누군가 도메인의 하위 도메인을 다른 사람의 IP 주소로 어떻게 지적 했습니까?

우리는 기본 도메인을 소유합니다 :

businessdts.com

관리자가 "BDASERVER.businessdts.com."이라고 요청한 하위 도메인을 만들 었는지 몰랐으므로 브라우저로 연결하려고했는데 "찾을 수 없음"이 표시되었습니다. 그런 다음 해당 하위 도메인을 핑 (ping)하고 우리에게 속하지 않은 IP 주소를 얻었습니다.

32 바이트의 데이터로 BDASERVER.businessdts.com [198.105.244.117] 핑
우리의 도메인과 모든 하위 도메인 한다 [173.203.24.209을]의 IP 주소가

관리자가 모든 DNS 영역을 확인하도록하고 BDASERVER 하위 도메인의 인스턴스를 찾지 못했습니다 (관리자가 아직 생성하지 않았 음). 198.105.244.117 IP 주소의 인스턴스도 찾지 못했습니다.

IP 조회를 통해 198.105.244.117은 Search Guide Inc. (searchguideinc.com)라는 회사에 속합니다. 그들은 일종의 도메인 브로커 인 것 같습니다.

뭔가 빠졌습니까?

이 BDASERVER 하위 도메인은 우리의 주소가 아닌 주소로 어떻게 해석됩니까?
누군가가 SUB 도메인을 어떻게 납치합니까?

domain-name-system subdomain hijack

— CBruce
소스

이 조회를 실행할 때 어떤 DNS 서버를 사용하고 있습니까? 조회에서 해당 이름을 확인하지 못했습니다. 이것은 나에게 NXDOMAIN 하이재킹 냄새가 난다.

— joeqwerty

우리의 네임 서버는 NS.RACKSPACE.COM과 NS2.RACKSPACE.COM, @joeqwerty입니다. BDASERVER와 와일드 카드 하위 도메인을 설정하면 하이재커를 재정의하는 것처럼 보입니다. 내가이 문제에 대해 알게 된 유일한 방법은 하위 도메인에 대해 핑을 수행했을 때였습니다.

— CBruce

죄송합니다. 내 의견을 명확히해야합니다. 컴퓨터가 DNS 확인에 어떤 DNS 서버를 사용하는지 묻고 있습니까? 이들은 도메인 이름의 이름 서버가 아니라 NXDOMAIN 응답을 가로채는 이름 서버입니다.

— joeqwerty

답변:

여기 다른 사람들이 제안했듯이 이것은 실제로 ISP 표준입니다. ATT는 나에게도 그렇게합니다. 요청한 도메인을 찾을 수없고 DNS 레코드가 기본 대상을 가리 키지 않는 경우 (표준 DNS를 사용하는 것보다 DNS를 관리하는 서버에서 해당 도메인을 설정할 수 있으며 DNS를 관리 할 것임) -도메인 이름을 등록한 위치에 로그인하고 dns 관리를 클릭하십시오). "와일드 카드"리디렉션 레코드를 추가해야합니다. 이렇게하면 항상 정의되지 않은 트래픽을 기본 웹 페이지 또는 기본 웹 사이트의 색인 페이지로 지정할 수 있습니다. 기본 DNS 설정

결론-도메인 이름과 서버를 관리하는 경우 기본 와일드 카드를 설정하고 존재하지 않는 페이지를 요청할 때 웹 서버를 가리 키도록 사용자 정의 오류 페이지를 추가 할 수도 있습니다-로고를 추가하고 다시 링크하십시오. 작은 사이트 검색 스크립트 나 그 안에 무언가가있는 기본 사이트 ... 웹 사이트에서 리소스 나 html 페이지를 요청하는 것은 매우 성가신 일입니다. 심지어 사이트의 다른 페이지에있는 링크 중 하나를 클릭해도 추악한 "400 오류 "페이지가 나타납니다. 오류를 처리하고 고객을 유지함으로써 사용자 경험을 보존하기 위해 많은 비즈니스가 할 수 있습니다. 또한 "보고서 링크 링크"를 포함시키는 것이 좋습니다.

나는 지금 주제를 벗어났습니다.하지만 분명히 OP는 ISP가 오류를 가로 챌 수있는 원인에 대해 조금 더 알아야합니다 ... DNS 핸들러는 요청되지 않은 하위 도메인에 유용한 응답을 제공하지 않습니다. ISP는 대신 수익 창출 페이지를 제공합니다. 그래도 쉬운 수정!

— 고지 피
소스

"이것은 ISP 표준입니다" 로캘에 따라 크게 달라집니다. 내가 사용한 ISP 중 어느 것도 그것을하지 못했습니다 (현재 현재 ISP가 시작하면 나에게서 듣고있을 것입니다 ...).

— CVn

이것을 "표준"이라고 부르기 위해, 이것은 해당 RFC에서 BCP이거나 적어도 MAY 일 수 있습니다 . 나는 그것을 의심합니다.

— Hagen von Eitzen

슬프게도 ISP (적어도 미국에서는 여기)와 같은 이윤 주도 기업은 BCP와 RFC 및 기타 표준에 거의 관심이 없습니다. 따라서 실제 표준은 게시 된 표준과 매우 거리가 멀어 질 수 있습니다.

— Doktor J

@DoktorJ 어떤 의미에서, 그들이 인터넷의 느슨한 표준 인 RFC 를 의도적으로 깰 경우 , 서비스 제공 업체가 제공하는 것은 인터넷이 아닙니다. ... 내 2c

— Hagen von Eitzen

ISP는 DNS 요청에 대한 사기 응답을 반환하는 것이 도움이 될 수 있다고 생각하지만 도움이 될 수 있다고 생각하는 사람은 고객이 아닙니다.

— Jon Hanna

해당 하위 도메인에 대한 레코드가 없습니다.

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

ISP의 DNS가 NXDOMAIN 하이재킹이라는 작업을 수행하고있을 가능성이 높습니다. NXDOMAIN DNS 응답을 납치하고 적절한 NXDOMAIN (위와 같이)으로 응답하는 대신 "검색"페이지의 IP 주소를 제공합니다. 그들을위한 광고 수익.

ISP와 이야기를 나누고 트래픽 방해를 중단하도록 요청합니다. 거부하는 경우 더 나은 ISP를 얻거나 트래픽에 다른 리졸버를 사용하십시오.

— EEAA
소스

확인했습니다. 해당 IP 주소 는 NXDOMAIN 하이재킹의 알려진 대상인 Search Guide Inc에 등록되어 있습니다.

— Michael Hampton

그리고 이것이 등록 기관이 "방어적인"등록에서 많은 것을 만드는 이유 중 일부입니다. (

— Gypsy Spellweaver

계속해서 DNS 영역에 BDASERVER 하위 도메인을 만들면 저크가 수행하는 작업을 대체하고 올바르게 작동합니까?

— CBruce

@CBruce 그렇습니다. 그런 다음 DNS 확인자를 변경하십시오. :)

— EEAA

@CBruce 글쎄, 그들이 조작 응답에 가짜 TTL에 따라 시간이 걸릴 수 있습니다

— Hagen von Eitzen

누군가 NXDOMAIN 하이재킹을 수행하여 존재하지 않는 하위 도메인 또는 해당 DNS 항목을 가리키면 욕심 많은 DNS 소유자가 광고 기반 페이지를 가리 키도록 항목을 다시 작성합니다.

이에 대한 매우 간단한 답변이 있습니다. 도메인에서 DNSSEC를 활성화하면 다른 DNS (예 : ISP)의 답변을받을 수 없습니다.

— 막스 도르
소스

이 클라이언트가 DNSSEC의 유효성을 검사 가정 및 ISP에의 악마의 DNS 서버가 DNSSEC 레코드를 제거하지 않습니다. includeSubDomains가있는 Strict-Transport-Security 헤더는 DNSSEC를 추가하는 것보다 하위 도메인 하이재커를 더 손상시킬 수 있습니다.

— Ángel

완전히 동의했습니다. 오늘날, DNS는 DNS 보안 문제에 대해 논란의 여지가 없습니다 (DNS 쿼리를 사용하는 이유는 무엇입니까?). 그러나 DNSSEC 레코드를 제거하는 것은 ISP가 단순히 밟을 수없는 NXDOMAIN 응답을 가로채는 것과는 완전히 다른 수준입니다.

— Max Dor

예, 이것은 사실입니다. 이 조언에 유의하십시오.

— GoZippy 2012