Comment quelqu'un a-t-il dirigé un sous-domaine de notre domaine vers l'adresse IP de quelqu'un d'autre?

34

Nous possédons un domaine primaire:

  • businessdts.com

Je ne savais pas si nos administrateurs avaient créé un sous-domaine que j'avais demandé, "BDASERVER.businessdts.com", alors j'ai juste essayé de me connecter avec un navigateur et j'ai obtenu un "introuvable". Ensuite, j'ai envoyé un ping à ce sous-domaine et obtenu une adresse IP qui ne nous appartient pas:

  • Pinging BDASERVER.businessdts.com [198.105.244.117] avec 32 octets de données
  • Notre domaine et tous les sous-domaines doivent avoir une adresse IP de [173.203.24.209]

J'ai demandé aux administrateurs de vérifier toutes nos zones DNS et nous n'avons trouvé aucune instance du sous-domaine BDASERVER (les administrateurs ne l'avaient pas encore créé), ni d'instance de l'adresse IP 198.105.244.117.

En effectuant une recherche IP, nous avons constaté que 198.105.244.117 appartenait à une société appelée Search Guide Inc. (searchguideinc.com). Ils semblent être un courtier de domaine.

Est-ce que je manque quelque chose:

  • Comment ce sous-domaine BDASERVER at-il été résolu en une adresse qui n’est pas la nôtre?
  • Comment quelqu'un peut-il détourner un sous-domaine?
CBruce
la source
29
Quels serveurs DNS utilisez-vous lorsque vous exécutez cette recherche? Ma recherche ne résout pas ce nom. Cela sent le détournement de NXDOMAIN pour moi.
joeqwerty
Nos serveurs de noms sont NS.RACKSPACE.COM et NS2.RACKSPACE.COM, @joeqwerty. Lorsque nous obtenons la configuration de BDASERVER et des sous-domaines génériques, il semble que cela remplace les pirates de l'air. La seule façon dont j'ai découvert le problème était lorsque j'ai envoyé un ping contre le sous-domaine.
CBruce
5
Désolé, j'aurais dû clarifier mon commentaire. Je demandais quels serveurs DNS votre ordinateur utilise-t-il pour la résolution DNS? Ce sont les serveurs de noms qui piratent la réponse NXDOMAIN, pas les serveurs de noms de votre nom de domaine.
joeqwerty

Réponses:

37

Comme les autres gars l'ont suggéré - il s'agit en fait d'une norme de fournisseur de services Internet. ATT le fait pour moi aussi. Lorsque le domaine demandé n'est pas trouvé et que les enregistrements DNS ne pointent pas vers une destination par défaut (vous pouvez configurer celle-ci sur votre serveur qui gère votre DNS - il est plus que probable que vous utilisiez un registraire standard et ils géreront votre DNS pour vous. - Connectez-vous simplement à l'endroit où vous avez enregistré votre nom de domaine et cliquez sur Gérer les DNS. Vous devez ajouter un enregistrement de redirection "générique". De cette façon, vous dirigerez toujours le trafic non défini vers une page Web par défaut - ou votre page d'index de votre site Web principal. Paramètres DNS par défaut

En bout de ligne - si vous gérez votre nom de domaine et votre serveur - configurez vos caractères génériques par défaut et souhaitez également ajouter des pages d'erreur personnalisées pour pointer votre serveur Web lorsque quelqu'un demande une page qui n'existe pas - ajoutez votre logo et un lien vers votre site principal avec un script de recherche de petit site ou quelque chose dessus ... c'est tellement ennuyant de demander une ressource ou une page html à un site web - même en cliquant sur l'un de leurs liens sur une autre page de leur site - et c'est moche "400 Error "la page apparaît. Une entreprise peut faire beaucoup pour préserver l'expérience utilisateur en prenant soin de gérer les erreurs et de garder ses clients. Je vous recommande également d'inclure un "RAPPORT DE LIEN BRISÉ"

Je suis hors sujet maintenant - mais clairement - le PO a besoin d'en savoir un peu plus sur ce qui permet au FAI d'intercepter l'erreur. Le gestionnaire DNS ne fournit pas de réponse utile au sous-domaine non défini demandé, car il est pas là - donc le FAI sert une page générant des revenus à la place. Solution facile cependant!

GoZippy
la source
27
"C’est en fait une norme de l’ISP", je suppose que cela dépend fortement des paramètres régionaux. Aucun des fournisseurs d'accès à Internet que j'ai utilisés ne l'a fait (et si mon fournisseur actuel commence à le faire, il aurait de mes nouvelles ...).
un CVn
5
Pour appeler cela une "norme", il devrait s'agir d'un BCP ou au moins d'un MAI dans les RFC correspondants. J'en doute fortement.
Hagen von Eitzen
7
@HagenvonEitzen malheureusement, les entreprises à but lucratif, comme les FAI (du moins ici aux États-Unis), se soucient peu des PCA, des RFC et des autres normes. Ainsi, la norme du monde réel peut s’avérer très divergente par rapport aux normes publiées.
Doktor J
4
@DoktorJ En un sens, on pourrait dire que s'ils enfreignent délibérément les RFC, qui sont la norme de facto d'Internet, ce que votre fournisseur de services vous fournit n'est pas Internet ... my 2c
Hagen von Eitzen
6
Le FAI pense que renvoyer des réponses frauduleuses aux requêtes DNS peut aider, mais la personne qu'il pense pouvoir aider n'est pas le client.
Jon Hanna
64

Il n'y a pas d'enregistrement pour ce sous-domaine:

$ dig BDASERVER.businessdts.com

; <<>> DiG 9.8.3-P1 <<>> BDASERVER.businessdts.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11871
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;BDASERVER.businessdts.com. IN  A

;; AUTHORITY SECTION:
businessdts.com.    300 IN  SOA ns.rackspace.com. hostmaster.rackspace.com. 1487794151 10800 3600 604800 300

;; Query time: 86 msec
;; SERVER: 192.168.64.1#53(192.168.64.1)
;; WHEN: Wed Feb 22 21:29:53 2017
;; MSG SIZE  rcvd: 103

Il est probable que le DNS de votre fournisseur de services effectue ce que l'on appelle un détournement de NXDOMAIN, où il pirate les réponses DNS de NXDOMAIN et au lieu de répondre avec un NXDOMAIN approprié (comme ci-dessus), il vous donne l'adresse IP d'une page de "recherche" revenus publicitaires pour eux.

Je parlerais avec votre fournisseur de services Internet et leur demanderais de cesser d'interférer avec votre trafic. S'ils refusent, obtenez un meilleur fournisseur de services Internet ou utilisez un résolveur différent pour votre trafic.

EEAA
la source
13
Confirmé. Cette adresse IP est enregistrée dans Search Guide Inc, une destination connue du détournement de NXDOMAIN.
Michael Hampton
Et c'est en partie la raison pour laquelle les bureaux d'enregistrement tirent tellement parti des inscriptions "défensives" :(
Gypsy Spellweaver
Donc, si nous allons de l'avant et créons le sous-domaine BDASERVER dans notre zone DNS - cela remplacera-t-il ce que les secousses font-il et fonctionnera-t-il correctement pour nous?
CBruce
2
@CBruce Oui, il le devrait. Et ensuite, changez votre résolveur DNS. :)
EEAA
@CBruce Eh bien, selon le TTL dont ils ont fait preuve dans leur réponse manipulée, cela peut prendre un certain temps
Hagen von Eitzen
2

Quelqu'un pointe vers un sous-domaine, ou toute entrée DNS importante à cette fin, qui n'existe pas en faisant le détournement de NXDOMAIN, ce qui signifie que les propriétaires DNS gloutons réécriront les entrées pour qu'elles pointent vers des pages basées sur des annonces.

La réponse à cette question est très simple: activez DNSSEC sur votre domaine, ce qui empêchera toute personne de répondre à partir d’un autre DNS (comme votre fournisseur de services Internet).

Max Dor
la source
1
Cela suppose que le client valide DNSSEC et que le serveur DNS malveillant du fournisseur de services Internet ne supprime pas les enregistrements DNSSEC. Un en-tête Strict-Transport-Security avec includeSubDomains peut causer plus de dommages au pirate de sous-domaine que l'ajout de DNSSEC.
Ángel
1
Tout à fait convenu - de nos jours, le DNS est tout simplement peu sécurisé (pourquoi utilisons-nous même cet événement ...), pas d'argument sur la modification d'une requête DNS. Mais supprimer les enregistrements DNSSEC est un tout autre niveau que le simple détournement d’une réponse NXDOMAIN à laquelle les fournisseurs de services Internet pourraient ne pas se contenter.
Max Dor
Oui, c'est très vrai. Observez ce conseil OP.
GoZippy