Quanto è pericoloso che ci siano voci DNS per il nostro dominio che non abbiamo registrato?

Naviga le tue risposte
6

Stavo eseguendo una brute-force DNS sul dominio della nostra azienda e ho trovato voci come "html" "ww" e "wwww" che risolvono gli IP al di fuori del nostro blocco registrato.

Questo ha scatenato un dibattito su quanto sarebbe pericoloso che queste voci esistessero. Sembrerebbe che qualcuno possa reindirizzare gli utenti del nostro sito a un sito di raccolta delle credenziali, ad esempio utilizzando un sito Web e un URL simili, ma quelli che stavo cercando di convincere non sembravano essere d'accordo.

Qual è il vero pericolo qui?

    
posta schroeder 07.12.2011 - 21:51
fonte

3 risposte

6

Questo è molto pericoloso. Se qualcuno ha il controllo sul tuo DNS, può, ad esempio, rubare tutta la tua email o il tuo traffico web.

  • In primo luogo, gestisci i tuoi server DNS o sono ospitati (ad esempio presso un provider di hosting o presso il tuo registrar)?
    • Hosted:
      • Controlla il pannello di controllo per queste voci extra. Possono essere precompilati per puntare ai server dell'host.
      • Se il tuo provider di hosting lo supporta, esporta il tuo file di zona e cerca queste voci. (Per il caso strano in cui non vengono visualizzati nel pannello di controllo, ma si trovano ancora nella zona.)
      • Dopo aver seguito i passaggi seguenti per assicurarti che le voci provengano dal server DNS del tuo host, chiama il tuo provider di hosting e chiedi informazioni su queste voci.
      • Dopo aver scoperto dove / perché ci sono le voci, puoi decidere di lasciarle, rimuoverle e / o cambiare provider di hosting.
    • autoazionati:
      • Controlla manualmente il tuo file di zona per vedere se ci sono le voci.
  • Esegui una ricerca inversa sugli IP a cui queste voci fasulle si stanno risolvendo:
    • host 10.1.2.3
    • Il nome che si ottiene ha senso, ad es. è il tuo provider di hosting o qualche altra parte correlata?
    • Se la ricerca non ti dà un nome, cerca il proprietario del netblock per vedere se questo ti dà qualche indizio:
    • whois 10.1.2.3
  • Controlla se le voci provengono dal tuo server DNS cercando una delle voci false:
    • dig ww.mycompany.dom @ns1.mycompany.dom
  • Controlla se le voci provengono dal tuo DNS secondario (e / o terziario, ecc.):
    • dig ww.mycompany.dom @ns2.mycompany.dom
  • Se le voci non si trovano in uno dei tuoi server DNS, cerca di capire da dove provengono. Questo comando ti darà una traccia della ricerca iniziando dai server di root e andando al tuo dominio:
    • dig +trace ww.mycompany.dom
  • Se la traccia non mostra la voce, è possibile che tu stia utilizzando un servizio DNS (ad es. opendns) che "ruba" nomi host falsi per reindirizzarli ai loro server. (Alcuni server DNS sempre restituiscono un indirizzo IP per qualsiasi ricerca, anche se non vi è alcun host registrato a quell'indirizzo, l'IP restituisce punti al loro server. Ad esempio, se faccio dig bogusboguszzzzx.net @208.67.222.222 ottengo indietro 67.215.65.132 , che inverte a hit-nxdomain.opendns.com. )
    • Non utilizzare questo tipo di servizio per i test! (Penso che sia una cattiva idea in generale perché si rompe DNS, ma YMMV ...)
risposta data 08.12.2011 - 13:37
fonte
2

Puoi dire chi ha creato le voci? Hai accesso per modificare il tuo file di zona? Potresti provare a controllare quelle voci sul Web esterno e anche internamente. Potrebbe essere un problema con il tuo server DNS interno. Se qualcuno ha accesso per creare un ww o wwww, non c'è motivo per cui non possano reindirizzare il vero indirizzo www.

    
risposta data 07.12.2011 - 22:55
fonte
2

Alcuni fornitori di servizi Internet forniscono un servizio che reindirizza il browser a una delle pagine di ricerca quando si digita un nome host che non esiste nel browser. Ciò si basa sulla cattura di tutte le richieste DNS che normalmente non sarebbero risolte e invierebbero invece uno dei propri indirizzi IP.

Prova a digitare il nome errato in un browser web (dalla rete in cui hai riscontrato questi problemi) e guarda cosa ottieni. Potrebbe essere solo una pagina dell'ISP; potresti anche essere in grado di trovare alcune spiegazioni nell'angolo della pagina e offrirti di rinunciare.

C'è un link per un ISP specifico (da Wikipedia ), che descrive la sua politica: link .

Non è una buona pratica, specialmente quando non ti puoi fidare della pagina che stai reindirizzato a , ma se questo problema è effettivamente specifico per un determinato ISP, non è un problema con il server DNS. In questo caso, c'è poco che puoi fare a parte cercare di rinunciare a questa "caratteristica". Questo è più un problema per i tuoi utenti che per la tua azienda, ma c'è poco che puoi fare se non possono fidarsi del proprio ISP almeno per risolvere correttamente il DNS (alcuni impediranno di usare server DNS esterni).

    
risposta data 09.12.2011 - 12:01
fonte

Leggi altre domande sui tag

Come è stata riparata la rinegoziazione TLS? Qual è il modo più appropriato di notifica / richiesta di autorizzazione da un ISP relativo ai test di sicurezza white hat?