¿Cómo alguien apuntó un subdominio de nuestro dominio a la dirección IP de otra persona?

34

Somos dueños de un dominio primario:

  • businessdts.com

No sabía si nuestros administradores habían creado un subdominio que había solicitado, "BDASERVER.businessdts.com", así que intenté conectarme a él con un navegador y obtuve un mensaje "no encontrado". Luego pellizqué ese subdominio y obtuve una dirección IP que no nos pertenece:

  • Hacer ping a BDASERVER.businessdts.com [198.105.244.117] con 32 bytes de datos
  • Nuestro dominio y todos los subdominios deben tener una dirección IP de [173.203.24.209]

Hice que los administradores verificaran todas nuestras zonas DNS y no encontramos ninguna instancia del subdominio BDASERVER (los administradores aún no lo habían creado), ni encontramos ninguna instancia de la dirección IP 198.105.244.117.

Al hacer una búsqueda de IP, encontramos que 198.105.244.117 pertenece a una compañía llamada Search Guide Inc. (searchguideinc.com). Parecen ser un agente de dominio de algún tipo.

Me estoy perdiendo de algo:

  • ¿Cómo se resuelve este subdominio BDASERVER en una dirección que no es la nuestra?
  • ¿Cómo alguien secuestra un subdominio?
domain-name-system subdomain hijack CBruce
fuente
29
¿Qué servidores DNS estás usando cuando ejecutas esta búsqueda? Mi búsqueda no logra resolver ese nombre. Esto huele a secuestro de NXDOMAIN para mí.
joeqwerty
Nuestros servidores de nombres son NS.RACKSPACE.COM y NS2.RACKSPACE.COM, @joeqwerty. Cuando configuramos los subdominios BDASERVER y comodín, parece que eso anulará a los secuestradores. La única forma en que me enteré del problema fue cuando hice un ping contra el subdominio.
CBruce
55
Lo siento, debería haber aclarado mi comentario. ¿Estaba preguntando qué servidores DNS usa su computadora para la resolución DNS? Esos son los servidores de nombres que están secuestrando la respuesta NXDOMAIN, no los servidores de nombres para su nombre de dominio.
joeqwerty

Respuestas:

37

Como los otros chicos aquí han sugerido, esta es una norma de ISP en realidad. ATT me lo hace a mí también. Cuando no se encuentra el dominio solicitado y los registros DNS no apuntan a un destino predeterminado (puede configurarlo en su servidor que administra su DNS; es muy probable que esté utilizando un registrador estándar y ellos administrarán sus DNS por usted - simplemente inicie sesión en el lugar donde registró su nombre de dominio y haga clic en administrar dns). Debe agregar un registro de redireccionamiento "comodín". De esta manera, siempre dirigirá el tráfico indefinido a una página web predeterminada, o a la página de índice de su sitio web principal. Configuración predeterminada de DNS

En pocas palabras, si está administrando su nombre de dominio y servidor, configure sus comodines predeterminados y es posible que también desee agregar algunas páginas de error personalizadas para señalar su servidor web cuando alguien solicita una página que no existe: agregue su logotipo y enlace de nuevo a su sitio principal con un pequeño script de búsqueda de sitio o algo en él ... es muy molesto solicitar un recurso o una página html de un sitio web, incluso haciendo clic en uno de sus enlaces en otra página de su sitio, y ese feo "Error 400 "aparece la página. Tanto una empresa puede hacer para preservar la experiencia del usuario asegurándose de manejar los errores y mantener a sus clientes. También le recomiendo que incluya un "INFORME DE ENLACES ROTOS"

Ahora estoy fuera de tema, pero claramente, el OP necesita saber un poco más sobre qué causa que el ISP pueda interceptar el error ... el controlador DNS no proporciona una respuesta útil al subdominio indefinido solicitado porque es no está allí, por lo que el ISP ofrece una página generadora de ingresos. ¡Solución fácil sin embargo!

GoZippy
fuente
27
"Esta es una norma de ISP en realidad" Sospecho que esto depende en gran medida de la ubicación. Ninguno de los ISP que he usado lo ha hecho (y si mi actual comenzó a hacerlo, tendrían noticias de mí ...).
un CVn
55
Para llamar a esto una "norma", esto podría ser un BCP o al menos un MAYO en los RFC correspondientes. Lo dudo mucho.
Hagen von Eitzen
77
Lamentablemente, @HagenvonEitzen, las empresas con fines de lucro como los ISP (al menos aquí en los EE. UU.) Se preocupan poco por los BCP y los RFC y otros estándares. Por lo tanto, la norma del mundo real puede terminar desviándose muy, muy lejos de los estándares publicados.
Doktor J
44
@DoktorJ En cierto sentido, uno podría decir que si rompen intencionalmente los RFC, que son el estándar de facto suelto de Internet, lo que su proveedor de servicios le proporciona no es Internet ... mi 2c
Hagen von Eitzen
66
El ISP cree que devolver respuestas fraudulentas a las solicitudes de DNS puede ayudar, pero la persona que creen que puede ayudar no es el cliente.
Jon Hanna
64

No hay registro para ese subdominio:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Es probable que el DNS de su ISP esté haciendo lo que se conoce como secuestro de NXDOMAIN, donde secuestran las respuestas de DNS de NXDOMAIN y, en lugar de responder con un NXDOMAIN adecuado (como arriba), le dan la dirección IP de una página de "búsqueda", que generalmente obtiene ingresos publicitarios para ellos.

Hablaría con su ISP y le pediría que dejara de interferir con su tráfico. Si se niegan, obtenga un ISP mejor o use un resolutor diferente para su tráfico.

EEAA
fuente
13
Confirmado. Esa dirección IP está registrada en Search Guide Inc, un destino conocido del secuestro de NXDOMAIN.
Michael Hampton
Y eso es parte de por qué los registradores obtienen tanto de los registros "defensivos" :(
Gypsy Spellweaver
Entonces, si seguimos adelante y creamos el subdominio BDASERVER en nuestra zona DNS, ¿eso reemplazará lo que sea que estén haciendo los idiotas y funcione correctamente para nosotros?
CBruce
2
@CBruce Sí, debería. Y luego ve y cambia tu resolución de DNS. :)
EEAA
@CBruce Bueno, dependiendo del TTL que fingieron en su respuesta manipulada, puede tomar un tiempo
Hagen von Eitzen
2

Alguien señala un subdominio, o cualquier entrada de DNS para ese asunto, que no existe al secuestrar NXDOMAIN, lo que significa que los codiciosos propietarios de DNS reescribirán las entradas para apuntar a páginas basadas en anuncios.

Hay una respuesta muy simple a esto: habilite DNSSEC en su dominio, lo que evitará que alguien responda desde otro DNS (como su ISP).

Max Dor
fuente
1
Esto supone que el cliente valida DNSSEC y que el malvado servidor DNS del ISP no eliminará los registros DNSSEC. Un encabezado Strict-Transport-Security con includeSubDomains puede hacer más daño al secuestrador de subdominios que agregar DNSSEC.
Ángel
1
Totalmente acordado: hoy en día, el DNS es simplemente inseguro (por qué estamos usándolo ...), no hay discusión sobre la modificación de ninguna consulta DNS. Pero eliminar los registros DNSSEC es un nivel completamente diferente que simplemente secuestrar una respuesta de NXDOMAIN a la que los ISP no solo pueden pasar.
Max Dor
Sí, esto es muy cierto. Preste atención a este consejo OP.
GoZippy