Как кто-то указал субдомен нашего домена на чужой IP-адрес?

34

У нас есть основной домен:

  • businessdts.com

Я не знал, создали ли наши администраторы поддомен, который я запросил, «BDASERVER.businessdts.com», поэтому я просто попытался подключиться к нему через браузер и получил «not found». Затем я пропинговал этот поддомен и получил IP-адрес, который нам не принадлежит:

  • Pinging BDASERVER.businessdts.com [198.105.244.117] с 32 байтами данных
  • Наш домен и все субдомены должны иметь IP-адрес [173.203.24.209]

Я попросил администраторов проверить все наши зоны DNS, и мы не нашли ни одного экземпляра субдомена BDASERVER (администраторы его еще не создали), а также не нашли ни одного экземпляра IP-адреса 198.105.244.117.

В процессе поиска IP мы обнаружили, что 198.105.244.117 принадлежит компании под названием Search Guide Inc. (searchguideinc.com). Похоже, они какой-то брокер доменов.

Я что-то пропустил:

  • Как этот субдомен BDASERVER преобразуется в адрес, который нам не принадлежит?
  • Как кто-то захватывает SUB-домен?
domain-name-system subdomain hijack CBruce
источник
29
Какие DNS-серверы вы используете при запуске этого поиска? Мой поиск не может решить это имя. Это пахнет как угон NXDOMAIN для меня.
Joeqwerty
Наши серверы имен - это NS.RACKSPACE.COM и NS2.RACKSPACE.COM, @joeqwerty. Когда мы настроим BDASERVER и поддомены подстановочных знаков, похоже, что они переопределят угонщиков. Единственный способ, которым я узнал об этой проблеме, был, когда я сделал пинг против субдомена.
CBruce
5
Извините, я должен был уточнить мой комментарий. Я спрашивал, какие DNS-серверы использует ваш компьютер для разрешения DNS? Это серверы имен, которые захватывают ответ NXDOMAIN, а не серверы имен для вашего доменного имени.
Joeqwerty

Ответы:

37

Как и другие парни здесь предложили - это норма ISP на самом деле. ATT делает это и со мной. Когда запрашиваемый домен не найден, а записи DNS не указывают на место назначения по умолчанию (вы можете настроить это на своем сервере, который управляет вашим DNS - более вероятно, что вы используете стандартный регистратор, и они будут управлять вашим днс для вас - просто войдите в систему, где вы зарегистрировали свое доменное имя и нажмите Управление DNS). Вы должны добавить запись перенаправления «подстановочный знак». Таким образом, вы всегда будете указывать неопределенный трафик на веб-страницу по умолчанию или на главную страницу вашего сайта. Настройки DNS по умолчанию

Итог - если вы управляете своим доменным именем и сервером - установите подстановочные знаки по умолчанию, и вы можете также добавить некоторые пользовательские страницы ошибок, на которые указывает ваш веб-сервер, когда кто-то запрашивает страницу, которая не существует, добавьте свой логотип и вернитесь к Ваш основной сайт с небольшим сценарием поиска по сайту или чем-то в этом роде ... это так раздражает запросить ресурс или HTML-страницу с сайта - даже нажав на одну из их ссылок на другой странице на их сайте - и это уродливо "400 Ошибка "страница появляется. Так много бизнес может сделать, чтобы сохранить пользовательский опыт, следя за ошибками и удерживая своих клиентов. Я также рекомендую вам включить "REPORT BROKEN LINKS"

Сейчас я не в теме - но ясно - OP должен знать немного больше о том, что заставляет интернет-провайдера перехватывать ошибку ... Обработчик DNS не дает полезного ответа на запрошенный неопределенный поддомен, потому что он не там - поэтому провайдер предоставляет страницу, приносящую доход. Легко исправить, хотя!

GoZippy
источник
27
«На самом деле это норма ISP», я подозреваю, что это сильно зависит от локали. Ни один из интернет-провайдеров, которых я использовал, не сделал этого (и если бы мой нынешний начал это делать, они бы услышали от меня ...).
CVn
5
Чтобы назвать это «нормой», это может быть BCP или, по крайней мере, MAY в соответствующих RFC. Я сильно сомневаюсь в этом.
Хаген фон
7
@HagenvonEitzen К сожалению, компании, ориентированные на получение прибыли, такие как интернет-провайдеры (по крайней мере, здесь, в США), мало заботятся о BCP и RFC и других стандартах. Таким образом, норма реального мира может очень сильно отклониться от опубликованных стандартов.
Доктор J
4
@DoktorJ В некотором смысле можно сказать, что если они намеренно нарушают RFC, которые являются свободным де-факто стандартом Интернета, то, что ваш провайдер предоставляет вам, это не Интернет ... мой 2c
Хаген фон Айцен
6
Интернет-провайдер считает, что возвращение мошеннических ответов на запросы DNS может помочь, но человек, который, по его мнению, может помочь, не является клиентом.
Джон Ханна
64

Для этого субдомена нет записи:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Вероятно, DNS вашего интернет-провайдера делает то, что называется перехватом NXDOMAIN, когда они перехватывают ответы DNS NXDOMAIN и вместо того, чтобы отвечать правильным NXDOMAIN (как выше), они дают вам IP-адрес страницы «поиска», которая обычно получает доход от рекламы для них.

Я бы поговорил с вашим провайдером и попросил, чтобы они перестали мешать вашему трафику. Если они откажутся, найдите лучшего провайдера или используйте другой преобразователь для своего трафика.

EEAA
источник
13
Подтверждено. Этот IP-адрес зарегистрирован в Search Guide Inc, известном пункте назначения NXDOMAIN.
Майкл Хэмптон
И это
Gypsy
Итак, если мы пойдем дальше и создадим субдомен BDASERVER в нашей DNS-зоне - превзойдет ли это все, что делают придурки, и будет ли оно работать для нас правильно?
CBruce
2
@CBruce Да, должно. А потом иди и измени свой DNS-распознаватель. :)
EEAA
@CBruce Ну, в зависимости от TTL, который они сфальсифицировали в своем манипулируемом ответе, это может занять некоторое время
Хаген фон
2

Кто-то указывает на поддомен или любую DNS-запись по этому вопросу, которой не существует, путем перехвата NXDOMAIN, что означает, что жадные владельцы DNS перепишут записи, чтобы они указывали на рекламные страницы.

На это очень простой ответ: включите DNSSEC на своем домене, чтобы никто не мог ответить с другого DNS (например, вашего интернет-провайдера).

Макс Дор
источник
1
Это предполагает, что клиент проверяет DNSSEC, и злой DNS-сервер ISP не будет удалять записи DNSSEC. Заголовок Strict-Transport-Security с includeSubDomains может нанести больший ущерб угонщику субдомена, чем добавление DNSSEC.
Анхель
1
Полностью согласен - в наше время DNS просто небезопасен (почему мы используем его ...), никаких аргументов об изменении любого запроса DNS. Но удаление записей DNSSEC - это совсем другой уровень, чем просто перехват ответа NXDOMAIN, к которому интернет-провайдеры могут не просто шагнуть.
Макс Дор
Да, это очень верно. Прислушайтесь к этому совету ОП.
GoZippy