Quando registro um novo domínio, eu o envio ao meu provedor de hospedagem atribuindo a ele seus servidores de nome de domínio nas configurações do registro. Por exemplo, com o Digital Ocean, insiro o seguinte:
ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com
Em seguida, adiciono as configurações de domínio no registro A do meu servidor. Apenas me ocorreu que qualquer outra pessoa no mesmo provedor de hospedagem pode adicionar um registro A com um domínio que possuo.
Existe algo impedindo que isso ocorra? se dois servidores diferentes que usam o mesmo servidor de nomes de domínio tentarem atribuir um domínio a eles mesmos através dos registros A, onde o domínio realmente resolveria quando você o inserisse no navegador? o que impede colisões de nomes de domínio no mesmo servidor DNS?
domain-name-system
domain-name
dns-hosting
dns-zone
a-record
Eran Galperin
fonte
fonte
Respostas:
Você não se importa com a seção de comentários abaixo e com as respostas anteriores no histórico de edições. Após cerca de uma hora de uma conversa com os amigos (obrigado @joeQwerty, @Iain e @JourneymanGeek), e alguns hackers joviais, chegamos ao fundo da sua pergunta e da situação como um todo. Desculpe pela brusquidão e mal-entendido da situação completamente no começo.
Vamos percorrer o processo:
wesleyisaderp.com
em, digamos, NameCheap.com.ns1.digitalocean.com
ens2.digitalocean.com
.wesleyisaderp.com
parawesleyisbetterthanyou.com
.Alguns amigos e eu acabamos de mostrar esse cenário exato, e sim, funciona. Se o @JoeQwerty compra um domínio e o aponta para os servidores de nomes Digital Ocean, mas eu já tinha essa zona adicionada à minha conta, sou o mestre da zona e posso fazer com ele o que eu quero.
No entanto, considere que alguém precisaria primeiro adicionar a zona à conta DNS e, em seguida, seria necessário apontar seus registros NS para os servidores de nomes desse mesmo host para que algo nefasto acontecesse. Além disso, como proprietário do domínio, você pode alternar os registros NS a qualquer momento e afastar a resolução do host da zona defeituosa.
A probabilidade de isso acontecer é um pouco baixa, para dizer o mínimo. Dizem que, estatisticamente, você pode embaralhar um baralho de 52 cartas e obter uma ordem que nenhum outro humano jamais recebeu, e nenhum outro humano jamais receberá. Eu acho que o mesmo raciocínio existe aqui. A probabilidade de alguém explorar isso é muito baixa e existem atalhos melhores que provavelmente não acontecerão na natureza por acidente.
Além disso, se você possui um domínio em um registrador e alguém cria uma zona em um provedor como o Digital Ocean com o qual você colide, tenho certeza que se você fornecer uma prova de propriedade, eles perguntariam à pessoa que fez zona em sua conta para removê-lo, pois não há motivo para que exista, pois eles não são o proprietário do nome de domínio.
Mas e os registros A
A primeira pessoa a ter uma zona, por exemplo, Digital Ocean, será a que a controlar. Você não pode ter várias zonas idênticas na mesma infraestrutura DNS. Por exemplo, usando os nomes tolos acima, se eu tenho o wesleyisaderp.com como uma zona no Digital Ocean, ninguém mais na infraestrutura de DNS do Digital Ocean pode adicioná-lo à sua conta.
Aqui está a parte divertida: eu realmente adicionei o wesleyisaderp.com à minha conta do Digital Ocean! Vá em frente e tente adicioná-lo ao seu. Não vai doer nada.
Portanto, como resultado, você não pode adicionar um registro A ao wesleyisaderp.com. É tudo meu.
Mas e quanto a ...
Como @Iain apontou abaixo, meu ponto 4 acima é realmente muito detalhado. Não preciso esperar, planejar ou planejar. Posso apenas fazer milhares de zonas em uma conta e depois sentar e esperar. Tecnicamente. Se eu criar milhares de domínios e esperar que eles sejam registrados, e espero que eles usem os hosts DNS nos quais defini minhas zonas ... talvez eu possa fazer algo meio ruim? Talvez? Mas provavelmente não?
Desculpas ao Oceano Digital e ao NameCheap
Observe que o Digital Ocean e o NameCheap não são exclusivos e não têm nada a ver com esse cenário. Este é um comportamento normal. Eles são inocentes em todas as frentes. Eu apenas os usei desde que esse foi o exemplo, e são marcas muito conhecidas.
fonte
A
e umMX
RR com TTLs muito longos, apontando para um host que você controla e martelar servidores DNS públicos comuns (como o Google, talvez?). Uma variante de envenenamento por cache ...Além da excelente resposta de Wesley, gostaria de acrescentar que já existe uma solução para evitar isso. Chama-se DNSSEC.
O básico é este:
wesleyisaderp.com
aqui, apenas porque.).com
.) Novamente, você faz o upload disso quando faz login com seu próprio nome de usuário / senha combo, para que ele esteja conectado ao (s) seu (s) domínio (s) e não ao de outra pessoa.wesleyisbetterthanyou.com
, seus registros não serão aceitos pelos servidores de domínio raiz .com porque eles não são assinados com a chave certa. Se o seu provedor de hospedagem DNS for inteligente, ele verificará isso imediatamente e nem permitirá que ele tente adicionar registros a esse domínio, a menos que ele tenha a chave privada correta.(No caso original, o que Wesley descreve, o principal erro seria que a Digital Ocean não verificasse a propriedade de um domínio antes de permitir que alguém configurasse registros DNS para ele. Infelizmente, eles não estão sozinhos nisso; eu sei de pelo menos um registrador sueco com os mesmos problemas.)
fonte
Você ficará bem desde que reivindique a propriedade do domínio na DigitalOcean (por exemplo, associe-o à sua conta) antes de solicitar ao registrador que use seus servidores de nomes.
Se alguém já associou seu domínio a sua conta, você descobrirá antes que os servidores de nomes DigitalOcean se tornem autorizados. E se isso acontecer, converse com a DigitalOcean sobre como inicializar essa pessoa em sua conta.
De acordo com as melhores práticas, {ns1, ns2, ns3} .DigitalOcean.com não atua como resolvedores recursivos para domínios hospedados em outros lugares. Se o fizessem, e se os servidores hospedados pela DigitalOcean usassem esses servidores como resolvedores de uso geral, haveria um problema muito maior. Apesar de tudo isso ser conhecido como uma má prática, provavelmente não é tão difícil encontrar provedores de hospedagem que entendam errado, o que abre possibilidades de abuso.
fonte
Acho que esse problema significa que ninguém deve usar servidores de nomes (como os da Digital Ocean) como seus resolvedores, pois qualquer um pode criar um servidor de nomes para um domínio existente neles. A batalha pelo controle do domínio é irrelevante, pois a propriedade do domínio pode ser comprovada com facilidade, mas o fato de alguém, por exemplo, direcionar qualquer domínio existente que NÃO esteja hospedado no Digital Ocean para onde quiser.
Conclusão: não confie nos servidores DNS de qualquer serviço de hospedagem que não exija uma prova de propriedade do domínio (feita com facilidade e rapidez, por exemplo, pelo método sugerido acima: adicionando um registro TXT com um determinado valor no domínio primeiro , é isso que o Microsoft O365 e o Google fazem, por exemplo).
fonte