服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 什么阻止某人为我的域设置Alogging?
Intereting Posts
唤醒子网上的所有睡眠机器 Gmail和GoDaddy – 如何修改电子邮件设置? 问:如何基于HTTP头的nginx条件proxy_pass 托pipe公司阻止谷歌机器人和爬虫 如何设置从我的Web服务器(Apache)的端口转发到我的数据库服务器(MySQL) TeamViewer端口仅供局域网使用 文件权限在NTBACKUP恢复后显示为SID的ACE Windows Server 2003 SiSRaid错误,\ Device \ SCSI \ SiSRaid1? 安全在同一台机器上安装DHCP和网关服务? Cisco ASA 5500 – 出站连接列表? 批量更改通讯组列表中的经理姓名 vsftpd – local_root = / var / www / sites / $ USER不会被解释? WinSCP自动configuration运行时 如何做到隧道到oracle服务器没有SSH服务器里面的SSH? 与Apache域清漆configuration

什么阻止某人为我的域设置Alogging?

我可能完全错了,但是将域指向一个站点的标准方式似乎是非常不安全的。

假设您的域名与A公司共存,并且您的网站通过B公司托pipe。

设置它的步骤通常是:

  • login到公司A并将my-domain.com的DNSlogging设置为指向ns1.company-b.com和ns2.company-b.com
  • login到公司B并将my-domain.com添加到您的帐户并设置一个Alogging。

但是B公司如何知道你有权build立Alogging呢? 只是因为域使用他们的DNS服务器? B公司的其他客户是否真的是域名的拥有者,并且他们是指向公司B的DNS服务器的人 – 既然您也是公司B的客户,您可以劫持域名?

这可能是不可能的,如果是的话,是什么阻止了这样的事情发生?

理论上你是对的。 实际上,这不是一个真正的安全问题,因为您可以控制域名作为权威名称服务器的用途。 因此,假设我在B公司设置了您的域的logging,您将设置logging,并且它们的界面不允许您(因为DNS服务器不能为同一个域激活多个区域文件),或者你注意到logging已经build立。 你马上再去A公司,把你的权威名字服务器指向别的地方,然后和B公司交谈。B公司知道你是域名的拥有者,而不是另一个客户,因为A)你的信息在WHOIS数据库与域相关联,B)您可以通过设置权威名称服务器来演示对域的控制。 可能的话,他们继续暂时停止对方的恶意行为。

这不是你应该花很多时间担心的事情。

您应该按照其他顺序执行这些步骤。 在公司B进行设置,并确认您已经将域名添加到您的帐户, 然后再指定名称服务器。 这样,攻击窗口就是零。 但即使你不这样做,它仍然是一个非常狭窄的窗口,并通过呼叫公司B(或只是指名服务器)很容易解决。

简单。 只有权威服务器很重要。

我可以在家里的服务器上为google.com设置DNS,并使其看起来像谷歌,并整天摆弄它,redirect和捕获来自我的孩子等的stream量,但只要客户是实际向根服务器询问该区域的权限,所设置的内容无关紧要,因为授权服务器确定这一点,并将正确的地址logging返回给客户端。

是的,你可以创build中毒的DNS条目 ,所有这些,但迟早,这些条目的TTL将过期,除非你可以直接控制客户端的parsing器地址,客户端将运行到根服务器,根服务器将将它们指向正确的服务器(权威服务器),然后夹具启动。 即使您使用其他DNS服务,该服务迟早会caching正确的条目。

就你的例子中的公司B而言,你可以设置所有你想要的logging。 除非客户端查询该服务器,否则无关紧要。 如果他们直接查询,那么这就是另一回事了,但即使这样也不会永远持续下去,而当TTL到期时,DNS舞蹈将再次发生……将它们引导到正确的服务器。

这里的关键是注册到根的DNS服务器。 无论根认为什么是您的域的权威服务器的IP地址,那么人们将会去哪里获得答案。 如果您担心有人在“过境”时劫持域名,那么通过使用DNS服务提供的工具来转移域名可以最好地解决这个问题。 他们会为你处理所有这些。 当他们这样做的时候,他们将把服务设置为你的区域的根服务器的权限。

如果你担心有人试图再次注册域名,那么DNS从根本上是停滞的,互联网是borken(没有被破坏,但是Borkened)。 这只是不会发生这种情况。

但是B公司如何知道你有权build立Alogging呢? 只是因为域使用他们的DNS服务器? 

Yes it because you've added company B's name server for your domain.

B公司的其他客户是否真的是域名的拥有者,并且他们是指向公司B的DNS服务器的人 – 既然您也是公司B的客户,您可以劫持域名? 

 When you register a domain there you provide Administrative / Registrant Name , contact details email address etc. So a second person can only become owner of your domain only if it is authorized by the domain administrative contact to that person.

在公司B的名称服务器上创build任何logging之前,有人必须授权您。 在更改名称服务器以指向其服务器之前,应确保拥有该权限。 一旦B公司托pipe您的域名服务器,您将依赖其安全性来确保未经授权的人员不能更改您的DNSlogging。

只是因为您的网站托pipe在公司B的服务器上,您不需要托pipe您的DNS。 您可以轻松地在公司A的服务器上设置必要的Alogging。 小型网站通常会拥有其域名注册商托pipe的所有DNSlogging。 (当您第一次设置您的域名时,注册商将成为公司A)。注册商将始终是查询权威名称服务器logging的来源。

第三家公司托pipe名称服务器也很常见。 在这种情况下,您将依赖其安全性来防止他人更改您的DNSlogging。

只要您有权利通过域名注册商更新您的logging,您就可以随时将您的域名服务器移动到不同的公司,以防您的DNSlogging遭到劫持。 由于DNScaching,将DNS Aloggingredirect到正确的位置可能需要一些时间。

PTRlogging是另一回事。 这些始终由提供IP地址的组织之一控制。 他们有可能通过CNAMES委托控制特定的地址。

现在可以使用DNSSEC来提高域名logging的安全性。 这使您可以签署您的DNSlogging。 并非所有的客户端都会检查签名,所以它不能保护所有客户端的域名logging。

本地DNS欺骗总是可能的。 有些人使用本地欺骗来阻止来自广告网站的stream量。 有一些网站列表可用于此目的。