ใครสามารถใช้เซิร์ฟเวอร์ DNS เดียวกันกับฉันจี้โดเมนของฉันได้ไหม


48

เมื่อฉันลงทะเบียนโดเมนใหม่ฉันจะส่งไปยังผู้ให้บริการโฮสต์ของฉันโดยกำหนดเซิร์ฟเวอร์ชื่อโดเมนในการตั้งค่าของ Registar ตัวอย่างเช่นด้วย Digital Ocean ฉันป้อนข้อมูลต่อไปนี้:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

ฉันเพิ่มการตั้งค่าโดเมนในบันทึก A ของเซิร์ฟเวอร์ของฉัน มันเกิดขึ้นกับฉันที่คนอื่น ๆ ในผู้ให้บริการโฮสต์เดียวกันสามารถเพิ่มระเบียน A ด้วยโดเมนที่ฉันเป็นเจ้าของ

มีสิ่งใดที่ทำให้ไม่สามารถเกิดเหตุการณ์นี้ได้หรือไม่? ถ้า 2 เซิร์ฟเวอร์ที่ต่างกันที่ใช้เซิร์ฟเวอร์ชื่อโดเมนเดียวกันพยายามกำหนดโดเมนให้ตัวเองผ่านระเบียน A โดเมนจะแก้ไขปัญหาได้จริงเมื่อคุณป้อนในเบราว์เซอร์ สิ่งที่ป้องกันการชนกันของชื่อโดเมนบนเซิร์ฟเวอร์ DNS เดียวกัน


7
Digital Ocean ป้องกันสิ่งหนึ่ง เพียงลองป้อนระเบียน A สำหรับโดเมนที่คุณไม่ได้เป็นเจ้าของ
Michael Hampton

4
คำถามคือพวกเขารู้ได้อย่างไรว่าใครเป็นเจ้าของโดเมน? มาก่อนเสิร์ฟก่อนไหม ดังนั้นใครก็ตามที่เพิ่มระเบียน A ก่อนสามารถใช้โดเมนได้
Eran Galperin

16
@EranGalperin สวัสดี! ฉันเป็นพนักงาน DigitalOcean บุคคลแรกที่เพิ่มโดเมนในบัญชีของพวกเขาสามารถตั้งค่าระเบียนได้ แต่เรามีขั้นตอนในการสร้างความเป็นเจ้าของในกรณีที่เกิดข้อขัดแย้ง
จาค็อบ

1
ปัญหาเช่นนี้คือสาเหตุที่ผู้ให้บริการ DNS รายใหญ่ (เช่น Network Solutions) เป็นผู้รับจดทะเบียน DNS ด้วย พวกเขาสามารถจัดการกับทั้งสองขั้นตอนได้ในคราวเดียวและทำให้แน่ใจว่าสิ่งต่าง ๆ ตรงกัน
Barmar

ดังที่ @Barmar กล่าวไว้ข้างต้นผู้รับจดทะเบียนส่วนใหญ่ยังให้บริการโฮสต์ DNS ซึ่งหลีกเลี่ยงปัญหาที่คุณอธิบายถึงแม้ว่าสถานการณ์ดูเหมือนจะไม่น่าเป็นไปได้และแก้ไขได้เล็กน้อย
Fred Thomsen

คำตอบ:


60

คุณจะไม่คำนึงถึงหัวข้อความคิดเห็นด้านล่างและคุณจะไม่คำนึงถึงคำตอบก่อนหน้านี้ในประวัติการแก้ไข หลังจากผ่านไปประมาณหนึ่งชั่วโมงของการสนทนากับเพื่อน ๆ (ขอบคุณ @joeQwerty, @Iain และ @JourneymanGeek) และมีการแฮ็กที่ร่าเริงรอบตัวเราไปถึงจุดสิ้นสุดของคำถามและสถานการณ์โดยรวม ขออภัยในความรุนแรงและเข้าใจผิดสถานการณ์ในตอนแรก

มาดูกระบวนการกันเถอะ:

  1. คุณซื้อwesleyisaderp.comที่ NameCheap.com
  2. Namecheap เป็นนายทะเบียนของคุณจะเป็นที่ที่คุณเติมระเบียน NS ของคุณ สมมติว่าคุณต้องการโฮสต์โซน DNS บน Digital Ocean
  3. คุณชี้ระเบียน NS เงาโดเมนใหม่ของคุณไปและns1.digitalocean.comns2.digitalocean.com
  4. แต่ขอบอกว่าผมก็สามารถที่จะตรวจสอบว่าคุณได้จดทะเบียนโดเมนนั้นและนอกจากว่าคุณได้เปลี่ยนระเบียน NS ของคุณเพื่อดิจิตอลมหาสมุทร จากนั้นฉันจะเอาชนะคุณในบัญชี Digital Ocean และเพิ่มโซน wesleyisaderp.com เป็นของฉันเอง
  5. คุณพยายามเพิ่มโซนใน*บัญชี* ของคุณแต่ Digital Ocean บอกว่าโซนนั้นมีอยู่แล้วในระบบของพวกเขา! โอ้โห!
  6. ฉัน CNAME ไปwesleyisaderp.comwesleyisbetterthanyou.com
  7. ความฮือฮาตามมา

เพื่อนบางคนและฉันเพิ่งเล่นสถานการณ์ที่แน่นอนนี้ออกมาและใช่มันทำงานได้ หาก @JoeQwerty ซื้อโดเมนและชี้ไปที่เนมเซิร์ฟเวอร์มหาสมุทรดิจิตอล แต่ฉันได้เพิ่มโซนนั้นในบัญชีของฉันแล้วฉันเป็นผู้ชำนาญในโซนและสามารถทำสิ่งที่ฉันต้องการได้

อย่างไรก็ตามให้พิจารณาว่ามีบางคนจะต้องเพิ่มโซนลงในบัญชี DNS ของพวกเขาก่อนจากนั้นคุณจะต้องชี้ระเบียน NS ของคุณไปยังเซิร์ฟเวอร์ชื่อของโฮสต์เดียวกันเพื่อให้สิ่งที่น่าสงสัยเกิดขึ้น นอกจากนี้ในฐานะเจ้าของโดเมนคุณสามารถสลับระเบียน NS ได้ทุกเมื่อที่คุณต้องการและย้ายความละเอียดออกจากโฮสต์ที่ไม่ดี

โอกาสที่จะเกิดเหตุการณ์นี้ค่อนข้างต่ำที่จะพูดน้อยที่สุด มีการกล่าวกันว่าตามสถิติคุณสามารถสับไพ่ 52 ใบและสั่งซื้อได้โดยที่ไม่มีมนุษย์คนใดได้รับและไม่มีใครอื่นที่จะทำ ฉันคิดว่าเหตุผลเดียวกันมีอยู่ที่นี่ โอกาสของคนที่ใช้ประโยชน์จากสิ่งนี้อยู่ในระดับต่ำมากและมีทางลัดที่ดีกว่าในการดำรงอยู่ซึ่งมันอาจจะไม่เกิดขึ้นโดยบังเอิญ

นอกจากนี้หากคุณเป็นเจ้าของโดเมนที่นายทะเบียนและบางคนเกิดขึ้นได้ทำโซนกับผู้ให้บริการเช่น Digital Ocean ที่คุณชนกันฉันแน่ใจว่าถ้าคุณแสดงหลักฐานการเป็นเจ้าของพวกเขาจะถามคนที่ทำ เขตในบัญชีของพวกเขาที่จะลบมันเนื่องจากไม่มีเหตุผลที่จะอยู่เพราะพวกเขาไม่ใช่เจ้าของชื่อโดเมน

แต่สิ่งที่เกี่ยวกับเรกคอร์ด A

บุคคลแรกที่มีโซนเปิดเช่น Digital Ocean จะเป็นโซนที่ควบคุม คุณไม่สามารถมีหลายโซนที่เหมือนกันในโครงสร้างพื้นฐาน DNS เดียวกัน ตัวอย่างเช่นการใช้ชื่อโง่ ๆ ข้างต้นถ้าฉันมี wesleyisaderp.com เป็นโซนใน Digital Ocean ไม่มีใครในโครงสร้างพื้นฐาน DNS ของ Digital Ocean สามารถเพิ่มลงในบัญชีของพวกเขา

นี่คือส่วนที่สนุก: จริง ๆ แล้วฉันได้เพิ่ม wesleyisaderp.com ลงในบัญชี Digital Ocean ของฉันจริงๆ! ไปข้างหน้าและลองเพิ่มเข้าไปในของคุณ มันจะไม่ทำร้ายอะไร

ดังนั้นคุณจึงไม่สามารถเพิ่มระเบียน A ไปยัง wesleyisaderp.com มันเป็นของฉันทั้งหมด

แต่แล้ว ...

ตามที่ @Iain ชี้ให้เห็นด้านล่างประเด็นที่ # 4 ด้านบนของฉันเป็นจริงเกินไป ฉันไม่ต้องรอหรือลงจุดหรือโครงร่างเลย ฉันสามารถสร้างหลายพันโซนในบัญชีแล้วนั่งรอ ในทางเทคนิค ถ้าฉันสร้างโดเมนหลายพันโดเมนจากนั้นรอให้พวกเขาลงทะเบียนแล้วหวังว่าพวกเขาจะใช้โฮสต์ DNS ที่ฉันตั้งค่าโซนไว้ที่ ... บางทีฉันอาจทำสิ่งที่ไม่ดีได้บ้าง อาจจะ? แต่อาจจะไม่

ขออภัยในมหาสมุทรดิจิตอลและชื่อราคาถูก

โปรดทราบว่า Digital Ocean และ NameCheap นั้นไม่ซ้ำกันและไม่มีส่วนเกี่ยวข้องกับสถานการณ์นี้ นี่เป็นพฤติกรรมปกติ พวกเขาไม่มีที่ติในทุกด้าน ฉันใช้มันตั้งแต่นั้นเป็นตัวอย่างที่ให้และพวกเขาเป็นแบรนด์ที่รู้จักกันดี


2
ฉันคิดว่าถ้าคุณต้องการยุ่งกับใครสักคนคุณสามารถตั้งค่าเช่นAและMXRR ที่มี TTL ที่ยาวมากชี้ไปยังโฮสต์ที่คุณควบคุมและค้อนเซิร์ฟเวอร์ DNS สาธารณะทั่วไป (เช่น Google หรืออาจ) ตัวแปรของการวางยาพิษในแคช ...
CVn

4
นอกจากนี้ยังแสดงให้เห็นถึงความเป็นเจ้าของโดเมนเพียงเล็กน้อยโดยการเปลี่ยนเซิร์ฟเวอร์ ns ที่ชี้ไปดังนั้นแม้ว่าจะมีใครทำ แต่ก็สามารถล้างข้อมูลได้อย่างรวดเร็วหากบริการลูกค้าของพวกเขาดี
JamesRyan

3
บันทึก @JamesRyan TXT ใช้เพื่อพิสูจน์ความเป็นเจ้าของในกรณีเช่นนี้
user9517 รองรับ GoFundMonica

4
@Wesley สิ่งนี้ถูกต้อง เรามีขั้นตอนในการจัดการกรณีที่มีข้อขัดแย้งของโซนกับบริการ DNS ของเรา
จาค็อบ

7
สถานการณ์แปลก ๆ ที่สิ่งนี้อาจเป็นไปได้มากขึ้นคือที่ซึ่งโดเมนถูกลงทะเบียนไว้ก่อนหน้านี้และมีการใช้งานที่ Digital Ocean และจากนั้นหมดอายุ / ไม่ได้ต่ออายุ แต่โซนไม่ถูกลบออกจาก digitalocean มีคนเข้ามารวมกันเป็นโดเมน 'ใหม่' (ไม่ทราบว่าเป็นเจ้าของมาก่อน) จากนั้นพยายามสร้างโซนที่ Digital Ocean สิ่งนี้สามารถป้องกันได้หากโฮสต์ DNS กำจัดโซนเป็นระยะ ๆ ซึ่งไม่ได้เป็นเนมเซิร์ฟเวอร์อีกต่อไป (ไม่มีวิธีการแก้ไขข้อขัดแย้งดังกล่าวข้างต้น)
แอชลีย์

32

นอกจากคำตอบที่ยอดเยี่ยมของเวสลีย์ฉันต้องการเพิ่มว่ามีวิธีแก้ไขปัญหานี้แล้ว มันเรียกว่า DNSSEC

พื้นฐานคือ:

  • คุณลงทะเบียนโดเมนของคุณ (ฉันจะไปกับชื่อเด่นwesleyisaderp.comที่นี่เพียงเพราะ)
  • คุณลงทะเบียนเซิร์ฟเวอร์ชื่อของคุณกับผู้รับจดทะเบียนของคุณโดยปกติจะผ่านเว็บอินเตอร์เฟสที่คุณรับรองความถูกต้องด้วยชื่อผู้ใช้ / รหัสผ่านผสม
  • คุณยังสร้างคู่คีย์สาธารณะ / ส่วนตัวและคุณอัปโหลดคีย์สาธารณะของคุณไปยังนายทะเบียนของคุณในรูปแบบของระเบียน DNSKEY (นั่นคือวิธีที่ผู้รับจดทะเบียนสามารถตั้งค่าเครือข่ายของความไว้วางใจให้กับเซิร์ฟเวอร์รูทสำหรับโดเมนระดับบนสุด - ในกรณีนี้เซิร์ฟเวอร์รากสำหรับ.com) อีกครั้งคุณอัปโหลดสิ่งนี้เมื่อคุณลงชื่อเข้าใช้ด้วยชื่อผู้ใช้ / รหัสผ่านของคุณเอง คำสั่งผสมดังนั้นจึงเชื่อมต่อกับโดเมนของคุณและไม่ใช่กับบุคคลอื่น
  • คุณไปที่เนมเซิร์ฟเวอร์คุณป้อนบันทึกของคุณและคุณเซ็นชื่อไฟล์โซนผลลัพธ์ด้วยรหัสส่วนตัวของคุณ หรือหากคุณมีเว็บอินเตอร์เฟสไปยังบริการโฮสต์ DNS ของคุณคุณจะต้องอัปโหลดรหัสส่วนตัวให้พวกเขาเพื่อให้พวกเขาสามารถเซ็นชื่อไฟล์โซนเหล่านั้นได้
  • เมื่อเวสลีย์พยายามที่จะขโมยโดเมนของคุณและ CNAME อย่างหยาบคายwesleyisbetterthanyou.comเร็กคอร์ดของเขาจะไม่ได้รับการยอมรับจากเซิร์ฟเวอร์โดเมนรูท. com เพราะพวกเขาไม่ได้เซ็นชื่อด้วยคีย์ที่ถูกต้อง หากผู้ให้บริการโฮสต์ DNS ของคุณฉลาดพวกเขาจะตรวจสอบทันทีจากค้างคาวและจะไม่อนุญาตให้เขาพยายามเพิ่มระเบียนลงในโดเมนนั้นเว้นแต่เขาจะได้รับรหัสส่วนตัวที่ถูกต้อง
  • เมื่อคุณป้อนบันทึกของคุณเองพวกเขาจะได้รับการลงนามโดยปุ่มขวาดังนั้นพวกเขาจะทำงาน
  • ตอนนี้คุณสามารถนั่งและหัวเราะเยาะเวสลีย์

(ในกรณีดั้งเดิมสิ่งที่ Wesley อธิบายถึงข้อผิดพลาดหลักคือ Digital Ocean ไม่ได้ตรวจสอบความเป็นเจ้าของโดเมนก่อนที่จะอนุญาตให้บางคนตั้งค่าระเบียน DNS สำหรับมันโชคไม่ดีที่พวกเขาไม่ได้อยู่คนเดียวในเรื่องนี้ ของนายทะเบียนชาวสวีเดนอย่างน้อยหนึ่งคนที่มีปัญหาเดียวกัน)


1
อยากทราบว่าผู้ให้บริการโฮสต์ DNS ที่ไม่ใช่ DNSSEC DNS จะตรวจสอบความเป็นเจ้าของก่อนที่จะอนุญาตให้สร้างโซนได้อย่างไร ฉันยังลองใช้ Amazon Route53 และฉันสามารถสร้างโซนใดก็ได้ที่ฉันต้องการ
Wesley

พวกเขาอาจจะเคยชินมันจะต้องมีการทดลองใช้และการตรวจสอบข้อผิดพลาด เพียงแค่คาดเดาการลบข้อผิดพลาดยังคงเป็นไปได้ด้วยเทคนิค ux (หน้าจอควัน) บางอย่าง
Sampo Sarrala

@ เวสลีย์ฉันไม่ได้พิจารณากลไก แต่อย่างน้อยการตรวจสอบบางอย่างเกี่ยวกับการบันทึก whois หรือการตรวจสอบประเภทเดียวกันกับที่ผู้ขายใบรับรอง SSL ราคาถูกจะทำงานได้ หากพวกเขาสามารถทำได้ทำไมไม่สามารถโฮสต์ บริษัท ได้
Jenny D พูดว่า Reinstate Monica

1
@ JennyD ความสะดวกสบายส่วนใหญ่! การแย่งชิงโดเมนประเภทนี้หายากและตรวจจับได้ง่ายกว่าที่จะแก้ไขเมื่อเกิดขึ้นแทนที่จะทำให้ผู้ใช้ถูกกฎหมายทุกคนกระโดดข้ามห่วงเพื่อป้องกัน
duskwuff

@duskwuff เมื่อความสะดวกและความขัดแย้งด้านความปลอดภัยความสะดวกสบายมักจะชนะ ... ฉันยอมรับว่าการจี้โดเมนน่าจะเป็นของหายาก - แต่สิ่งที่เกี่ยวกับความผิดพลาดง่าย ๆ โดยไม่เจตนาร้าย? IMAO เป็นความประมาทของ DNS hosters ที่จะไม่ทำการตรวจสอบใด ๆ
Jenny D พูดว่า Reinstate Monica

6

คุณจะถูกต้องตราบเท่าที่คุณอ้างสิทธิ์ความเป็นเจ้าของโดเมนที่ DigitalOcean (เช่นเชื่อมโยงกับบัญชีของคุณ) ก่อนที่คุณจะแจ้งให้ผู้รับจดทะเบียนใช้เซิร์ฟเวอร์ชื่อของพวกเขา

หากมีใครบางคนเชื่อมโยงโดเมนของคุณกับบัญชีของพวกเขาแล้วคุณจะพบว่าก่อนที่เซิร์ฟเวอร์ชื่อ DigitalOcean จะมีสิทธิ์ และหากเป็นเช่นนั้นให้คุยกับ DigitalOcean เกี่ยวกับการทำให้คนนั้นถูกบูทออกจากบัญชี

สอดคล้องกับแนวปฏิบัติที่ดีที่สุด {ns1, ns2, ns3} .DigitalOcean.com ไม่ได้ทำหน้าที่เป็นตัวแก้ปัญหาซ้ำสำหรับโดเมนที่โฮสต์อยู่ที่อื่น ถ้าพวกเขาทำและหากเซิร์ฟเวอร์ที่โฮสต์โดย DigitalOcean ใช้เซิร์ฟเวอร์เหล่านั้นเป็นตัวแก้ไขวัตถุประสงค์ทั่วไปก็จะมีปัญหาที่ใหญ่กว่ามาก สำหรับทุกสิ่งที่ทราบกันดีว่าเป็นการปฏิบัติที่ไม่ดีอาจไม่ใช่เรื่องยากที่จะหาผู้ให้บริการโฮสติ้งที่เข้าใจผิดซึ่งเปิดโอกาสให้เกิดการละเมิด


ดังนั้นหาก DigitalOcean ยังไม่ได้รับอนุญาตสำหรับโดเมนและลูกค้าที่มีศักยภาพหลายรายทั้งคู่อ้างว่าเป็นเจ้าของโดเมน DigitalOcean จะรู้ได้อย่างไรว่าลูกค้ารายใดที่กำลังบอกความจริง พวกเขาจะให้สิทธิ์การเข้าถึงครั้งแรกเพื่อสร้างระเบียนและกำหนดเวลาในการอัปเดตระเบียน NS เพื่อพิสูจน์การควบคุมโดเมนหรือไม่ หรือพวกเขาจะให้ลูกค้าที่มีศักยภาพแต่ละกลุ่มย่อยของเซิร์ฟเวอร์ที่มีสิทธิ์ที่จะใส่ในระเบียน NS หรือไม่
kasperd

2
@kasperd เจ้าของที่ถูกต้องตามกฎหมายชี้จุดที่ระเบียน NS ทุกที่ที่พวกเขาต้องการและจากนั้นกำหนดค่าตัวอย่างเช่นระเบียน TXT ที่พิสูจน์ว่าพวกเขาเป็นเจ้าของเพราะมันมีข้อมูลเฉพาะที่ผู้ให้บริการให้ เป็นที่ยอมรับเล็กน้อยว่าเป็นพลับพลา แต่สำหรับโอกาสที่หาได้ยากซึ่งสิ่งนี้อาจเกิดขึ้นมันค่อนข้างง่ายกว่าการให้ทุกคนพิสูจน์ความเป็นเจ้าของก่อนที่จะนำพวกเขามาด้วย
user9517 รองรับ GoFundMonica

@kasperd บ่อยครั้งที่ระเบียน whois ระบุเจ้าของที่ถูกต้องแม้ว่าบางครั้งผู้คนก็มีเหตุผลที่จะปิดบังข้อมูลนั้น ไม่ว่าในกรณีใดถ้าคุณบอกให้ DO ทำการเชื่อมโยงโดเมนกับบัญชีของคุณเพื่อที่จะทำให้มันมีสิทธิ์ DO อาจให้ไทม์ไลน์ของนักต้มตุ๋นเพื่ออัพเดทผู้รับจดทะเบียนหรือยกเลิกการเชื่อมโยงโดเมนที่ DO เจ้าของที่ถูกกฎหมายอาจต้องรอสักหน่อยนั่นคือทั้งหมด
mc0e

0

ฉันคิดว่าปัญหานี้หมายความว่าไม่มีใครควรใช้เนมเซิร์ฟเวอร์ (เช่น Digital Ocean's) เป็นตัวแก้ไขเนื่องจากใคร ๆ ก็สามารถสร้างเนมเซิร์ฟเวอร์สำหรับโดเมนที่มีอยู่ได้ การต่อสู้เพื่อควบคุมโดเมนนั้นไม่เกี่ยวข้องกับความเป็นเจ้าของโดเมนที่สามารถพิสูจน์ได้อย่างง่ายดาย แต่ความจริงที่ว่าใครบางคนสามารถยกตัวอย่างโดเมนที่มีอยู่ที่ไม่ได้โฮสต์บน Digital Ocean ไปยังที่ใดก็ได้ที่พวกเขาต้องการ

บรรทัดล่าง: อย่าเชื่อถือเซิร์ฟเวอร์ DNS ของบริการโฮสติ้งใด ๆ ที่ไม่จำเป็นต้องมีหลักฐานการเป็นเจ้าของโดเมน (ทำได้ง่ายและรวดเร็วเช่นโดยวิธีการที่แนะนำข้างต้น: โดยเพิ่มระเบียน TXT ด้วยค่าที่แน่นอนในโดเมนก่อน นี่คือสิ่งที่ Microsoft O365 และ Google ทำเป็นต้น)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.