ใครสามารถใช้เซิร์ฟเวอร์ DNS เดียวกันกับฉันจี้โดเมนของฉันได้ไหม

เมื่อฉันลงทะเบียนโดเมนใหม่ฉันจะส่งไปยังผู้ให้บริการโฮสต์ของฉันโดยกำหนดเซิร์ฟเวอร์ชื่อโดเมนในการตั้งค่าของ Registar ตัวอย่างเช่นด้วย Digital Ocean ฉันป้อนข้อมูลต่อไปนี้:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

ฉันเพิ่มการตั้งค่าโดเมนในบันทึก A ของเซิร์ฟเวอร์ของฉัน มันเกิดขึ้นกับฉันที่คนอื่น ๆ ในผู้ให้บริการโฮสต์เดียวกันสามารถเพิ่มระเบียน A ด้วยโดเมนที่ฉันเป็นเจ้าของ

มีสิ่งใดที่ทำให้ไม่สามารถเกิดเหตุการณ์นี้ได้หรือไม่? ถ้า 2 เซิร์ฟเวอร์ที่ต่างกันที่ใช้เซิร์ฟเวอร์ชื่อโดเมนเดียวกันพยายามกำหนดโดเมนให้ตัวเองผ่านระเบียน A โดเมนจะแก้ไขปัญหาได้จริงเมื่อคุณป้อนในเบราว์เซอร์ สิ่งที่ป้องกันการชนกันของชื่อโดเมนบนเซิร์ฟเวอร์ DNS เดียวกัน

คุณจะไม่คำนึงถึงหัวข้อความคิดเห็นด้านล่างและคุณจะไม่คำนึงถึงคำตอบก่อนหน้านี้ในประวัติการแก้ไข หลังจากผ่านไปประมาณหนึ่งชั่วโมงของการสนทนากับเพื่อน ๆ (ขอบคุณ @joeQwerty, @Iain และ @JourneymanGeek) และมีการแฮ็กที่ร่าเริงรอบตัวเราไปถึงจุดสิ้นสุดของคำถามและสถานการณ์โดยรวม ขออภัยในความรุนแรงและเข้าใจผิดสถานการณ์ในตอนแรก

มาดูกระบวนการกันเถอะ:

1. คุณซื้อwesleyisaderp.comที่ NameCheap.com
2. Namecheap เป็นนายทะเบียนของคุณจะเป็นที่ที่คุณเติมระเบียน NS ของคุณ สมมติว่าคุณต้องการโฮสต์โซน DNS บน Digital Ocean
3. คุณชี้ระเบียน NS เงาโดเมนใหม่ของคุณไปและns1.digitalocean.comns2.digitalocean.com
4. แต่ขอบอกว่าผมก็สามารถที่จะตรวจสอบว่าคุณได้จดทะเบียนโดเมนนั้นและนอกจากว่าคุณได้เปลี่ยนระเบียน NS ของคุณเพื่อดิจิตอลมหาสมุทร จากนั้นฉันจะเอาชนะคุณในบัญชี Digital Ocean และเพิ่มโซน wesleyisaderp.com เป็นของฉันเอง
5. คุณพยายามเพิ่มโซนใน*บัญชี* ของคุณแต่ Digital Ocean บอกว่าโซนนั้นมีอยู่แล้วในระบบของพวกเขา! โอ้โห!
6. ฉัน CNAME ไปwesleyisaderp.comwesleyisbetterthanyou.com
7. ความฮือฮาตามมา

เพื่อนบางคนและฉันเพิ่งเล่นสถานการณ์ที่แน่นอนนี้ออกมาและใช่มันทำงานได้ หาก @JoeQwerty ซื้อโดเมนและชี้ไปที่เนมเซิร์ฟเวอร์มหาสมุทรดิจิตอล แต่ฉันได้เพิ่มโซนนั้นในบัญชีของฉันแล้วฉันเป็นผู้ชำนาญในโซนและสามารถทำสิ่งที่ฉันต้องการได้

อย่างไรก็ตามให้พิจารณาว่ามีบางคนจะต้องเพิ่มโซนลงในบัญชี DNS ของพวกเขาก่อนจากนั้นคุณจะต้องชี้ระเบียน NS ของคุณไปยังเซิร์ฟเวอร์ชื่อของโฮสต์เดียวกันเพื่อให้สิ่งที่น่าสงสัยเกิดขึ้น นอกจากนี้ในฐานะเจ้าของโดเมนคุณสามารถสลับระเบียน NS ได้ทุกเมื่อที่คุณต้องการและย้ายความละเอียดออกจากโฮสต์ที่ไม่ดี

โอกาสที่จะเกิดเหตุการณ์นี้ค่อนข้างต่ำที่จะพูดน้อยที่สุด มีการกล่าวกันว่าตามสถิติคุณสามารถสับไพ่ 52 ใบและสั่งซื้อได้โดยที่ไม่มีมนุษย์คนใดได้รับและไม่มีใครอื่นที่จะทำ ฉันคิดว่าเหตุผลเดียวกันมีอยู่ที่นี่ โอกาสของคนที่ใช้ประโยชน์จากสิ่งนี้อยู่ในระดับต่ำมากและมีทางลัดที่ดีกว่าในการดำรงอยู่ซึ่งมันอาจจะไม่เกิดขึ้นโดยบังเอิญ

นอกจากนี้หากคุณเป็นเจ้าของโดเมนที่นายทะเบียนและบางคนเกิดขึ้นได้ทำโซนกับผู้ให้บริการเช่น Digital Ocean ที่คุณชนกันฉันแน่ใจว่าถ้าคุณแสดงหลักฐานการเป็นเจ้าของพวกเขาจะถามคนที่ทำ เขตในบัญชีของพวกเขาที่จะลบมันเนื่องจากไม่มีเหตุผลที่จะอยู่เพราะพวกเขาไม่ใช่เจ้าของชื่อโดเมน

แต่สิ่งที่เกี่ยวกับเรกคอร์ด A

บุคคลแรกที่มีโซนเปิดเช่น Digital Ocean จะเป็นโซนที่ควบคุม คุณไม่สามารถมีหลายโซนที่เหมือนกันในโครงสร้างพื้นฐาน DNS เดียวกัน ตัวอย่างเช่นการใช้ชื่อโง่ ๆ ข้างต้นถ้าฉันมี wesleyisaderp.com เป็นโซนใน Digital Ocean ไม่มีใครในโครงสร้างพื้นฐาน DNS ของ Digital Ocean สามารถเพิ่มลงในบัญชีของพวกเขา

นี่คือส่วนที่สนุก: จริง ๆ แล้วฉันได้เพิ่ม wesleyisaderp.com ลงในบัญชี Digital Ocean ของฉันจริงๆ! ไปข้างหน้าและลองเพิ่มเข้าไปในของคุณ มันจะไม่ทำร้ายอะไร

ดังนั้นคุณจึงไม่สามารถเพิ่มระเบียน A ไปยัง wesleyisaderp.com มันเป็นของฉันทั้งหมด

แต่แล้ว ...

ตามที่ @Iain ชี้ให้เห็นด้านล่างประเด็นที่ # 4 ด้านบนของฉันเป็นจริงเกินไป ฉันไม่ต้องรอหรือลงจุดหรือโครงร่างเลย ฉันสามารถสร้างหลายพันโซนในบัญชีแล้วนั่งรอ ในทางเทคนิค ถ้าฉันสร้างโดเมนหลายพันโดเมนจากนั้นรอให้พวกเขาลงทะเบียนแล้วหวังว่าพวกเขาจะใช้โฮสต์ DNS ที่ฉันตั้งค่าโซนไว้ที่ ... บางทีฉันอาจทำสิ่งที่ไม่ดีได้บ้าง อาจจะ? แต่อาจจะไม่

ขออภัยในมหาสมุทรดิจิตอลและชื่อราคาถูก

โปรดทราบว่า Digital Ocean และ NameCheap นั้นไม่ซ้ำกันและไม่มีส่วนเกี่ยวข้องกับสถานการณ์นี้ นี่เป็นพฤติกรรมปกติ พวกเขาไม่มีที่ติในทุกด้าน ฉันใช้มันตั้งแต่นั้นเป็นตัวอย่างที่ให้และพวกเขาเป็นแบรนด์ที่รู้จักกันดี

นอกจากคำตอบที่ยอดเยี่ยมของเวสลีย์ฉันต้องการเพิ่มว่ามีวิธีแก้ไขปัญหานี้แล้ว มันเรียกว่า DNSSEC

พื้นฐานคือ:

• คุณลงทะเบียนโดเมนของคุณ (ฉันจะไปกับชื่อเด่นwesleyisaderp.comที่นี่เพียงเพราะ)
• คุณลงทะเบียนเซิร์ฟเวอร์ชื่อของคุณกับผู้รับจดทะเบียนของคุณโดยปกติจะผ่านเว็บอินเตอร์เฟสที่คุณรับรองความถูกต้องด้วยชื่อผู้ใช้ / รหัสผ่านผสม
• คุณยังสร้างคู่คีย์สาธารณะ / ส่วนตัวและคุณอัปโหลดคีย์สาธารณะของคุณไปยังนายทะเบียนของคุณในรูปแบบของระเบียน DNSKEY (นั่นคือวิธีที่ผู้รับจดทะเบียนสามารถตั้งค่าเครือข่ายของความไว้วางใจให้กับเซิร์ฟเวอร์รูทสำหรับโดเมนระดับบนสุด - ในกรณีนี้เซิร์ฟเวอร์รากสำหรับ.com) อีกครั้งคุณอัปโหลดสิ่งนี้เมื่อคุณลงชื่อเข้าใช้ด้วยชื่อผู้ใช้ / รหัสผ่านของคุณเอง คำสั่งผสมดังนั้นจึงเชื่อมต่อกับโดเมนของคุณและไม่ใช่กับบุคคลอื่น
• คุณไปที่เนมเซิร์ฟเวอร์คุณป้อนบันทึกของคุณและคุณเซ็นชื่อไฟล์โซนผลลัพธ์ด้วยรหัสส่วนตัวของคุณ หรือหากคุณมีเว็บอินเตอร์เฟสไปยังบริการโฮสต์ DNS ของคุณคุณจะต้องอัปโหลดรหัสส่วนตัวให้พวกเขาเพื่อให้พวกเขาสามารถเซ็นชื่อไฟล์โซนเหล่านั้นได้
• เมื่อเวสลีย์พยายามที่จะขโมยโดเมนของคุณและ CNAME อย่างหยาบคายwesleyisbetterthanyou.comเร็กคอร์ดของเขาจะไม่ได้รับการยอมรับจากเซิร์ฟเวอร์โดเมนรูท. com เพราะพวกเขาไม่ได้เซ็นชื่อด้วยคีย์ที่ถูกต้อง หากผู้ให้บริการโฮสต์ DNS ของคุณฉลาดพวกเขาจะตรวจสอบทันทีจากค้างคาวและจะไม่อนุญาตให้เขาพยายามเพิ่มระเบียนลงในโดเมนนั้นเว้นแต่เขาจะได้รับรหัสส่วนตัวที่ถูกต้อง
• เมื่อคุณป้อนบันทึกของคุณเองพวกเขาจะได้รับการลงนามโดยปุ่มขวาดังนั้นพวกเขาจะทำงาน
• ตอนนี้คุณสามารถนั่งและหัวเราะเยาะเวสลีย์

(ในกรณีดั้งเดิมสิ่งที่ Wesley อธิบายถึงข้อผิดพลาดหลักคือ Digital Ocean ไม่ได้ตรวจสอบความเป็นเจ้าของโดเมนก่อนที่จะอนุญาตให้บางคนตั้งค่าระเบียน DNS สำหรับมันโชคไม่ดีที่พวกเขาไม่ได้อยู่คนเดียวในเรื่องนี้ ของนายทะเบียนชาวสวีเดนอย่างน้อยหนึ่งคนที่มีปัญหาเดียวกัน)

คุณจะถูกต้องตราบเท่าที่คุณอ้างสิทธิ์ความเป็นเจ้าของโดเมนที่ DigitalOcean (เช่นเชื่อมโยงกับบัญชีของคุณ) ก่อนที่คุณจะแจ้งให้ผู้รับจดทะเบียนใช้เซิร์ฟเวอร์ชื่อของพวกเขา

หากมีใครบางคนเชื่อมโยงโดเมนของคุณกับบัญชีของพวกเขาแล้วคุณจะพบว่าก่อนที่เซิร์ฟเวอร์ชื่อ DigitalOcean จะมีสิทธิ์ และหากเป็นเช่นนั้นให้คุยกับ DigitalOcean เกี่ยวกับการทำให้คนนั้นถูกบูทออกจากบัญชี

สอดคล้องกับแนวปฏิบัติที่ดีที่สุด {ns1, ns2, ns3} .DigitalOcean.com ไม่ได้ทำหน้าที่เป็นตัวแก้ปัญหาซ้ำสำหรับโดเมนที่โฮสต์อยู่ที่อื่น ถ้าพวกเขาทำและหากเซิร์ฟเวอร์ที่โฮสต์โดย DigitalOcean ใช้เซิร์ฟเวอร์เหล่านั้นเป็นตัวแก้ไขวัตถุประสงค์ทั่วไปก็จะมีปัญหาที่ใหญ่กว่ามาก สำหรับทุกสิ่งที่ทราบกันดีว่าเป็นการปฏิบัติที่ไม่ดีอาจไม่ใช่เรื่องยากที่จะหาผู้ให้บริการโฮสติ้งที่เข้าใจผิดซึ่งเปิดโอกาสให้เกิดการละเมิด

ฉันคิดว่าปัญหานี้หมายความว่าไม่มีใครควรใช้เนมเซิร์ฟเวอร์ (เช่น Digital Ocean's) เป็นตัวแก้ไขเนื่องจากใคร ๆ ก็สามารถสร้างเนมเซิร์ฟเวอร์สำหรับโดเมนที่มีอยู่ได้ การต่อสู้เพื่อควบคุมโดเมนนั้นไม่เกี่ยวข้องกับความเป็นเจ้าของโดเมนที่สามารถพิสูจน์ได้อย่างง่ายดาย แต่ความจริงที่ว่าใครบางคนสามารถยกตัวอย่างโดเมนที่มีอยู่ที่ไม่ได้โฮสต์บน Digital Ocean ไปยังที่ใดก็ได้ที่พวกเขาต้องการ

บรรทัดล่าง: อย่าเชื่อถือเซิร์ฟเวอร์ DNS ของบริการโฮสติ้งใด ๆ ที่ไม่จำเป็นต้องมีหลักฐานการเป็นเจ้าของโดเมน (ทำได้ง่ายและรวดเร็วเช่นโดยวิธีการที่แนะนำข้างต้น: โดยเพิ่มระเบียน TXT ด้วยค่าที่แน่นอนในโดเมนก่อน นี่คือสิ่งที่ Microsoft O365 และ Google ทำเป็นต้น)