와일드 카드 DNS 레코드는 나쁜 습관입니까?


18

호스트에게 A 레코드의 IP를 가리키는 세 개의 하위 도메인을 추가하도록 요청했습니다. 임의의 하위 도메인이 이제 내 IP로 확인되므로 와일드 카드 DNS 레코드를 추가 한 것 같습니다. 다른 곳을 가리키는 하위 도메인이 없기 때문에 기술적 인 관점에서 이것은 괜찮습니다. 그런 다음 다시는 내가 요청한 것을하지 않는 것을 좋아하지 않습니다. 그리고 나는 그에게 그것을 바꾸라고 다른 이유가 있는지 궁금합니다. 거기 아무도 없나요?

내가 찾은 유일한 부정적인 점은 누군가가을 사용하여 내 사이트에 연결할 수 있다는 것 http://i.dont.like.your.website.mywebsite.tld입니다.


8
" i.dont.like.your.website.mywebsite.tld "를 사용하여 누군가 서버에 연결할 수 있지만 서버가 호스트 헤더 나 가상 호스트를 통해 응답하도록 구성되어 있지 않으면 서버가 응답하지 않아야합니다.
joeqwerty

6
경우에 따라 와일드 카드가 필요할 수 있습니다. 예를 들어, 워드 프레스와 같은 멀티 테넌트 (multi-tenant) 웹 어플리케이션은 하위 도메인을 사용하여 자동으로 산란 새로운 인스턴스를 구성 할 수 있습니다 - 예를 들어 site1.blog.example.com, site2.blog.example.com - 장소에서 와일드 카드로 *.blog.example.com, 당신은 돈 개별적으로 구성 할 필요가 없습니다.
jscott

답변:


16

컴퓨터를 해당 도메인에 넣은 경우 인터넷에서 임의의 사이트를 방문하려고 할 때 기괴한 DNS 오류가 발생합니다.

고려 : 도메인을 소유하고 있습니다 example.com. 워크 스테이션을 설정하고 이름을 지정하십시오. ...라고하자 yukon.example.com. 이제 당신은 그것 /etc/resolv.conf의 라인 이 있음을 알 수 있습니다 :

search example.com

www를 들어 www.example.com자동으로 검색하는 호스트 이름 조회를 수행 할 수 있기 때문에 편리 합니다. 그러나 구글과 같은 사이트를 방문하면을 검색하고 www.google.com.example.com, 와일드 카드 DNS가 있으면 사이트로 연결되며, 구글에 도달하는 대신 자신의 사이트를 검색하게됩니다.

이것은 당신이 당신의 웹 사이트를 실행 하는 서버 에 동일하게 적용됩니다 ! 외부 서비스를 호출해야하는 경우 호스트 이름 조회가 같은 방식으로 실패 할 수 있습니다. 그래서 api.twitter.com예를 들어 갑자기된다 api.twitter.com.example.com루트 직접 당신의 위치 등을 맞댄, 물론 실패의.

이것이 와일드 카드 DNS를 절대 사용 하지 않는 이유 입니다.


3
@ChrisLively Blame 현대 리눅스 시스템은 "도움이되고"추가 한 것으로 알려졌다. ".local"을 사용하는 BTW는 실제로 Windows 환경뿐만 아니라 나쁜 습관입니다.
Michael Hampton

6
실제로 Windows 환경과 관련하여 블로그를 작성했습니다 . ICANN이 충분한 지갑을 가진 사람에게 판매하고 있기 때문에 적어도 3 개의 그룹이 .local TLD에 입찰했다는 것은 말할 것도 없습니다. .local예약되어 있지 않으며 사용해서는 안됩니다. 그렇게하면 RFC를 위반하므로 전혀 필요하지 않습니다. 모범 사례는 같은 내부 리소스에 위임 된 3 단계 하위 도메인을 사용하는 것 internal.company.com입니다. 무언가를 많이 본다고해서 제대로되지는 않습니다.
MDMarra

2
RFC 2606의 섹션을 알려 주 .local시겠습니까? 나는이 논쟁에서 그것을 사용하는 사람들과이 RFC를 적어도 12 번 읽었으며 그것이 없다고 확실히 말할 수있다.
MDMarra

2
@Zypher 실제로 Microsoft에서 권장하지는 않았지만 (내 블로그 게시물에서도 마찬가지입니다. 읽어보십시오. 좋은 기사입니다) .local기본적으로 SBS를 사용하여 배송 한 사실은 실제로 MS를 엉망처럼 보이게했습니다. SBS는 기술 지식이 낮은 비 기술 고객을위한 것이기 때문에 해당 구성과 함께 제공됩니다. 저항이 가장 적은 경로 였지만 실제 AD 문서는 W2K 시대에 3 단계 하위 도메인을 추천합니다.
MDMarra

3
아, 그리고 몇 년 안에 .local에 대한 인증서를 얻는 것이 매우 어려울 것 입니다. 즉, Lync / Exchange에 대한 UCC / SAN 인증서는 내부 CA에 의해 서명되어 외부 비 도메인에 가입하면 고통스러워집니다. 사용자.
MDMarra

14

와일드 카드 DNS 레코드는 나쁜 습관입니까?

개인적으로는 마음에 들지 않습니다. 특히 해당 도메인에 머신이있는 경우. 오타는 확인되지 않고 오류는 덜 분명하지만 근본적으로 문제는 없습니다.

내가 찾은 유일한 부정적인 점은 누군가 http : //i.dont.like.your.website.mywebsite.tld를 사용하여 내 사이트에 연결할 수 있다는 것 입니다.

http 서버가 이러한 모든 요청을 올바른 정식 주소로 리디렉션하도록하거나 전혀 응답하지 않도록하십시오. nginx의 경우 다음과 같습니다 .

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

그리고 정규

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

7

그것은 모두 의견의 문제입니다. 나에게는 나쁜 습관이 아닙니다.

테넌트 당 데이터베이스를 사용하는 다중 테넌트 앱을 만들고 있습니다. 그런 다음 하위 도메인을 기반으로 사용할 데이터베이스를 선택합니다.

예를 들어 데이터베이스 milkman.example.com를 사용 tenant_milkman합니다.

이처럼 각 세입자에 대한 테이블을 분리 한 같은, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, 내 의견으로는 대신 같은 테이블에있는 모든 회사의 모든 사용자가 필요없이,이 특정 응용 프로그램에 대한 유지하기 위해 엄청난 훨씬 쉽게이다.

[edit - Michael Hampton has a good point]

당신이 경우에 그 존재는 말했다 하지 않는 내가처럼, 당신이 그들을 받아 들일한다, 어떤 (변수) 하위 도메인을 수용 할 수있는 특정 이유가 있습니다.


4
와일드 카드 DNS를 사용해야하는 좋은 기술적 이유가 있습니다. 대부분의 사람들은 그렇지 않습니다.
Michael Hampton

1
사실, 이것은 나에게 매우 위험한 것 같습니다-도메인 이름을 변경하여 임의의 데이터베이스에 액세스 할 수 있습니다. 이것이 일종의 주입 취약점이라고 주장합니다. 틀림없이 그것은 반드시 악용 가능한 것은 아니지만 왜 기회를 잡을까요?
sleske 2012 년

1
@sleske 사용자가 해당 데이터베이스의 해당 하위 도메인에 대해 인증해야하므로 그렇지 않습니다. 그가 전환하면 완전히 다른 "사이트"로 간주되므로 다시 인증해야합니다.
Pedro Moreira

@PedroMoreira : 그렇습니다. 공격면이 줄어 듭니다. 여전히 임의의 데이터베이스에 대한 액세스를 제공하는 것은 위험 해 보입니다. 예를 들어, 동일한 자격 증명을 가진 백업 데이터베이스가 있지만 주 DB에서 제거 된 데이터가 있으면 이름을 아는 사람은 누구나 액세스 할 수 있습니다. 그러나 보안은 항상 절충안이라는 것을 알고 있습니다. 단지 내재 된 위험을 지적하고 싶었습니다.
sleske 2012 년

1
@sleske 그렇기 때문에 모든 액세스 가능한 데이터베이스 앞에 접두사가 붙습니다 tenant_. 응용 프로그램이 응용 프로그램에 연결할 수 없는지 확인했습니다.
Pedro Moreira

2

여기에 또 다른 문제는 SEO입니다. 모두 *.example.com동일한 콘텐츠를 표시하는 경우 적어도 Google ( https://support.google.com/webmasters/answer/66359 ) 에서 웹 사이트를 잘못 참조 합니다.


두 점 모두 직교합니다. 모든 이름이 동일한 IP를 가리켜도 웹 서버는 요청 된 이름을 가져와 완전히 다른 컨텐츠를 전달할 수 있습니다.
Patrick Mevzek

이것이 바로 "* .example.com이 동일한 콘텐츠를 표시하는 경우"라고 미리 정한 이유입니다. SEO 위험은 언급하기에 흥미로운 것으로 들립니다.
Clément Moulin-

"SEO 위험은 언급 할만한 흥미로운 것이 나에게 들린다." 어쩌면 와일드 카드 사용과는 전혀 관련이 없습니다. 와일드 카드없이 단일 IP 주소로 해석되는 여러 별도의 이름을 가질 수 있으며 따라서 SEO 위험이 있거나없는 위험이 있습니다. 와일드 카드를 사용해도 여기에서 어떤 방향으로도 변경되지 않습니다.
Patrick Mevzek

0

하나의 웹 서버에서 하나의 하위 도메인 a.company.com을 호스트하고 다른 웹 서버에서 b.company.com을 호스팅하려는 경우 다른 ISP 일 수 있다고 가정 해보십시오. 넌 뭐 할거야 ?. 따라서 와일드 카드 DNS는 옵션이 아니며 정확해야합니다. 각 하위 도메인에 대해 A 레코드를 작성하고 관련 IP를 가리 킵니다. 한 ISP에서 다른 ISP로 웹 서버를 이동할 가능성이 있습니까?이 경우 어떻게 하시겠습니까?


0

나는 이것이 오래된 질문이라는 것을 알고 있지만 와일드 카드 도메인을 사용하면 문제가 발생할 수있는 실제 사례를 공유하고 싶습니다. 그러나 도메인 이름을 변경하고 당황을 막기 위해 전체 SPF 레코드를 숨길 것입니다.

DMARC에 문제가있는 사람을 도와주었습니다. 수표의 일부로 항상 DIG로 DMARC 레코드를 조회합니다

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

DKIM 레코드를 찾을 때도 같은 결과를 얻었습니다.

결과적으로이 도메인에서 전송 된 이메일은 DKIM 모듈이 DKIM 키에 대한 SPF 레코드 구문 분석을 시도하고 실패 할 때 DKIM 실패를 가져오고 동일한 이유로 DMARC에 대한 Permerror를받습니다.

와일드 카드 도메인은 좋은 생각처럼 보이지만 잘못 설정하면 모든 종류의 문제가 발생할 수 있습니다.


-2

와일드 카드 DNS 레코드는 나쁜 습관입니까?

아니요, 다른 사람들과 달리 이것이 좋은 습관이라고 생각합니다.

대부분의 인터넷 사용자는 어느 시점에서 DNS 이름을 지목합니다. 그들은 입력 ww.mycompany.com하거나 wwe.mycompany.com 당신은 오히려 "그 사이트를 찾을 수 없습니다 죄송합니다"또는 그들이 당신의 기본 홈페이지를 끌어 올리려면 어떻게 하시겠습니까? 기본 홈페이지를 가져 오지 않는 것보다 더 자주 사용하는 것이 좋습니다. 많은 사람들이하는 일입니다.

누군가가 링크를하더라도 i.dont.like.your.website.whatever.com여전히 귀하의 홈페이지를 끌어 올릴 입니다. 결국, 그들은 그 i.dont....사이트를 그들의 서버로 옮길 수 없으며 , 여전히 DNS 라우팅을 제어하여 귀하의 사이트로갑니다.


5
이 추론에서 내가 가진 문제는 1. 오류 처리가 중단되고 2. 와일드 카드 레코드가 다른 프로토콜에도 영향을 미치는 동안 완전히 www 중심입니다. 그 결과 패치 작업을 시도하지 않은 다른 작업에 대한 오류 처리가 중단되었습니다.
Håkan Lindqvist

-2

먼저 와일드 카드 DNS 레코드를 사용하지 않는 가장 좋은 이유는 서버 IP 주소를 잠재적 인 공격자에게 제공하지 않고 DDOS 공격에 대한 노출을 줄이려는 것입니다. Cloudflare의 권장 설정 : https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/


2
와일드 카드 도메인을 사용해도 그러한 공격에 대한 노출은 변경되지 않습니다. 링크가 귀하의 잘못된 주장을 지원하지 않습니다. 그 모든 링크는 Cloudflare가 와일드 카드 도메인에 더 높은 가격을 부과하고 있다고 말합니다. Cloudflare의 비즈니스 모델과 와일드 카드 도메인 사용에 대한 내용은 없습니다.
kasperd

cloudflare와 함께 와일드 카드 dns를 사용하면 cloudflare를 거치지 않기 때문에 (엔터프라이즈 비용을 지불하지 않는 한 대부분의 사용자는 그렇지 않음) 누구나 구성된 하위 도메인을 ping하여 실제 IP를 찾을 수 있습니다. 와일드 카드가 없으면 사용할 수 없습니다. 그것이 전부입니다.
Michael Rogers

예. 그러한 서비스의 경우 와일드 카드 보호에 대한 추가 요금이 부과 될 수 있습니다. 이 질문은 이러한 유형의 서비스에 관한 것이 아니라 와일드 카드 dns에 관한 것이지 정상적인 상황에서 수행되어야하는지 여부입니다.
크리스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.