सवाल क्या कोई मेरे DNS डोमेन सर्वर का उपयोग कर मेरे डोमेन को हाइजैक कर सकता है?


जब मैं एक नया डोमेन पंजीकृत करता हूं, तो मैं इसे अपने होस्टिंग प्रदाता को रजिस्ट्रार की सेटिंग्स में अपना डोमेन नाम सर्वर असाइन करके भेजता हूं। उदाहरण के लिए, डिजिटल महासागर के साथ, मैं निम्नलिखित इनपुट करता हूं:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

मैं फिर अपने सर्वर के एक रिकॉर्ड में डोमेन सेटिंग्स जोड़ता हूं। यह सिर्फ मेरे लिए हुआ कि एक ही होस्टिंग प्रदाता पर कोई भी व्यक्ति मेरे पास एक डोमेन के साथ एक रिकॉर्ड जोड़ सकता है।

क्या ऐसा होने से कुछ भी रोका जा रहा है? यदि एक ही डोमेन नाम सर्वर का उपयोग करने वाले 2 अलग-अलग सर्वर एक रिकॉर्ड के माध्यम से स्वयं को डोमेन असाइन करने का प्रयास करते हैं, तो जब आप ब्राउजर में प्रवेश करते हैं तो डोमेन वास्तव में कहां हल करेगा? क्या एक ही DNS सर्वर पर डोमेन नाम टकराव को रोकता है?


42
2017-12-19 06:25


मूल


डिजिटल महासागर एक चीज़ के लिए इसे रोकता है। केवल प्रयत्न एक डोमेन के लिए एक रिकॉर्ड दर्ज करना आप स्वामित्व में नहीं है - Michael Hampton♦
सवाल यह है कि वे कैसे जानते हैं कि डोमेन का मालिक कौन है? क्या यह पहली बार आ गया है, पहले सेवा करते हैं? तो जो भी पहले एक रिकॉर्ड जोड़ता है, डोमेन का उपयोग कर सकते हैं? - Eran Galperin
@EranGalperin हैलो! मैं एक डिजिटल सागर कर्मचारी हूं। अपने खाते में एक डोमेन जोड़ने वाला पहला व्यक्ति इसके लिए रिकॉर्ड सेट कर सकता है, लेकिन हमारे पास संघर्ष के मामले में स्वामित्व स्थापित करने की प्रक्रिया है। - Jacob
@ जैकोब धन्यवाद! यह जानकर अच्छा लगा - Eran Galperin
इस तरह के मुद्दे हैं कि बड़े DNS प्रदाता (जैसे नेटवर्क समाधान) भी DNS रजिस्ट्रार हैं। वे एक ही समय में दोनों चरणों को संभाल सकते हैं, और यह सुनिश्चित कर सकते हैं कि चीजें सिंक हो रही हैं। - Barmar


जवाब:


आप नीचे टिप्पणी अनुभाग को कभी भी ध्यान न दें, और संपादन इतिहास में पिछले उत्तरों को कभी भी ध्यान न दें। दोस्तों के साथ कुछ बातचीत के एक घंटे बाद (धन्यवाद @ जॉय क्वर्टी, @इन, और @ जर्नीमैन गीक), और कुछ ज्वेलरी हैकिंग हम आपके प्रश्न और पूरी स्थिति की स्थिति के नीचे पहुंच गए। पूरी तरह से स्थिति को पूरी तरह से परिस्थिति और गलतफहमी के लिए खेद है।

चलो प्रक्रिया के माध्यम से कदम:

  1. आप खरीदे wesleyisaderp.com पर, मान लें, NameCheap.com।
  2. आपके रजिस्ट्रार के रूप में नामचिह्न होगा जहां आप अपने एनएस रिकॉर्ड तैयार करेंगे। मान लें कि आप वास्तव में डिजिटल महासागर पर DNS ज़ोन होस्ट करना चाहते हैं।
  3. आप अपने चमकदार नए डोमेन के एनएस रिकॉर्ड को इंगित करते हैं ns1.digitalocean.com तथा ns2.digitalocean.com
  4. हालांकि, मान लीजिए कि मैं यह निर्धारित करने में सक्षम था कि आपने उस डोमेन को पंजीकृत किया है, और इसके अलावा कि आपने अपने एनएस रिकॉर्ड डिजिटल महासागर में बदल दिए हैं। तब मैंने आपको एक डिजिटल महासागर खाते में हराया और ज़ोन wesleyisaderp.com को अपने आप में जोड़ा।
  5. आप ज़ोन को जोड़ने का प्रयास करते हैं *तुंहारे* खाता लेकिन डिजिटल महासागर का कहना है कि जोन पहले से ही उनके सिस्टम में मौजूद है! अरे नहीं!
  6. मैं सीएनएन wesleyisaderp.com सेवा मेरे wesleyisbetterthanyou.com
  7. Hilarity ensues।

कुछ दोस्तों और मैंने अभी इस सटीक परिदृश्य को खेला है, और हाँ यह काम करता है। यदि @JoeQwerty एक डोमेन खरीदता है और इसे डिजिटल महासागर नेमसर्वर को इंगित करता है, लेकिन मेरे पास पहले से ही उस क्षेत्र को मेरे खाते में जोड़ा गया था, तो मैं ज़ोन मास्टर हूं और जो भी चाहता हूं उसके साथ कर सकता हूं।

हालांकि इस बात पर विचार करें कि किसी को ज़ोन को अपने DNS खाते में सबसे पहले जोड़ना होगा, और फिर आपको अपने एनएस रिकॉर्ड्स को उसी मेजबान के नाम सर्वर पर इंगित करना होगा। इसके अलावा, डोमेन स्वामी के रूप में, आप जब चाहें एनएस रिकॉर्ड स्विच कर सकते हैं और रिज़ॉल्यूशन को खराब क्षेत्र होस्ट से दूर ले जा सकते हैं।

इस घटना की संभावना कम से कम कहने के लिए थोड़ा कम है। ऐसा कहा जाता है कि, सांख्यिकीय रूप से, आप 52 बजाने वाले कार्डों के डेक को घुमा सकते हैं और एक आदेश प्राप्त कर सकते हैं कि कोई अन्य इंसान कभी नहीं मिला है, और कोई अन्य इंसान कभी नहीं करेगा। मुझे लगता है कि वही तर्क यहां मौजूद है। इसका शोषण करने वाले किसी की संभावना बहुत कम है, और अस्तित्व में बेहतर शॉर्टकट हैं, यह शायद दुर्घटना से जंगली में नहीं होगा।

इसके अलावा, यदि आपके पास रजिस्ट्रार पर एक डोमेन है और यह किसी प्रदाता पर एक ज़ोन बनाने के लिए होता है जैसे डिजिटल महासागर जिसे आप टकराते हैं, मुझे यकीन है कि अगर आप स्वामित्व का प्रमाण प्रदान करते हैं, तो वे उस व्यक्ति से पूछेंगे जिसने बनाया अपने खाते में जोन इसे हटाने के लिए है क्योंकि इसके अस्तित्व के लिए कोई कारण नहीं है क्योंकि वे डोमेन नाम के स्वामी नहीं हैं।

लेकिन एक रिकॉर्ड के बारे में क्या

उदाहरण के लिए, डिजिटल महासागर, जो ज़ोन पर रखने वाला पहला व्यक्ति होगा, जो इसे नियंत्रित करेगा। आपके पास एक ही DNS आधारभूत संरचना पर एकाधिक समान क्षेत्र नहीं हो सकते हैं। तो उदाहरण के लिए, उपरोक्त मूर्ख नामों का उपयोग करते हुए, यदि मेरे पास डिजिटल महासागर पर एक क्षेत्र के रूप में wesleyisaderp.com है, तो डिजिटल महासागर के DNS आधारभूत संरचना पर कोई भी इसे अपने खाते में जोड़ सकता है।

यहां मजेदार हिस्सा है: मैंने वास्तव में वास्तव में अपने डिजिटल महासागर खाते में wesleyisaderp.com जोड़ा है! आगे बढ़ें और इसे अपने आप में जोड़ने का प्रयास करें। यह कुछ भी चोट नहीं पहुंचाएगा।

तो नतीजतन, आप wesleyisaderp.com पर एक ए रिकॉर्ड नहीं जोड़ सकते हैं। यह सब मेरा है।

लेकिन क्या बारे में...

जैसा कि @Iain नीचे बताया गया है, ऊपर मेरा बिंदु # 4 वास्तव में बहुत verbose है। मुझे इंतजार या साजिश या योजना बिल्कुल नहीं है। मैं बस कर सकता हूँ हजारों एक खाते में जोनों का और फिर वापस बैठो और प्रतीक्षा करें। तकनीकी तौर पर। यदि मैं हजारों डोमेन बना देता हूं, और फिर उनके लिए पंजीकरण करने का इंतजार करता हूं, और फिर उम्मीद है कि वे उन DNS होस्ट का उपयोग करें जिन्हें मैंने अपने जोनों को सेट किया है ... शायद मैं कुछ बुरा कर सकता हूं? शायद? लेकिन शायद नहीं?

डिजिटल महासागर और नाम की अपील की माफी

ध्यान दें कि डिजिटल महासागर और नामकैप अद्वितीय नहीं हैं, और इस परिदृश्य से कोई लेना देना नहीं है। यह सामान्य व्यवहार है। वे सभी मोर्चों पर निर्दोष हैं। मैंने अभी उनका इस्तेमाल किया क्योंकि यह उदाहरण दिया गया था, और वे बहुत प्रसिद्ध ब्रांड हैं।


57
2017-12-19 06:31



मुझे लगता है कि अगर आप वास्तव में किसी के साथ गड़बड़ करना चाहते हैं, तो आप उदा। एक A और ए MX वास्तव में लंबे टीटीएल के साथ आरआर, जो आपके द्वारा नियंत्रित होस्ट पर इंगित करता है, और आम सार्वजनिक DNS सर्वर (जैसे Google की, शायद?) हथौड़ा। कैश विषाक्तता का एक रूप ... - α CVn
यह बदलने में सक्षम होने के कारण डोमेन स्वामित्व दिखाने के लिए भी छोटा है कि कौन से एनएस सर्वर की ओर इशारा किया जाता है, भले ही किसी ने ऐसा किया हो, अगर उनकी ग्राहक सेवा अच्छी हो तो अपेक्षाकृत तेज़ी से साफ़ किया जा सकता है। - JamesRyan
@JamesRyan TXT रिकॉर्ड इस तरह के मामलों में स्वामित्व साबित करने के लिए उपयोग किए जाते हैं। - Iain
@ वेस्ले यह सही है। हमारे DNS सेवा के साथ ज़ोन संघर्षों के मामलों को संभालने के लिए हमारे पास एक प्रक्रिया है। - Jacob
एक अजीब स्थिति जहां यह अधिक संभावना हो सकती है वह डोमेन था पहले से डिजिटल महासागर में पंजीकृत और उपयोग में, और फिर समाप्त हो गया / नवीनीकृत नहीं किया गया था लेकिन क्षेत्र को डिजिटलओअन से हटाया नहीं गया था। बाद में इसे एक 'नया' डोमेन (अनजान है कि यह पहले स्वामित्व में था) के रूप में इसे छीनता है, फिर डिजिटल महासागर में क्षेत्र बनाने की कोशिश करता है। यह केवल तभी रोका जा सकता है जब DNS होस्ट समय-समय पर उन क्षेत्रों को शुद्ध करता है जिनके लिए यह अब नेमसर्वर नहीं है। (उपर्युक्त संघर्ष समाधान विधियों के बिना) - Ashley Steel


वेस्ले के उत्कृष्ट उत्तर के अलावा, मैं यह भी जोड़ना चाहता हूं कि इसे रोकने के लिए पहले से ही एक समाधान है। इसे DNSSEC कहा जाता है।

मूल बातें ये हैं:

  • आप अपना डोमेन पंजीकृत करते हैं (मैं प्रतिष्ठित नाम के साथ जाऊंगा wesleyisaderp.com यहाँ, सिर्फ इसलिए।)
  • आप अपने नाम सर्वर को अपने रजिस्ट्रार के साथ पंजीकृत करते हैं, आमतौर पर एक वेब इंटरफ़ेस के माध्यम से जिसे आप उपयोगकर्ता नाम / पासवर्ड कॉम्बो के साथ प्रमाणित करते हैं।
  • आप एक सार्वजनिक / निजी कुंजी जोड़ी भी बनाते हैं, और आप अपने रजिस्ट्रार को DNSKEY रिकॉर्ड के रूप में अपनी सार्वजनिक कुंजी अपलोड करते हैं। (इस प्रकार रजिस्ट्रार शीर्ष स्तर डोमेन के लिए रूट सर्वर पर ट्रस्ट की श्रृंखला स्थापित कर सकता है - इस मामले में, रूट सर्वर के लिए .com।) फिर, जब आप अपने उपयोगकर्ता नाम / पासवर्ड कॉम्बो के साथ लॉग इन होते हैं, तो आप इसे अपलोड करते हैं, इसलिए यह आपके डोमेन से जुड़ा हुआ है, न कि किसी और के लिए।
  • आप नेमसर्वर पर जाते हैं, आप अपने रिकॉर्ड दर्ज करते हैं और आप परिणामी जोन फ़ाइल को अपनी निजी कुंजी से साइन करते हैं। या, यदि आपके पास अपनी DNS होस्टिंग सेवा में कोई वेब इंटरफ़ेस है, तो आप उन्हें निजी कुंजी अपलोड कर सकते हैं ताकि वे ज़ोन फ़ाइल पर हस्ताक्षर कर सकें।
  • जब वेस्ले इतनी कठोर रूप से आपके डोमेन को अपहरण करने और इसे नाम देने का प्रयास करती है wesleyisbetterthanyou.com, उनके रिकॉर्ड .com रूट डोमेन सर्वर द्वारा स्वीकार नहीं किए जाएंगे क्योंकि वे सही कुंजी से हस्ताक्षरित नहीं हैं। यदि आपका DNS होस्टिंग प्रदाता चालाक है, तो वह उस बल्ले से ठीक से जांच करेगा और उसे उस डोमेन में रिकॉर्ड जोड़ने की अनुमति भी नहीं देगा जब तक कि उसे सही निजी कुंजी न मिल जाए।
  • जब आप अपने खुद के रिकॉर्ड दर्ज करते हैं, तो उन्हें सही कुंजी द्वारा हस्ताक्षरित किया जाएगा, इसलिए वे काम करेंगे।
  • अब आप वापस बैठकर वेस्ले में हंस सकते हैं।

(मूल मामले में, वेस्ले का वर्णन करने वाला एक, मुख्य त्रुटि यह होगी कि डिजिटल महासागर किसी के लिए DNS रिकॉर्ड्स सेट करने की अनुमति देने से पहले किसी डोमेन के स्वामित्व को सत्यापित नहीं करता है। दुर्भाग्यवश, वे इसमें अकेले नहीं हैं; मुझे पता है एक ही मुद्दे के साथ कम से कम एक स्वीडिश रजिस्ट्रार।)


31
2017-12-19 09:31



उत्सुक, किसी भी गैर-DNSSEC DNS ज़ोन होस्टिंग प्रदाता कैसे ज़ोन को बनाने की अनुमति देने से पहले स्वामित्व सत्यापित करेगा? मैंने अमेज़ॅन रूट 53 का उपयोग करके भी कोशिश की और मैं जो भी ज़ोन चाहता हूं उसे बना सकता हूं। - Wesley
वे शायद नहीं करेंगे, इसे स्थगित परीक्षण और त्रुटि जांच की आवश्यकता होगी। बस अनुमान लगाते हुए, कुछ (धूम्रपान-स्क्रीन) ux चाल के साथ हटाएं-ऑन-त्रुटि अभी भी संभव हो सकती है। - Sampo Sarrala
@ वेस्ले मैंने मैकेनिक्स नहीं माना है। लेकिन कम से कम, जोइस रिकॉर्ड पर किसी प्रकार की जांच, या उसी तरह के चेक जो सस्ता एसएसएल प्रमाणपत्र विक्रेता काम करेंगे। अगर वे ऐसा कर सकते हैं, तो कंपनियों की मेजबानी क्यों नहीं कर सकते? - Jenny D
@ जेनीड सुविधा, ज्यादातर! इस प्रकार का डोमेन अपहरण पर्याप्त दुर्लभ है और यह पता लगाने योग्य है कि इसे ठीक करने के लिए हर वैध उपयोगकर्ता को हुप्स के माध्यम से कूदने के बजाय इसे ठीक करना आसान होता है। - duskwuff
@duskwuff जब सुविधा और सुरक्षा संघर्ष, सुविधा आमतौर पर जीत जाती है ... मैं मानता हूं कि डोमेन अपहरण दुर्लभ होने की संभावना है - लेकिन बिना किसी बुरा इरादे के सरल गलतियों के बारे में क्या? आईएमओओ, यह किसी भी प्रकार के चेक न करने के लिए DNS होस्टर्स का लापरवाही है। - Jenny D


रजिस्ट्रार को उनके नाम सर्वर का उपयोग करने के लिए कहने से पहले आप डिजिटलऑअन (यानी इसे अपने खाते से संबद्ध कर सकते हैं) पर डोमेन के स्वामित्व का दावा करते समय ठीक रहेगा।

अगर किसी ने आपके डोमेन को अपने खाते से पहले ही जोड़ा है तो आप डिजिटलऑन नेमसर्वर आधिकारिक बनने से पहले ही पता लगाएंगे। और यदि ऐसा होता है, तो उस व्यक्ति को अपने खाते से बाहर निकालने के बारे में डिजिटलऑअन से बात करें।

सर्वोत्तम अभ्यास के साथ, {ns1, ns2, ns3}। DigitalOcean.com कहीं और होस्ट किए गए डोमेन के लिए रिकर्सिव रिज़ॉल्यूशन के रूप में कार्य नहीं करता है। यदि उन्होंने किया, और यदि DigitalOcean द्वारा होस्ट किए गए सर्वर सामान्य सर्वर रिज़ॉल्यूवर के रूप में उन सर्वरों का उपयोग करते हैं, तो वहां एक बड़ी समस्या होगी। उन सभी के लिए जो बुरे अभ्यास के लिए जाने जाते हैं, शायद यह होस्टिंग प्रदाताओं को खोजने में मुश्किल नहीं है जो इसे गलत समझते हैं, जो दुरुपयोग के लिए संभावनाएं खुलता है।


5
2017-12-19 10:07



तो यदि डिजिटलऑन अभी तक डोमेन के लिए आधिकारिक नहीं है और कई संभावित ग्राहक दोनों डोमेन का दावा करने का दावा करते हैं, तो डिजिटलओअन कैसे पता चलेगा कि कौन से संभावित ग्राहक सत्य बता रहे हैं? क्या वे डोमेन पर नियंत्रण साबित करने के लिए एनएस रिकॉर्ड अपडेट करने के लिए रिकॉर्ड बनाने और समय सीमा बनाने के लिए पहली बार पहुंच प्रदान करने जा रहे हैं? या क्या वे संभावित ग्राहकों को एनएस रिकॉर्ड में डाल करने के लिए आधिकारिक सर्वरों का एक अलग सबसेट देने जा रहे हैं? - kasperd
@ kasperd वैध मालिकों को जहां भी वे चाहते हैं एनएस रिकॉर्ड इंगित करते हैं और फिर उदाहरण के लिए एक TXT रिकॉर्ड कॉन्फ़िगर करते हैं जो साबित करता है कि वे मालिक हैं क्योंकि इसमें अद्वितीय जानकारी है जो सेवा प्रदाता उन्हें देता है। माना जाता है कि एक पालावर का थोड़ा सा हिस्सा है, लेकिन दुर्लभ अवसरों के लिए यह हो सकता है कि यह सब कुछ ऑनबोर्ड लाने से पहले स्वामित्व साबित करने से कुछ आसान हो। - Iain
@ kasperd अक्सर जोइस रिकॉर्ड वैध मालिक की पहचान करता है, हालांकि लोगों को कभी-कभी उस जानकारी को अस्पष्ट करने का कारण होता है। किसी भी मामले में, यदि आप डोमेन को अपने खाते से जोड़ना चाहते हैं तो आप इसे आधिकारिक बना सकते हैं, संभवत: प्रेषक को रजिस्ट्रार को अपडेट करने के लिए एक समयरेखा दें, या डीओ में डोमेन एसोसिएशन छोड़ दें। वैध मालिक को थोड़ा इंतजार करना पड़ सकता है, बस इतना ही। - mc0e


मुझे लगता है कि इस मुद्दे का मतलब है कि किसी को भी ऐसे रिसेवर के रूप में ऐसे नेमसर्वर (जैसे डिजिटल महासागर) का उपयोग नहीं करना चाहिए, क्योंकि कोई भी मौजूदा डोमेन के लिए नेमसर्वर कर सकता है। डोमेन के नियंत्रण के लिए लड़ाई अप्रासंगिक है क्योंकि डोमेन स्वामित्व आसानी से साबित किया जा सकता है, लेकिन तथ्य यह है कि कोई भी उदाहरण के लिए किसी भी मौजूदा डोमेन को डिजिटल महासागर पर होस्ट नहीं किया जा सकता है, जहां कहीं भी वे चाहते हैं।

निचली पंक्ति: किसी भी होस्टिंग सेवा के DNS सर्वर पर भरोसा न करें, जिसके लिए डोमेन स्वामित्व के प्रमाण की आवश्यकता नहीं है (उदाहरण के लिए आसानी से और जल्दी से विधि के अनुसार किया गया था: डोमेन पर किसी निश्चित मूल्य के साथ एक TXT रिकॉर्ड जोड़कर , उदाहरण के लिए माइक्रोसॉफ्ट ओ 365 और Google यही करते हैं)।


0
2017-12-16 21:10