名称服务器如何确保声称托管域的服务器实际上由该域操作?

时间:2014-12-07 11:58:13

标签: dns linode

我最近开始使用linode来托管我的网站。 在使用linode之前,我通常使用由我的域名注册商提供的托管。在这些情况下,我认为我理解DNS是如何工作的,因为注册商会自动更新您的DNS记录以指向服务器管理网站。

关注linodes指南时,要设置网站:https://www.linode.com/docs/websites/hosting-a-website

他们的指示告诉您将DNS服务器设置为:

ns1.linode.com ns2.linode.com ns3.linode.com ...

但我要说的是,任何人都可以在linode上开设一个帐户,并填写相同的DNS设置!因此,现在任何想要访问您网站的人都可以被定向到想要伪装成您网站的其他人!

我理解DNS是如何工作的吗?我知道(从访问者的角度)确保访问的网站实际上是域名的唯一方法是安装证书(https)等。但根据上述说明,假装成为某人似乎是微不足道的否则,如果他们也使用linode。

2 个答案:

答案 0 :(得分:0)

那又怎样?有人可能会使用相同的DNS服务器。但他们无法注册同一个域名。注册example.org后,您拥有该域名,其他任何人都无法注册。

您已注册example.org并在Linode使用以下DNS配置:

Domain             | Nameserver
-------------------+---------------------
example.org        | ns1.linode.com
example.org        | ns2.linode.com
...                | ...

邪恶的黑客"可能已注册evil-hacker.com并使用此配置:

Domain             | Nameserver
-------------------+----------------------
evil-hacker.com    | ns1.linode.com
evil-hacker.com    | ns2.linode.com
...                | ...
example.org        | ns1.linode.com  << Those are the lines that bug you, right?
example.org        | ns2.linode.com

为简单起见,我们假设您网站的IP为1.1.1.1,恶意黑客网站的IP为2.2.2.2。你担心因为&#34;黑客&#34;使用相同的DNS配置,您的网站example.org可能会解析为2.2.2.2,对吧?

当我尝试解决example.org

时会发生这种情况
  1. 我连接到DNS根服务器,找出哪个名称服务器负责org顶级域名。
  2. 我连接到org顶级域名的名称服务器,并询问其example.org的IP地址。 org名称服务器由您的域名注册商管理。它将查找输入的信息并告诉我查看其中一个linode名称服务器。
  3. 我连接到ns1.linode.com并询问example.org的IP地址。 Linode知道您的网站有哪些IP,并通过1.1.1.1回复我。

    4. 在上述过程中,我永远不会看到evil-hacker.com2.2.2.2。由于我们的邪恶黑客(希望)无法控制DNS根服务器,org顶级域名的名称服务器或Linode域名服务器,因此您网站的所有DNS请求都将由&#34;可信&#34;名称服务器。

    但是,黑客可能会拦截来自我的特定计算机的DNS流量。他可能会安装始终将example.org解析为其IP地址2.2.2.2(例如/etc/hosts)或危及我的网络路由器的恶意软件。因此,为您的网站使用SSL证书仍然是一个好主意:)。

答案 1 :(得分:0)

我不是DNS方面的专家,所以我的答案可能有误,但是我有同样的问题,因此对此进行了调查。

我认为您的理解是正确的,这似乎是一个问题,但显然在实践中很少发生,因此托管服务提供商(包括Linode)对此无能为力。

Here是DigitalOcean(存在此问题的另一家托管公司)的Ryan Quinn回答了类似的问题:

  

一个域只能存在于一个帐户上,因此任何试图添加该域的用户将无法添加。域已经存在或被劫持的案例非常少见(我在过去2年多的时间里见过3个案例,每种情况都是该域的前所有者仍然有记录)。在极少数情况下,用户可以打开支持通知单,我们将根据他们的账单明细来验证域whois信息,以验证所有权。

Here是有关Information Security Stack Exchange的一个问题,问同样的问题。

在DigitalOcean的情况下,我发现一个postHackerNews discussion)的人描述了他们如何接管了大约20,000个指向DigitalOcean域名服务器的无效域名。尽管我想基本上可以进行相同的攻击,但我没有为Linode找到任何类似的东西。

Amazon Route 53似乎使用随机生成的名称服务器(而不是Linode / DigitalOcean的常量ns1.linode.com等)来使这种攻击不太可能成功。

Apparently其他一些服务(Google Apps?)“通过要求域所有者使用特殊代码向其域中添加TXT记录来验证域所有权。”

相关问题
最新问题