakan bahwa, secara statistik, Anda dapat mengocok setumpuk 52 kartu remi dan mendapatkan pemesanan yang tidak pernah didapatkan manusia lain, dan tidak ada manusia lain yang akan melakukannya. Saya pikir alasan yang sama ada di sini. Kemungkinan seseorang mengeksploitasi ini sangat rendah, dan ada jalan pintas yang lebih baik, yang mungkin tidak akan terjadi di alam liar secara tidak sengaja.
Selain itu, jika Anda memiliki domain di registrar dan seseorang yang telah membuat zona pada penyedia seperti Digital Ocean yang bertabrakan dengan Anda, saya yakin jika Anda memberikan bukti kepemilikan, mereka akan bertanya kepada orang yang membuat domain tersebut. zona di akun mereka untuk menghapusnya karena tidak ada alasan untuk itu ada karena mereka bukan pemilik nama domain.
Tapi bagaimana dengan catatan A
Orang pertama yang memiliki zona, misalnya Digital Ocean, akan menjadi orang yang mengendalikannya. Anda tidak dapat memiliki beberapa zona identik pada infrastruktur DNS yang sama. Jadi misalnya, menggunakan nama konyol di atas, jika saya memiliki wesleyisaderp.com sebagai zona di Digital Ocean, tidak ada orang lain di infrastruktur DNS Digital Ocean yang dapat menambahkannya ke akun mereka.
Inilah bagian yang menyenangkan: Saya sebenarnya telah menambahkan wesleyisaderp.com ke akun Digital Ocean saya! Silakan dan coba tambahkan ke dalam milik Anda. Itu tidak akan menyakiti apa pun.
Jadi sebagai hasilnya, Anda tidak dapat menambahkan catatan A ke wesleyisaderp.com. Semua milikku.
Tapi bagaimana dengan ...
Seperti yang ditunjukkan @ain di bawah ini, poin saya # 4 di atas sebenarnya terlalu bertele-tele. Saya tidak perlu menunggu atau merencanakan atau skema sama sekali. Saya hanya bisa membuat ribuan zona dalam akun dan kemudian duduk dan menunggu. Secara teknis. Jika saya membuat ribuan domain, dan kemudian menunggu mereka untuk didaftarkan, dan kemudian berharap mereka menggunakan host DNS yang telah saya atur zona saya ... mungkin saya bisa melakukan sesuatu yang agak buruk? Mungkin? Tapi mungkin tidak?
Permintaan maaf kepada Digital Ocean & NameCheap
Perhatikan bahwa Digital Ocean dan NameCheap tidak unik, dan tidak ada hubungannya dengan skenario ini. Ini adalah perilaku normal. Mereka tidak bersalah di semua lini. Saya hanya menggunakan mereka karena itu adalah contoh yang diberikan, dan mereka merek yang sangat terkenal.
sumber
A
danMX
RR dengan TTL sangat panjang, menunjuk ke host yang Anda kontrol, dan memalu server DNS publik (seperti Google, mungkin?). Varian keracunan tembolok ...Selain jawaban Wesley yang luar biasa, saya ingin menambahkan bahwa sudah ada solusi untuk mencegah hal ini. Ini disebut DNSSEC.
Dasar-dasarnya adalah ini:
wesleyisaderp.com
sini, hanya karena.).com
.) Sekali lagi, Anda mengunggah ini ketika Anda login dengan nama pengguna / kata sandi Anda sendiri kombo, jadi terhubung ke domain Anda dan bukan ke domain orang lain.wesleyisbetterthanyou.com
, catatannya tidak akan diterima oleh server domain root .com karena mereka tidak masuk dengan kunci yang tepat. Jika penyedia hosting DNS Anda pintar, mereka akan memeriksa itu langsung dan bahkan tidak akan mengizinkannya untuk mencoba menambahkan catatan ke domain itu kecuali dia punya kunci pribadi yang tepat.(Dalam kasus aslinya, yang dijelaskan Wesley, kesalahan utamanya adalah Digital Ocean tidak memverifikasi kepemilikan suatu domain sebelum mengizinkan seseorang untuk mengatur catatan DNS untuknya. Sayangnya, mereka tidak sendirian dalam hal ini; saya tahu dari setidaknya satu pendaftar Swedia dengan masalah yang sama.)
sumber
Anda akan baik-baik saja selama Anda mengklaim kepemilikan domain di DigitalOcean (yaitu kaitkan dengan akun Anda) sebelum Anda memberi tahu pendaftar untuk menggunakan server nama mereka.
Jika seseorang telah mengaitkan domain Anda dengan akun mereka, Anda akan mengetahuinya sebelum server nama DigitalOcean menjadi berwibawa. Dan jika itu terjadi, bicarakan dengan DigitalOcean tentang mengeluarkan orang itu dari akunnya.
Sejalan dengan praktik terbaik, {ns1, ns2, ns3} .DigitalOcean.com tidak bertindak sebagai penyelesai rekursif untuk domain yang dihosting di tempat lain. Jika mereka melakukannya, dan jika server yang di-host oleh DigitalOcean menggunakan server-server itu sebagai penyelesai tujuan umum, maka akan ada masalah yang jauh lebih besar. Untuk semua ini dikenal sebagai praktik buruk, mungkin tidak sulit untuk menemukan penyedia hosting yang salah, yang membuka kemungkinan penyalahgunaan.
sumber
Saya pikir masalah ini berarti bahwa tidak ada yang harus menggunakan nameserver tersebut (seperti Digital Ocean's) sebagai resolvers mereka, karena siapa pun dapat membuat nameserver untuk domain yang ada pada mereka. Pertarungan untuk mengendalikan domain tidak relevan karena kepemilikan domain dapat dibuktikan dengan mudah, tetapi kenyataan bahwa seseorang dapat misalnya mengarahkan domain yang sudah ada yang TIDAK di-host di Digital Ocean, ke mana pun mereka inginkan.
Intinya: jangan percaya server DNS dari layanan hosting apa pun yang tidak memerlukan bukti kepemilikan domain (mudah dan cepat dilakukan misalnya dengan metode yang disarankan di atas: dengan menambahkan catatan TXT dengan nilai tertentu pada domain terlebih dahulu , inilah yang dilakukan oleh Microsoft O365 dan Google misalnya).
sumber