¿Puede alguien usar el mismo servidor DNS que yo para secuestrar mis dominios?

48

Cuando registro un nuevo dominio, lo envío a mi proveedor de alojamiento asignándole sus servidores de nombres de dominio en la configuración del registro. Por ejemplo, con Digital Ocean, ingreso lo siguiente:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

Luego agrego la configuración de dominio en el registro A de mi servidor. Se me ocurrió que cualquier otra persona en el mismo proveedor de alojamiento puede agregar un registro A con un dominio que poseo.

¿Hay algo que impida que esto ocurra? si 2 servidores diferentes que usan el mismo servidor de nombres de dominio intentan asignarse un dominio a sí mismos a través de los registros A, ¿dónde se resolvería realmente el dominio cuando lo ingrese en el navegador? ¿Qué evita las colisiones de nombres de dominio en el mismo servidor DNS?

domain-name-system domain-name dns-hosting dns-zone a-record Eran Galperin
fuente
77
Digital Ocean lo impide, por un lado. Simplemente intente ingresar un registro A para un dominio que no le pertenece.
Michael Hampton
44
La pregunta es, ¿cómo saben quién posee el dominio? ¿Es por orden de llegada? Entonces, ¿quién agrega el registro A primero, puede usar el dominio?
Eran Galperin
16
@EranGalperin ¡Hola! Soy un empleado de DigitalOcean. La primera persona en agregar un dominio a su cuenta puede establecer registros para él, pero tenemos un procedimiento para establecer la propiedad en caso de conflictos.
Jacob
1
Cuestiones como esta son la razón por la cual los proveedores de DNS más grandes (como Network Solutions) también son registradores de DNS. Pueden manejar ambos pasos a la vez y garantizar que las cosas estén sincronizadas.
Barmar
Como @Barmar dijo anteriormente, la mayoría de los registradores también proporcionan alojamiento DNS, lo que evita el problema que usted describió, aunque el escenario parece poco probable y trivial de resolver.
Fred Thomsen

Respuestas:

60

No importa la sección de comentarios a continuación, y tampoco le importan las respuestas anteriores en el historial de edición. Después de aproximadamente una hora de conversación con amigos (gracias @joeQwerty, @Iain y @JourneymanGeek), y algunas bromas joviales llegamos al fondo de su pregunta y de la situación en general. Perdón por la brusquedad y la incomprensión de la situación por completo al principio.

Pasemos por el proceso:

  1. Usted compra wesleyisaderp.comen, digamos, NameCheap.com.
  2. Namecheap como su registrador será donde llene sus registros NS. Digamos que realmente desea alojar la zona DNS en Digital Ocean.
  3. Señalas los registros NS de tu nuevo y brillante dominio hacia ns1.digitalocean.comy ns2.digitalocean.com.
  4. Sin embargo, digamos que pude determinar que había registrado ese dominio y , además, que había cambiado sus registros NS a Digital Ocean's . Luego lo gané a una cuenta de Digital Ocean y agregué la zona wesleyisaderp.com a la mía.
  5. ¡Intenta agregar la zona en * su * cuenta pero Digital Ocean dice que la zona ya existe en su sistema! Oh no!
  6. Me CNAME wesleyisaderp.coma wesleyisbetterthanyou.com.
  7. Produce hilaridad.

Algunos amigos y yo acabamos de jugar este escenario exacto, y sí, funciona. Si @JoeQwerty compra un dominio y lo señala a los servidores de nombres de Digital Ocean, pero ya tenía esa zona agregada a mi cuenta, entonces soy el maestro de la zona y puedo hacer con él lo que quiera.

Sin embargo, considere que alguien tendría que agregar primero la zona a su cuenta DNS, y luego tendría que apuntar sus registros NS a los servidores de nombres de ese mismo host para que ocurra cualquier cosa nefasta. Además, como propietario del dominio, puede cambiar los registros NS en cualquier momento que desee y alejar la resolución del host de la zona defectuosa.

La probabilidad de que esto suceda es un poco baja, por decir lo menos. Se dice que, estadísticamente, puedes barajar un mazo de 52 cartas y obtener un pedido que ningún otro humano ha recibido, y ningún otro humano lo hará. Creo que el mismo razonamiento existe aquí. La probabilidad de que alguien explote esto es muy baja, y existen mejores atajos, que probablemente no sucederá en la naturaleza por accidente.

Además, si posee un dominio en un registrador y resulta que alguien ha hecho una zona en un proveedor como Digital Ocean con el que colisiona, estoy seguro de que si proporciona una prueba de propiedad, le preguntarán a la persona que hizo el zona en su cuenta para eliminarlo ya que no hay razón para que exista ya que no son el propietario del nombre de dominio.

¿Pero qué hay de los registros A

La primera persona en tener una zona, por ejemplo, Digital Ocean, será la que la controle. No puede tener varias zonas idénticas en la misma infraestructura DNS. Entonces, por ejemplo, usando los nombres tontos anteriores, si tengo wesleyisaderp.com como zona en Digital Ocean, nadie más en la infraestructura DNS de Digital Ocean puede agregarlo a su cuenta.

Aquí está la parte divertida: ¡realmente he agregado wesleyisaderp.com a mi cuenta de Digital Ocean! Continúa e intenta agregarlo al tuyo. No dolerá nada.

Como resultado, no puede agregar un registro A a wesleyisaderp.com. Es todo mio.

Pero que pasa...

Como @Iain señaló a continuación, mi punto # 4 anterior es en realidad demasiado detallado. No tengo que esperar ni trazar ni planear en absoluto. Puedo crear miles de zonas en una cuenta y luego sentarme y esperar. Técnicamente. Si hago miles de dominios, y luego espero a que se registren, y luego espero que usen los hosts DNS en los que he configurado mis zonas ... ¿tal vez pueda hacer algo un poco malo? ¿Tal vez? Pero probablemente no?

Disculpas al Océano Digital y NameCheap

Tenga en cuenta que Digital Ocean y NameCheap no son únicos y no tienen nada que ver con este escenario. Este es un comportamiento normal. Son irreprensibles en todos los frentes. Los acabo de usar ya que ese fue el ejemplo dado, y son marcas muy conocidas.

Wesley
fuente
2
Supongo que si realmente quiere meterse con alguien, podría configurar, por ejemplo, un Ay un MXRR con TTL muy largos, apuntando a un host que controle, y martillar servidores DNS públicos comunes (¿como el de Google, tal vez?). Una variante del envenenamiento de caché ...
un CVn
44
También es trivial mostrar la propiedad del dominio al poder cambiar a qué servidores ns se apunta, por lo que incluso si alguien lo hiciera, podría eliminarse relativamente rápido si su servicio al cliente es bueno.
JamesRyan
3
Los registros de @JamesRyan TXT se utilizan para demostrar la propiedad en casos como este.
user9517 es compatible con GoFundMonica el
44
@ Wesley Esto es correcto. Tenemos un procedimiento para manejar casos de conflictos de zona con nuestro servicio DNS.
Jacob
77
Una situación extraña en la que esto podría ser más probable es cuando el dominio se registró previamente y se usó en Digital Ocean, y luego caducó / no se renovó, pero la zona no se eliminó de digitalocean. Más tarde, alguien lo toma como un "nuevo" dominio (sin saber que era de su propiedad), y luego intenta crear la zona en Digital Ocean. Esto solo podría evitarse si el host DNS purga periódicamente las zonas para las que ya no es el servidor de nombres. (sin los métodos de resolución de conflictos mencionados anteriormente)
Ashley
32

Además de la excelente respuesta de Wesley, me gustaría agregar que ya existe una solución para evitar esto. Se llama DNSSEC.

Los conceptos básicos son los siguientes:

  • Usted registra su dominio (iré con el nombre eminente wesleyisaderp.comaquí, solo porque).
  • Usted registra sus servidores de nombres con su registrador, generalmente a través de una interfaz web que se autentica con un combo de nombre de usuario / contraseña.
  • También crea un par de claves pública / privada, y carga su clave pública a su registrador en forma de un registro DNSKEY. (Así es como el registrador puede configurar la cadena de confianza para los servidores raíz para el dominio de nivel superior, en este caso, los servidores raíz para .com). Nuevamente, carga esto cuando inicia sesión con su propio nombre de usuario / contraseña combo, por lo que está conectado a sus dominios y no a los de otra persona.
  • Accede al servidor de nombres, ingresa sus registros y firma el archivo de zona resultante con su clave privada. O, si tiene una interfaz web para su servicio de alojamiento de DNS, cargue la clave privada para que puedan firmar el archivo de zona.
  • Cuando Wesley trata tan groseramente de secuestrar su dominio y CNAME wesleyisbetterthanyou.com, sus servidores de dominio raíz .com no aceptarán sus registros porque no están firmados con la clave correcta. Si su proveedor de alojamiento de DNS es inteligente, lo comprobarán de inmediato y ni siquiera le permitirán intentar agregar registros a ese dominio a menos que tenga la clave privada correcta.
  • Cuando ingrese sus propios registros, se firmarán con la clave correcta, por lo que funcionarán.
  • Ahora puedes sentarte y reírte de Wesley.

(En el caso original, el que describe Wesley, el error principal sería que Digital Ocean no verificó la propiedad de un dominio antes de permitir que alguien configurara registros DNS para él. Desafortunadamente, no están solos en esto; lo sé de al menos un registrador sueco con los mismos problemas).

Jenny D dice Reinstate Monica
fuente
1
Curioso, ¿cómo verificaría cualquier propietario de una zona DNS que no sea DNSSEC la propiedad antes de permitir que se cree una zona? También probé esto usando Amazon Route53 y puedo crear cualquier zona que desee.
Wesley
Probablemente no, requeriría una verificación diferida de prueba y error. Solo adivinando, eliminar por error aún podría ser posible con algunos trucos ux (pantalla de humo).
Sampo Sarrala
@ Wesley No he considerado la mecánica. Pero, al menos, algún tipo de verificación en el registro whois, o la misma clase de verificación que los vendedores de certificados SSL baratos funcionarían. Si pueden hacerlo, ¿por qué no pueden alojar empresas?
Jenny D dice Restablecer a Mónica el
1
@JennyD ¡Conveniencia, sobre todo! Este tipo de secuestro de dominio es lo suficientemente raro y detectable como para que sea más fácil solucionarlo cuando sucede que hacer que cada usuario legítimo salte a través de los aros para evitarlo.
duskwuff
@duskwuff Cuando la conveniencia y la seguridad entran en conflicto, la conveniencia generalmente gana ... Estoy de acuerdo en que el secuestro de dominios probablemente sea raro, pero ¿qué pasa con los errores simples, sin malas intenciones? IMAO, es imprudente que los servidores de DNS no realicen ningún tipo de verificación.
Jenny D dice Restablecer a Mónica el
6

Estará bien siempre que reclame la propiedad del dominio en DigitalOcean (es decir, lo asocie con su cuenta) antes de decirle al registrador que use sus servidores de nombres.

Si alguien ya ha asociado su dominio con su cuenta, lo descubrirá antes de que los servidores de nombres de DigitalOcean tengan autoridad. Y si eso sucede, hable con DigitalOcean acerca de sacar a esa persona de su cuenta.

En línea con las mejores prácticas, {ns1, ns2, ns3} .DigitalOcean.com no actúan como solucionadores recursivos para dominios alojados en otros lugares. Si lo hicieran, y si los servidores alojados por DigitalOcean usaran esos servidores como solucionadores de propósito general, entonces habría un problema mucho mayor. Por todo lo que se sabe que es una mala práctica, probablemente no sea tan difícil encontrar proveedores de alojamiento que se equivoquen, lo que abre posibilidades de abuso.

mc0e
fuente
Entonces, si DigitalOcean aún no tiene autoridad para el dominio y varios clientes potenciales afirman ser dueños del dominio, ¿cómo podría saber DigitalOcean cuál de los clientes potenciales está diciendo la verdad? ¿Le darán al primero acceso para crear registros y una fecha límite para actualizar los registros NS para probar el control sobre el dominio? ¿O van a dar a cada uno de los clientes potenciales un subconjunto diferente de servidores autorizados para incluir en los registros NS?
kasperd
2
@kasperd los propietarios legítimos un punto que el NS registra donde quieran y luego configuran, por ejemplo, un registro TXT que demuestra que son los propietarios porque contiene información única que el proveedor del Servicio les proporciona. Es cierto que es un poco fastidioso, pero en las raras ocasiones en que esto podría suceder, es algo más fácil que hacer que todos prueben la propiedad antes de traerlos a bordo.
user9517 es compatible con GoFundMonica el
@kasperd A menudo, el registro whois identifica al propietario legítimo, aunque a veces las personas tienen motivos para ocultar esa información. En cualquier caso, si le dice a DO que asocie el dominio con su cuenta para que pueda autorizarlo, presumiblemente le dé al impostor un cronograma para actualizar el registrador o renunciar a la asociación del dominio en DO. El propietario legítimo podría tener que esperar un poco, eso es todo.
mc0e
0

Creo que este problema significa que nadie debería usar servidores de nombres (como Digital Ocean's) como sus solucionadores, ya que cualquiera puede crear un servidor de nombres para un dominio existente en ellos. La batalla por el control del dominio es irrelevante, ya que la propiedad del dominio se puede probar fácilmente, pero el hecho de que alguien pueda, por ejemplo, dirigir cualquier dominio existente que NO esté alojado en Digital Ocean, a cualquier lugar que desee.

En pocas palabras: no confíe en los servidores DNS de ningún servicio de alojamiento que no requiera una prueba de propiedad del dominio (de manera fácil y rápida, por ejemplo, mediante el método sugerido anteriormente: primero agregue un registro TXT con un cierto valor en el dominio) , esto es lo que hacen Microsoft O365 y Google, por ejemplo).

MuchWorseThanTheySay
fuente