Bagaimana seseorang mengarahkan sub-domain dari domain kami ke alamat IP orang lain?

34

Kami memiliki domain utama:

  • businessdts.com

Saya tidak tahu apakah admin kami telah membuat sub-domain yang saya minta, "BDASERVER.businessdts.com.", Jadi saya hanya mencoba menghubungkannya dengan browser dan mendapat "tidak ditemukan". Lalu saya ping sub-domain itu dan mendapat alamat IP yang bukan milik kita:

  • Pinging BDASERVER.businessdts.com [198.105.244.117] dengan 32 byte data
  • Domain kami dan semua sub-domain harus memiliki alamat IP [173.203.24.209]

Saya meminta admin memeriksa semua zona DNS kami dan kami tidak menemukan instance dari sub-domain BDASERVER, (admin belum membuatnya), kami juga tidak menemukan instance alamat IP 198.105.244.117.

Melakukan pencarian IP, kami menemukan bahwa 198.105.244.117 milik perusahaan bernama Search Guide Inc. (searchguideinc.com). Mereka tampaknya semacam broker domain.

Apakah saya melewatkan sesuatu:

  • Bagaimana sub-domain BDASERVER ini menyelesaikan ke alamat yang bukan milik kami?
  • Bagaimana seseorang membajak domain SUB?
domain-name-system subdomain hijack CBruce
sumber
29
Server DNS apa yang Anda gunakan saat menjalankan pencarian ini? Pencarian saya gagal menyelesaikan nama itu. Baunya seperti NXDOMAIN yang membajak saya.
joeqwerty
Server Nama kami adalah NS.RACKSPACE.COM dan NS2.RACKSPACE.COM, @joeqwerty. Ketika kita mendapatkan BDASERVER dan sub-domain wildcard diatur, sepertinya itu akan menimpa pembajak. Satu-satunya cara saya mengetahui tentang masalah ini adalah ketika saya melakukan ping terhadap subdomain.
CBruce
5
Maaf, saya harus mengklarifikasi komentar saya. Saya menanyakan server DNS apa yang digunakan komputer Anda untuk resolusi DNS? Itu adalah server nama yang membajak respons NXDOMAIN, bukan server nama untuk nama domain Anda.
joeqwerty

Jawaban:

37

Seperti yang disarankan orang-orang lain di sini - ini sebenarnya norma ISP. ATT juga melakukannya untuk saya. Ketika domain yang diminta tidak ditemukan, dan catatan DNS tidak menunjuk ke tujuan default (Anda dapat mengaturnya di server Anda yang mengelola DNS Anda - kemungkinan besar Anda menggunakan pendaftar standar dan mereka akan mengelola dns Anda untuk Anda - Cukup login ke tempat Anda mendaftarkan nama domain Anda dan klik kelola dns). Anda harus menambahkan catatan pengalihan "wildcard". Dengan cara ini Anda akan selalu mengarahkan lalu lintas yang tidak ditentukan ke halaman web default - atau halaman indeks situs web utama Anda. Pengaturan DNS default

Intinya - jika Anda mengelola nama domain dan server Anda - setup wildcard default Anda dan Anda mungkin ingin juga menambahkan beberapa halaman kesalahan khusus untuk mengarahkan server web Anda ketika seseorang meminta halaman yang tidak ada - tambahkan logo Anda dan tautkan kembali ke situs utama Anda dengan skrip pencarian situs kecil atau sesuatu ... sangat menjengkelkan untuk meminta halaman sumber daya atau html dari situs web - bahkan mengklik salah satu tautan mereka di halaman lain di situs mereka - dan itu jelek "400 Kesalahan "halaman muncul. Begitu banyak bisnis dapat dilakukan untuk mempertahankan pengalaman pengguna dengan memastikan untuk menangani kesalahan dan mempertahankan pelanggan mereka. Saya juga merekomendasikan Anda untuk memasukkan "LAPORAN BROKEN LINKS"

Saya keluar topik sekarang - tapi jelas - OP perlu tahu lebih banyak tentang apa yang menyebabkan ISP dapat mencegat kesalahan ... pengendali DNS tidak memberikan respons yang berguna untuk subdomain yang tidak ditentukan yang diminta karena itu adalah tidak ada - jadi ISP menyajikan halaman yang menghasilkan pendapatan. Memperbaiki mudah!

GoZippy
sumber
27
"Ini sebenarnya norma ISP" Saya curiga ini sangat bergantung pada lokal. Tidak satu pun ISP yang saya gunakan telah melakukannya (dan jika ISP saya saat ini mulai melakukannya, mereka akan mendengar dari saya ...).
CVn
5
Untuk menyebut ini "norma", ini bisa menjadi BCP atau setidaknya MUNGKIN dalam RFC yang sesuai. Saya sangat meragukannya.
Hagen von Eitzen
7
@HagenvonEitzen sedihnya, perusahaan yang digerakkan oleh laba seperti ISP (setidaknya di sini di AS) tidak terlalu peduli tentang BCP dan RFC serta standar lainnya. Dengan demikian, norma dunia nyata dapat berakhir menyimpang sangat, sangat jauh dari standar yang diterbitkan.
Doktor J
4
@DoktorJ Dalam beberapa hal, orang mungkin mengatakan bahwa jika mereka dengan sengaja merusak RFC, yang merupakan standar de-facto Internet yang longgar, apa yang penyedia layanan Anda sediakan bukan Internet ... 2c
Hagen von Eitzen
6
ISP berpikir mengembalikan respons penipuan ke permintaan DNS dapat membantu, tetapi orang yang mereka pikir dapat membantu bukanlah pelanggan.
Jon Hanna
64

Tidak ada catatan untuk subdomain itu:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Kemungkinan DNS ISP Anda melakukan apa yang disebut sebagai pembajakan NXDOMAIN, di mana mereka membajak balasan NXDOMAIN DNS dan bukannya membalas dengan NXDOMAIN yang tepat (seperti di atas), mereka memberikan Anda alamat IP dari halaman "pencarian", yang biasanya mendapat pendapatan iklan untuk mereka.

Saya akan berbicara dengan ISP Anda dan meminta mereka berhenti mengganggu lalu lintas Anda. Jika mereka menolak, dapatkan ISP yang lebih baik atau gunakan resolver lain untuk traffic Anda.

EEAA
sumber
13
Dikonfirmasi Alamat IP itu terdaftar di Search Guide Inc, tujuan pembajakan NXDOMAIN yang diketahui.
Michael Hampton
Dan itulah bagian dari mengapa pendaftar mendapat banyak dari pendaftaran "defensif" :(
Gypsy Spellweaver
Jadi, jika kita terus maju dan membuat sub-domain BDASERVER di zona DNS kita - akankah hal itu melampaui apa pun yang dilakukan para brengsek dan bekerja dengan benar untuk kita?
CBruce
2
@ Cruce Ya, seharusnya. Dan kemudian pergi dan ubah resolver DNS Anda. :)
EEAA
@CBruce Yah, tergantung pada TTL yang mereka tiru ke respons yang dimanipulasi, mungkin perlu waktu
Hagen von Eitzen
2

Seseorang menunjuk ke sebuah sub-domain, atau entri DNS apa pun yang penting, yang tidak ada dengan melakukan pembajakan NXDOMAIN, yang berarti pemilik DNS yang rakus akan menulis ulang entri untuk mengarah ke halaman berbasis iklan.

Ada jawaban yang sangat sederhana untuk ini: aktifkan DNSSEC di domain Anda, yang akan mencegah siapa pun memberikan jawaban dari DNS lain (seperti ISP Anda).

Max Dor
sumber
1
Ini mengasumsikan klien memvalidasi DNSSEC dan server DNS jahat ISP tidak akan menghapus data DNSSEC. Header Strict-Transport-Security dengan includeSubDomains dapat membuat lebih banyak kerusakan pada pembajak subdomain daripada menambahkan DNSSEC.
Ángel
1
Sepenuhnya disetujui - di zaman sekarang ini, DNS benar-benar tidak aman (mengapa kita menggunakannya ...), tidak ada argumen tentang memodifikasi kueri DNS apa pun. Tetapi menghapus catatan DNSSEC adalah tingkat yang sama sekali berbeda dari sekadar membajak jawaban NXDOMAIN yang mungkin bukan hanya langkah ISP.
Max Dor
Ya ini sangat benar. Perhatikan saran ini, OP.
GoZippy