Como alguém apontou um subdomínio do nosso domínio para o endereço IP de outra pessoa?

34

Nós possuímos um domínio principal:

  • businessdts.com

Não sabia se nossos administradores haviam criado um subdomínio que solicitei "BDASERVER.businessdts.com.", Então tentei conectar-me a ele com um navegador e obtive um "não encontrado". Em seguida, executei ping no subdomínio e obtive um endereço IP que não nos pertence:

  • Executando ping no BDASERVER.businessdts.com [198.105.244.117] com 32 bytes de dados
  • Nosso domínio e todos os subdomínios devem ter um endereço IP de [173.203.24.209]

Os administradores verificaram todas as nossas zonas DNS e não encontramos nenhuma instância do subdomínio BDASERVER (os administradores ainda não a criaram), nem encontramos nenhuma instância do endereço IP 198.105.244.117.

Fazendo uma pesquisa de IP, descobrimos que 198.105.244.117 pertence a uma empresa chamada Search Guide Inc. (searchguideinc.com). Eles parecem ser um intermediário de domínio de algum tipo.

Estou esquecendo de algo:

  • Como esse subdomínio BDASERVER está resolvendo para um endereço que não é nosso?
  • Como alguém seqüestra um subdomínio?
domain-name-system subdomain hijack CBruce
fonte
29
Quais servidores DNS você está usando ao executar esta pesquisa? Minha pesquisa falha ao resolver esse nome. Isso cheira a NXDOMAIN me seqüestrando.
Joeqwerty
Nossos servidores de nomes são NS.RACKSPACE.COM e NS2.RACKSPACE.COM, @joeqwerty. Quando configuramos os subdomínios BDASERVER e curinga, parece que isso substituirá os seqüestradores. A única maneira de descobrir o problema foi quando fiz um ping no subdomínio.
CBruce
5
Desculpe, eu deveria ter esclarecido meu comentário. Eu estava perguntando quais servidores DNS seu computador usa para resolução de DNS? Esses são os servidores de nome que estão seqüestrando a resposta NXDOMAIN, não os servidores de nome para o seu nome de domínio.
joeqwerty

Respostas:

37

Como os outros caras aqui sugeriram - essa é uma norma de ISP, na verdade. A ATT faz isso comigo também. Quando o domínio solicitado não é encontrado e os registros DNS não apontam para um destino padrão (você pode configurá-lo no servidor que gerencia o DNS) - é mais provável que você esteja usando um registrador padrão e eles gerenciarão seu DNS para você - basta acessar o local onde você registrou seu nome de domínio e clicar em gerenciar dns). Você deve adicionar um registro de redirecionamento "curinga". Dessa forma, você sempre direcionará o tráfego indefinido para uma página da web padrão - ou para a página de índice do site principal. Configurações DNS padrão

Conclusão - se você estiver gerenciando seu nome de domínio e servidor - configure seus curingas padrão e também poderá adicionar algumas páginas de erro personalizadas para apontar para seu servidor da Web quando alguém solicitar uma página que não existe - adicione seu logotipo e vincule-o novamente a seu site principal com um script de pesquisa pequeno ou algo assim ... é muito irritante solicitar uma página de recurso ou html de um site - mesmo clicando em um de seus links em outra página do site - e esse feio "400 Erro "a página aparece. Tanto o que uma empresa pode fazer para preservar a experiência do usuário, certificando-se de lidar com erros e manter seus clientes. Também recomendo que você inclua um "RELATAR LINKS QUEBRADOS"

Agora estou fora de tópico - mas claramente - o OP precisa saber um pouco mais sobre o que faz com que o ISP possa interceptar o erro ... o manipulador de DNS não fornece uma resposta útil ao subdomínio indefinido solicitado, porque é não existe - então o ISP exibe uma página de geração de receita. Correção fácil embora!

GoZippy
fonte
27
"esta é uma norma de ISP, na verdade" Eu suspeito que isso depende muito da localidade. Nenhum dos ISPs que eu usei o fez (e se o meu atual começasse a fazê-lo, eles teriam notícias minhas ...).
um CVn 23/02
5
Para chamar isso de "norma", isso deve ser um BCP ou, pelo menos, MAIO nos RFCs correspondentes. Duvido muito disso.
Hagen von Eitzen
7
@HagenvonEitzen, infelizmente, empresas com fins lucrativos como ISPs (pelo menos aqui nos EUA) se preocupam pouco com BCPs e RFCs e outros padrões. Assim, a norma do mundo real pode acabar se desviando muito, muito longe dos padrões publicados.
Doktor J
4
@DoktorJ Em certo sentido, pode-se dizer que se eles quebram intencionalmente RFCs, que são o padrão de fato frouxo da Internet, o que o seu provedor de serviços fornece a você não é a Internet ... my 2c
Hagen von Eitzen
6
O ISP acha que o retorno de respostas fraudulentas a solicitações de DNS pode ajudar, mas a pessoa que eles acham que pode ajudar não é o cliente.
Jon Hanna
64

Não há registro para esse subdomínio:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

É provável que o DNS do seu provedor de serviços de Internet esteja fazendo o que é chamado de seqüestro NXDOMAIN, onde seqüestram as respostas NXDOMAIN DNS e, em vez de responder com um NXDOMAIN adequado (como acima), eles fornecem o endereço IP de uma página de "pesquisa", que normalmente é exibida receita publicitária para eles.

Eu conversava com seu ISP e pedia que eles parassem de interferir no seu tráfego. Se eles recusarem, obtenha um ISP melhor ou use um resolvedor diferente para o seu tráfego.

EEAA
fonte
13
Confirmado. Esse endereço IP está registrado no Search Guide Inc, um destino conhecido do seqüestro de NXDOMAIN.
Michael Hampton
E é por isso que os registradores fazem tanto com registros "defensivos" :(
Gypsy Spellweaver
Portanto, se formos adiante e criarmos o subdomínio BDASERVER em nossa zona DNS - isso substituirá o que os idiotas estão fazendo e funcionará corretamente para nós?
CBruce
2
@CBruce Sim, deveria. E então vá e mude seu resolvedor de DNS. :)
EEAA 23/02
@CBruce Bem, dependendo do TTL que falsificou a sua resposta manipulado, isso pode demorar um pouco
Hagen von Eitzen
2

Alguém aponta para um subdomínio, ou qualquer entrada DNS para esse assunto, que não existe com o seqüestro de NXDOMAIN, o que significa que proprietários de DNS gananciosos reescreverão entradas para apontar para páginas baseadas em anúncios.

Há uma resposta muito simples para isso: ative o DNSSEC no seu domínio, o que impedirá que alguém responda por outro DNS (como o seu ISP).

Max Dor
fonte
11
Isso pressupõe que o cliente valida o DNSSEC e o servidor DNS incorreto do ISP não removerá os registros DNSSEC. Um cabeçalho Strict-Transport-Security com includeSubDomains pode causar mais danos ao seqüestrador de subdomínio do que adicionar DNSSEC.
Ángel
11
Totalmente acordado - atualmente, o DNS é simplesmente inseguro (por que estamos usando o evento ...), nenhum argumento sobre a modificação de qualquer consulta DNS. Mas retirar os registros DNSSEC é um nível totalmente diferente do que simplesmente seqüestrar uma resposta NXDOMAIN para a qual os ISPs podem não apenas avançar.
Max Dor
Sim, isso é muito verdadeiro. Preste atenção a este conselho OP.
GoZippy 27/02