Apache: мошенники указывают десятки доменных имен на мой выделенный IP. Как это предотвратить?

14

Ради обсуждения представьте, что у меня есть веб-сервер Apache, который обслуживает веб-сайт www.example.org. Это доменное имя преобразуется в общедоступный IP-адрес в 192.168.1.100 (представьте, что это публичный IP-адрес).

Обсуждение. Могу ли я что-то сделать с кем-то, кто указал свой домен на мой ip? демонстрирует, что любой может указать свой домен на мой IP. Apache не будет препятствовать этому по умолчанию, но администратор может справиться с этим одновременно с помощью черного списка.

Однако мошенники все чаще регистрируют десятки доменов (или больше) для использования в мошенничестве. Я обеспокоен следующей возможной атакой:

  1. Мошенник регистрирует сотни доменных имен и указывает их на мой выделенный IP-адрес.
  2. Мошенник направляет поисковые системы на свои домены мошенников, таким образом, используя мой контент, чтобы повысить свое положение в поисковых системах.
  3. Позже, доносчик перемещает свои доменные имена указывают на их собственных серверах , которые хозяин афера / порно, или конкурирующий бизнес и т.д. , таким образом , пожинают плоды своего положения в поисковых системах. Некоторые из этих доменов могут также использоваться для рассылки спама .
  4. Profit !!

Я считаю, что в прошлом я видел мошенников, использующих этот трюк с участием десятков доменов. В то время мы не осознавали последствий мошенничества и предполагали, что это неправильно настроенные домены.

Есть ли термин для этого гнусного трюка SEO? SEO маскируется? Переадресация DNS?

Как я мог предотвратить это с помощью Apache? Я рассматриваю исправление «белого списка», основанное на использовании значения по умолчанию VirtualHosts, ServerNamesи ServerAliasesпоэтому Apache отвечает только на запросы, в которых эти ServerNames из белого списка появляются в Host:заголовке « ». Все остальное будет отклонено (или перенаправлено на определенную страницу). Однако я не уверен, что это лучший подход.

Например, я настроил домен http://thisisnotserverfault.stefanco.com/, чтобы он указывал на IP-адрес для Serverfault.com. Вы можете увидеть результаты здесь: http://thisisnotserverfault.stefanco.com/ .

apache-2.2 domain-name-system security Стефан Ласевский
источник
Я не вижу большой ценности SEO в такой схеме. Единственное, о чем я могу подумать, это спам в комментариях, может быть проще получить ссылку на сайт США / ЕС через фильтр спама, но им все равно потребуется IP-адрес США / ЕС для отправки спама в любом случае. Даже в США и ЕС существует множество хостов, которые по-другому смотрят на спам в комментариях, поэтому он не защищает их сайты или IP-адреса. Контент будет дублировать контент и не будет особенно ценным для кражи, поэтому я тоже не вижу ценности в этом.
Stoj
3
Если вы не хотите использовать свой реальный IP-адрес в публикации, в RFC 5737 зарезервировано 768 IP-адресов для документации. Любой из них подойдет в качестве заполнителя для публичного IP-адреса в вопросе о сбое сервера.
Касперд

Ответы:

18

Я бы настроил записи NameVirtualHost для всех записей вашего собственного домена, и все, что не соответствует этим, получит страницу объяснения (что вы продемонстрировали на Serverfault). Ссылка http://httpd.apache.org/docs/2.0/vhosts/name-based.html

Джефф Ферланд
источник
Правильно, и первый vhost - это vhost по умолчанию, куда вы помещаете эту страницу. Вы также хотели бы добавить для него mod_rewrite RewriteRule, который переписывает каждый URL этой страницы.
Марк Вагнер
Именно афера должна работать только на виртуальном хостинге на ip. Виртуальный хостинг на основе имен будет отвечать только в том случае, если имя домена настроено на сервере (т.е. не используются подстановочные знаки).
Мартин Хеемельс
В качестве альтернативы вы можете просто ответить 400 неверным запросом, 403 запрещенным или 404 не найден, хотя 400 подразумевает синтаксическую ошибку в запросе, что технически неверно. Я предпочитаю просто не отвечать, хотя я не уверен, как это сделать в Apache (с Nginx все, что мне нужно сделать, - return 444;это vhost по умолчанию).
Кромей
4

Вы не можете запретить кому-либо указывать свои DNS-серверы на ваш IP. Однако вы можете не предоставлять HTTP-контент этим доменам. Используйте Virtualhosts для обслуживания контента для ваших собственных доменов и не устанавливайте виртуальный хост по умолчанию. Или используйте виртуальный хост по умолчанию для обслуживания 404 или 403, что должно отпугнуть спаммеров.

Julien
источник
2

Разместите http://en.wikipedia.org/wiki/Canonical_link_element на своих веб-страницах, сообщая поисковым системам правильный домен для использования. В этом случае мошеннические ссылки принесут вам пользу, а не ущерб.

JamesRyan
источник