Может ли кто-то использовать тот же DNS-сервер, что и я, взломать мои домены?

Когда я регистрирую новый домен, я отправляю его своему хостинг-провайдеру, назначая ему серверы доменных имен в настройках регистратора. Например, в Digital Ocean я ввожу следующее:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Затем я добавляю настройки домена в запись A моего сервера. Мне просто пришло в голову, что любой другой провайдер хостинга может добавить запись A с моим доменом.

Есть ли что-нибудь, препятствующее этому? если 2 разных сервера, использующих один и тот же сервер доменных имен, попытаются присвоить себе домен через записи A, где домен будет фактически разрешен при вводе его в браузере? что предотвращает конфликты доменных имен на одном DNS-сервере?

Не берите в голову раздел комментариев ниже, и никогда не возражаете против предыдущих ответов в истории редактирования. Примерно через час после некоторого разговора с друзьями (спасибо @joeQwerty, @Iain и @JourneymanGeek) и некоторого веселого взлома мы поняли как ваш вопрос, так и ситуацию в целом. Извините за грубость и неправильное понимание ситуации вначале.

Давайте пройдемся по процессу:

1. Вы покупаете wesleyisaderp.com, скажем, на NameCheap.com.
2. Namecheap как ваш регистратор будет там, где вы заполняете свои записи NS. Допустим, вы действительно хотите разместить зону DNS в Digital Ocean.
3. Вы указываете записи NS вашего нового блестящего домена на ns1.digitalocean.comи ns2.digitalocean.com.
4. Однако, допустим, я смог определить, что вы зарегистрировали этот домен, и, кроме того, вы изменили свои записи NS на Digital Ocean . Затем я перевел вас на учетную запись Digital Ocean и добавил зону wesleyisaderp.com к своей.
5. Вы пытаетесь добавить зону в * вашу * учетную запись, но Digital Ocean сообщает, что зона уже существует в их системе! О нет!
6. Я CNAME wesleyisaderp.comдля wesleyisbetterthanyou.com.
7. Веселье наступает.

Некоторые друзья и я только что разыграли этот точный сценарий, и да, это работает. Если @JoeQwerty покупает домен и указывает его на серверы имен Digital Ocean, но у меня уже есть эта зона, добавленная в мою учетную запись, то я владелец зоны и могу делать с ней все, что захочу.

Однако учтите, что кто-то должен будет сначала добавить зону в свою учетную запись DNS, а затем вам нужно будет направить свои записи NS на серверы имен того же хоста, чтобы произошло что-то ужасное. Более того, как владелец домена, вы можете в любое время переключать записи NS и переносить разрешение с хоста «плохой зоны».

Вероятность того, что это произойдет, немного ниже, если не сказать больше. Говорят, что, по статистике, вы можете перетасовать колоду из 52 игральных карт и получить приказ, который ни один другой человек никогда не получал, и никакой другой человек никогда не получит. Я думаю, что такое же рассуждение существует здесь. Вероятность того, что кто-то воспользуется этим, очень мала, и существуют более быстрые ярлыки, которые, вероятно, не произойдут в дикой природе случайно.

Кроме того, если у вас есть домен у регистратора и кто-то случайно создал зону на таком провайдере, как Digital Ocean, с которым вы сталкиваетесь, я уверен, что если вы предоставите подтверждение права собственности, они спросят человека, который сделал зоны в своей учетной записи, чтобы удалить его, поскольку нет никаких причин для его существования, поскольку они не являются владельцами доменных имен.

Но как насчет записи

Первым, кто будет иметь зону, например, Digital Ocean, будет тот, кто будет ее контролировать. Вы не можете иметь несколько одинаковых зон в одной и той же инфраструктуре DNS. Так, например, используя указанные выше глупые имена, если у меня есть wesleyisaderp.com в качестве зоны на Digital Ocean, никто из DNS-инфраструктуры Digital Ocean не может добавить его в свою учетную запись.

Вот самое интересное: я действительно добавил wesleyisaderp.com в свою учетную запись Digital Ocean! Идите и попробуйте добавить его в свой. Это не повредит ничего.

В результате вы не можете добавить запись A на wesleyisaderp.com. Это все мое.

Но что насчет...

Как @Iain указал ниже, моя точка № 4 на самом деле слишком многословна. Мне не нужно ждать или сюжет или схему вообще. Я могу просто сделать тысячи зон в учетной записи, а затем сидеть сложа руки и ждать. Технически. Если я создаю тысячи доменов, а затем жду, пока они будут зарегистрированы, и надеюсь, что они используют хосты DNS, на которых я установил свои зоны ... может, я смогу сделать что-то плохое? Может быть? Но, вероятно, нет?

Извиняюсь перед Digital Ocean & NameCheap

Обратите внимание, что Digital Ocean и NameCheap не являются уникальными и не имеют ничего общего с этим сценарием. Это нормальное поведение. Они безупречны на всех фронтах. Я просто использовал их, так как это был пример, и они очень известные бренды.

В дополнение к отличному ответу Уэсли, я хотел бы добавить, что уже есть решение для предотвращения этого. Это называется DNSSEC.

Основы таковы:

• Вы регистрируете свой домен (здесь я wesleyisaderp.comприведу именитое имя , просто потому что.)
• Вы регистрируете свои серверы имен у своего регистратора, обычно через веб-интерфейс, который вы аутентифицируете с помощью комбинации имени пользователя и пароля.
• Вы также создаете пару открытый / закрытый ключ и загружаете свой открытый ключ своему регистратору в форме записи DNSKEY. (Таким образом, регистратор может настроить цепочку доверия для корневых серверов для домена верхнего уровня - в данном случае для корневых серверов .com.) Опять же, вы загружаете это, когда вы входите в систему со своим собственным именем пользователя / паролем комбинированный, поэтому он связан с вашим доменом (ами), а не с чужим.
• Вы заходите на сервер имен, вводите свои записи и подписываете полученный файл зоны своим закрытым ключом. Или, если у вас есть веб-интерфейс к службе DNS-хостинга, вы загружаете на них закрытый ключ, чтобы они могли подписать им файл зоны.
• Когда Уэсли так грубо пытается захватить ваш домен и присвоить ему CNAME wesleyisbetterthanyou.com, его записи не будут приняты серверами корневых доменов .com, поскольку они не подписаны правильным ключом. Если ваш провайдер DNS-хостинга умен, он сразу же проверит это и даже не позволит ему попытаться добавить записи в этот домен, если у него нет подходящего закрытого ключа.
• Когда вы вводите свои собственные записи, они будут подписаны правильным ключом, поэтому они будут работать.
• Теперь вы можете сидеть сложа руки и смеяться над Уэсли.

(В оригинальном случае, описанном Уэсли, основной ошибкой было бы то, что Digital Ocean не подтвердил право собственности на домен, прежде чем разрешить кому-то настраивать DNS-записи для него. К сожалению, они не одиноки в этом; я знаю, хотя бы одного шведского регистратора с такими же проблемами.)

С вами все будет в порядке, если вы будете требовать владения доменом в DigitalOcean (то есть связать его с вашей учетной записью), прежде чем вы скажете регистратору использовать их серверы имен.

Если кто-то уже связал ваш домен со своей учетной записью, вы узнаете об этом, прежде чем серверы имен DigitalOcean станут авторизованными. И если это произойдет, поговорите с DigitalOcean об удалении этого человека из их аккаунта.

В соответствии с передовой практикой {ns1, ns2, ns3} .DigitalOcean.com не действуют как рекурсивные преобразователи для доменов, размещенных в других местах. Если бы они это сделали, и если бы серверы, размещенные в DigitalOcean, использовали эти серверы в качестве распознавателей общего назначения, то возникла бы гораздо более серьезная проблема. Несмотря на то, что это, как известно, является плохой практикой, вероятно, не так сложно найти хостинг-провайдеров, которые ошибаются, что открывает возможности для злоупотреблений.

Я думаю, что эта проблема означает, что никто не должен использовать такие серверы имен (такие как Digital Ocean) в качестве своих распознавателей, поскольку любой может создать сервер имен для существующего домена на них. Борьба за контроль над доменом не имеет значения, поскольку владение доменом может быть легко доказано, но тот факт, что кто-то может, например, направить любой существующий домен, который уже НЕ размещен на Digital Ocean, куда угодно.

Итог: не доверяйте DNS-серверам любой хостинг-службы, которая не требует подтверждения владения доменом (легко и быстро это делается, например, с помощью метода, предложенного выше: сначала добавьте запись TXT с определенным значением в домене). это то, что Microsoft O365 и Google делают, например).