Jak ktoś skierował subdomenę naszej domeny na adres IP innej osoby?

34

Posiadamy domenę podstawową:

  • businessdts.com

Nie wiedziałem, czy nasi administratorzy utworzyli subdomenę, o którą prosiłem „BDASERVER.businessdts.com.”, Więc po prostu próbowałem połączyć się z nią za pomocą przeglądarki i „nie znaleziono”. Następnie wysłałem ping do tej subdomeny i uzyskałem adres IP, który nie należy do nas:

  • Pinging BDASERVER.businessdts.com [198.105.244.117] z 32 bajtami danych
  • Nasza domena i wszystkie subdomeny powinny mieć adres IP [173.203.24.209]

Poprosiłem administratorów, by sprawdzili wszystkie nasze strefy DNS i nie znaleźliśmy żadnego wystąpienia subdomeny BDASERVER (administratorzy jeszcze go nie utworzyli), ani nie znaleźliśmy żadnego wystąpienia adresu IP 198.105.244.117.

Podczas wyszukiwania adresu IP stwierdziliśmy, że 198.105.244.117 należy do firmy o nazwie Search Guide Inc. (searchguideinc.com). Wyglądają na pośrednika w dziedzinie domen.

Czy coś mi brakuje?

  • Jak ta subdomena BDASERVER jest przetwarzana na adres, który nie jest nasz?
  • W jaki sposób ktoś przejmuje kontrolę nad subdomeną?
domain-name-system subdomain hijack CBruce
źródło
29
Jakich serwerów DNS używasz podczas uruchamiania tego wyszukiwania? Moje wyszukiwanie nie rozwiązuje tej nazwy. To pachnie jak porwanie NXDOMAIN.
joeqwerty
Nasze serwery nazw to NS.RACKSPACE.COM i NS2.RACKSPACE.COM, @joeqwerty. Gdy skonfigurujemy subdomeny BDASERVER i symbole zastępcze, wygląda na to, że zastąpi to porywaczy. Jedynym sposobem, w jaki dowiedziałem się o tym problemie, było to, że wykonałem ping przeciwko subdomenie.
CBruce
5
Przepraszam, powinienem był wyjaśnić mój komentarz. Pytałem, jakich serwerów DNS używa Twój komputer do rozpoznawania nazw DNS? Są to serwery nazw, które przejmują odpowiedź NXDOMAIN, a nie serwery nazw dla Twojej nazwy domeny.
joeqwerty

Odpowiedzi:

37

Jak zasugerowali inni faceci tutaj - to właściwie norma ISP. ATT też mi to robi. Gdy żądana domena nie zostanie znaleziona, a rekordy DNS nie wskazują domyślnego miejsca docelowego (możesz skonfigurować to na serwerze, który zarządza Twoim DNS - bardziej niż prawdopodobne, że korzystasz ze standardowego rejestratora i będą one zarządzać Twoimi DNSami za Ciebie - po prostu zaloguj się do miejsca, w którym zarejestrowałeś nazwę swojej domeny i kliknij zarządzanie dns). Powinieneś dodać rekord przekierowania „wieloznaczny”. W ten sposób zawsze będziesz wskazywał niezdefiniowany ruch na domyślnej stronie internetowej lub stronie indeksu głównej witryny. Domyślne ustawienia DNS

Konkluzja - jeśli zarządzasz swoją domeną i serwerem - skonfiguruj domyślne symbole wieloznaczne i możesz również dodać niestandardowe strony błędów, aby wskazywały serwer, gdy ktoś poprosi o nieistniejącą stronę - dodaj swoje logo i link z powrotem do twoja główna strona z małym skryptem wyszukiwania witryny lub coś w tym stylu ... to takie denerwujące, aby poprosić o zasób lub stronę HTML ze strony internetowej - nawet klikając jeden z linków na innej stronie w tej witrynie - i ten brzydki błąd 400 pojawia się strona. Tak wiele firma może zrobić, aby zachować wygodę użytkownika, dbając o błędy i zatrzymując swoich klientów. Polecam również załączyć „RAPORT ZŁAMANYCH LINKÓW”

Jestem teraz poza tematem - ale wyraźnie - OP musi wiedzieć trochę więcej o tym, co powoduje, że dostawca usług internetowych może przechwycić błąd ... program obsługi DNS nie zapewnia użytecznej odpowiedzi na żądanie niezdefiniowanej poddomeny, ponieważ jest nie ma - więc dostawca usług internetowych zamiast tego wyświetla stronę generującą przychody. Łatwa naprawa!

GoZippy
źródło
27
„w rzeczywistości jest to norma ISP”. Podejrzewam, że zależy to w dużej mierze od lokalizacji. Żaden z dostawców usług internetowych, z których korzystałem, tego nie zrobił (a gdyby mój obecny zaczął to robić, otrzymaliby ode mnie wiadomość ...).
CVn
5
Aby nazwać to „normą”, może to być BCP lub przynajmniej MAY w odpowiednich RFC. Wątpię w to.
Hagen von Eitzen
7
@HagenvonEitzen niestety, firmy nastawione na zysk, takie jak dostawcy usług internetowych (przynajmniej tutaj w USA), nie dbają o BCP, RFC i inne standardy. Tak więc rzeczywista światowa norma może bardzo odbiegać bardzo od opublikowanych standardów.
Doktor J
4
@DoktorJ W pewnym sensie można powiedzieć, że jeśli umyślnie łamią RFC, które są luźnym de facto standardem Internetu, to, co zapewnia ci twój dostawca usług, nie jest internetem ... my 2c
Hagen von Eitzen
6
ISP uważa, że ​​zwrot fałszywych odpowiedzi na żądania DNS może pomóc, ale osoba, która ich zdaniem może pomóc, nie jest klientem.
Jon Hanna
64

Brak danych dla tej subdomeny:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Jest prawdopodobne, że DNS twojego usługodawcy ISP robi coś, co jest nazywane przejmowaniem NXDOMAIN, gdzie przejmuje kontrolę nad NXDOMAIN DNS i zamiast odpowiadać za pomocą właściwego NXDOMAIN (jak wyżej), podają ci adres IP strony „wyszukiwania”, która zazwyczaj dostaje przychody z reklam dla nich.

Porozmawiam z twoim dostawcą usług internetowych i poproszę, aby przestali ingerować w twój ruch. Jeśli odmówią, uzyskaj lepszego usługodawcę internetowego lub użyj innego mechanizmu rozpoznawania ruchu.

EEAA
źródło
13
Zatwardziały. Ten adres IP jest zarejestrowany w Search Guide Inc, znanym miejscu porywania NXDOMAIN.
Michael Hampton
I właśnie dlatego rejestratorzy robią tyle z rejestracji „defensywnych” :(
Gypsy Spellweaver
Jeśli więc pójdziemy dalej i stworzymy subdomenę BDASERVER w naszej strefie DNS - czy to zastąpi to, co robią szarpnięcia i działa dla nas poprawnie?
CBruce
2
@CBruce Tak, powinno. A potem przejdź i zmień swój program rozpoznawania nazw DNS. :)
EEAA
@CBruce Cóż, w zależności od TTL sfałszowali swoją zmanipulowaną odpowiedź, może to chwilę potrwać
Hagen von Eitzen
2

Ktoś wskazuje na subdomenę lub jakikolwiek inny wpis DNS w tym zakresie, który nie istnieje przez przejęcie NXDOMAIN, co oznacza, że ​​chciwi właściciele DNS przepisują wpisy, aby wskazywać strony oparte na reklamach.

Jest na to bardzo prosta odpowiedź: włącz DNSSEC w swojej domenie, co uniemożliwi każdemu udzielenie odpowiedzi z innego DNS (takiego jak twój dostawca usług internetowych).

Max Dor
źródło
1
Zakłada się, że klient sprawdza DNSSEC, a zły serwer DNS ISP nie usunie rekordów DNSSEC. Nagłówek Strict-Transport-Security z includeSubDomains może wyrządzić więcej szkód porywaczowi subdomeny niż dodanie DNSSEC.
Ángel
1
W pełni uzgodnione - w dzisiejszych czasach DNS jest po prostu niepewny (dlaczego go używamy ...), nie ma argumentów na temat modyfikacji jakiegokolwiek zapytania DNS. Ale usunięcie rekordów DNSSEC to zupełnie inny poziom niż zwykłe przejęcie odpowiedzi NXDOMAIN, do której dostawcy usług internetowych mogą nie tylko podejść.
Max Dor
Tak, to jest bardzo prawda. Przestrzegaj tej rady OP.
GoZippy