In che modo qualcuno ha indirizzato un sottodominio del nostro dominio all'indirizzo IP di qualcun altro?

34

Possediamo un dominio primario:

  • businessdts.com

Non sapevo se i nostri amministratori avessero creato un sottodominio che avevo richiesto, "BDASERVER.businessdts.com.", Quindi ho appena provato a collegarmi con un browser e ho ottenuto un "non trovato". Quindi ho eseguito il ping di quel sottodominio e ho ottenuto un indirizzo IP che non ci appartiene:

  • Pinging BDASERVER.businessdts.com [198.105.244.117] con 32 byte di dati
  • Il nostro dominio e tutti i sottodomini dovrebbero avere un indirizzo IP di [173.203.24.209]

Ho chiesto agli amministratori di controllare tutte le nostre zone DNS e non abbiamo trovato nessuna istanza del sottodominio BDASERVER (gli amministratori non l'avevano ancora creato), né abbiamo trovato alcuna istanza dell'indirizzo IP 198.105.244.117.

Facendo una ricerca IP, abbiamo scoperto che 198.105.244.117 appartiene a una società chiamata Search Guide Inc. (searchguideinc.com). Sembrano essere un broker di dominio di qualche tipo.

Mi sto perdendo qualcosa:

  • In che modo questo sottodominio BDASERVER si risolve in un indirizzo che non è il nostro?
  • In che modo qualcuno dirotta un dominio SUB?
domain-name-system  subdomain  hijack 
CBruce
fonte
29
Quali server DNS stai usando quando esegui questa ricerca? La mia ricerca non riesce a risolvere quel nome. Questo puzza di NXDOMAIN che mi dirotta.
joeqwerty,
I nostri server dei nomi sono NS.RACKSPACE.COM e NS2.RACKSPACE.COM, @joeqwerty. Quando avremo configurato i sottodomini BDASERVER e jolly, sembra che sovrascriveranno i dirottatori. L'unico modo in cui ho scoperto il problema è stato quando ho fatto un ping contro il sottodominio.
CBruce,
5
Scusa, avrei dovuto chiarire il mio commento. Stavo chiedendo quali server DNS utilizza il tuo computer per la risoluzione DNS? Questi sono i server dei nomi che stanno dirottando la risposta NXDOMAIN, non i server dei nomi per il tuo nome di dominio.
joeqwerty,

Risposte:

37

Come hanno suggerito gli altri ragazzi qui - questa è una norma ISP in realtà. ATT lo fa anche a me. Quando il dominio richiesto non viene trovato e i record DNS non puntano a una destinazione predefinita (puoi configurarlo sul tuo server che gestisce il tuo DNS - molto probabilmente stai usando un registrar standard e loro gestiranno il tuo DNS per te - accedi al punto in cui hai registrato il tuo nome di dominio e fai clic su gestisci dns). È necessario aggiungere un record di reindirizzamento "jolly". In questo modo indirizzerai sempre il traffico indefinito a una pagina Web predefinita o alla pagina dell'indice del tuo sito Web principale. Impostazioni DNS predefinite

In conclusione - se stai gestendo il tuo nome di dominio e server - imposta i tuoi caratteri jolly predefiniti e potresti voler aggiungere anche alcune pagine di errore personalizzate a cui indirizzare il tuo server web quando qualcuno richiede una pagina che non esiste - aggiungi il tuo logo e rimanda a il tuo sito principale con un piccolo script di ricerca del sito o qualcosa del genere ... è così fastidioso richiedere una pagina di risorse o html da un sito Web - anche facendo clic su uno dei loro collegamenti in un'altra pagina del loro sito - e quel brutto "Errore 400 "viene visualizzata la pagina. Un'azienda può fare così tanto per preservare l'esperienza dell'utente assicurandosi di gestire gli errori e mantenere i propri clienti. Raccomando inoltre di includere un "REPORT BROKEN LINKS"

Sono fuori argomento ora - ma chiaramente - l'OP deve sapere qualcosa in più su ciò che rende l'ISP in grado di intercettare l'errore ... il gestore DNS non fornisce una risposta utile al sottodominio indefinito richiesto perché è non lì - quindi l'ISP pubblica invece una pagina che genera entrate. Facile soluzione però!

GoZippy
fonte
27
"questa è una norma ISP in realtà" sospetto che ciò dipenda fortemente dalle impostazioni locali. Nessuno degli ISP che ho usato lo ha fatto (e se il mio attuale ha iniziato a farlo, avrebbero sentito da me ...).
un CVn
5
Per chiamarla "norma", questo dovrebbe essere un BCP o almeno un MAGGIO nelle RFC corrispondenti. Ne dubito fortemente.
Hagen von Eitzen,
7
@HagenvonEitzen, purtroppo, le aziende orientate al profitto come gli ISP (almeno qui negli Stati Uniti) si preoccupano poco dei BCP, degli RFC e di altri standard. Pertanto, la norma del mondo reale può finire per deviare molto, molto lontano dagli standard pubblicati.
Doktor J,
4
@DoktorJ In un certo senso, si potrebbe dire che se interrompono intenzionalmente le RFC, che sono lo standard de facto di Internet, ciò che il tuo fornitore di servizi ti fornisce non è Internet ... il mio 2c
Hagen von Eitzen
6
L'ISP ritiene che la restituzione di risposte fraudolente alle richieste DNS possa essere d'aiuto, ma la persona che ritengono possa essere d'aiuto non è il cliente.
Jon Hanna,
64

Non ci sono record per quel sottodominio:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

È probabile che il DNS del tuo ISP stia facendo quello che viene chiamato dirottamento NXDOMAIN, dove dirottano le risposte DNS NXDOMAIN e invece di rispondere con un NXDOMAIN appropriato (come sopra), ti danno l'indirizzo IP di una pagina di "ricerca", che in genere ottiene entrate pubblicitarie per loro.

Parlerei con il tuo ISP e chiederei che smettano di interferire con il tuo traffico. Se si rifiutano, ottenere un ISP migliore o utilizzare un resolver diverso per il traffico.

EEAA
fonte
13
Confermato. Tale indirizzo IP è registrato in Search Guide Inc, una destinazione nota del dirottamento di NXDOMAIN.
Michael Hampton
E questo fa parte del motivo per cui i registrar ricavano così tanto dalle registrazioni "difensive" :(
Gypsy Spellweaver
Quindi, se andiamo avanti e creiamo il sottodominio BDASERVER nella nostra zona DNS - supererà qualunque cosa i cretini stiano facendo e funzionerà correttamente per noi?
CBruce,
2
@CBruce Sì, dovrebbe. E poi vai e cambia il tuo risolutore DNS. :)
EEAA
@CBruce Bene, a seconda del TTL che hanno falsificato nella loro risposta manipolata, potrebbe volerci un po 'di tempo
Hagen von Eitzen,
2

Qualcuno punta a un sottodominio, o qualsiasi voce DNS per quello che conta, che non esiste facendo il dirottamento NXDOMAIN, il che significa che i proprietari DNS avidi riscriveranno le voci per puntare a pagine basate su annunci.

C'è una risposta molto semplice a questa: abilita DNSSEC sul tuo dominio, che impedirà a chiunque di dare risposta da un altro DNS (come il tuo ISP).

Max Dor
fonte
1
Ciò presuppone che il client convalida DNSSEC e che il malvagio server DNS dell'ISP non eliminerà i record DNSSEC. Un'intestazione Strict-Transport-Security con includeSubDomains può causare più danni al dirottatore del sottodominio rispetto all'aggiunta di DNSSEC.
Ángel,
1
Completamente concordato - al giorno d'oggi, il DNS è semplicemente insicuro (perché lo stiamo utilizzando ...), nessun argomento sulla modifica di una query DNS. Ma eliminare i record DNSSEC è un livello completamente diverso dal dirottare semplicemente una risposta NXDOMAIN a cui gli ISP potrebbero non limitarsi.
Max Dor,
Sì, questo è molto vero. Rispettare questo consiglio OP.
GoZippy,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.