什么能阻止别人为我的域名创造一个记录？

Question

我可能是完全错误的，但似乎是标准的方法指向一个网站的域名是非常不安全的。

假设您的域名与A公司重新注册，您的站点通过B公司托管。

将其全部设置的步骤通常如下：

• 登录到公司A，并将my-domain.com的DNS记录设置为指向ns1.company-b.com和ns2.company-b.com。
• 登录到公司B，并将my-domain.com添加到您的帐户并建立一个A记录。

但是B公司怎么知道你被授权建立一个A记录呢？仅仅因为域在使用他们的DNS服务器？难道不是因为其他人是B公司的客户，他们才是域名的所有者吗?他们把域名指向B公司的DNS服务器--既然你也是B公司的客户，你就可以直接劫持域名了吗？

这可能是不可能的，如果是的话，是什么阻止了这样的事情发生呢？

Answer 1

从理论上讲，你是对的。实际上，这并不是真正的安全问题，因为您可以控制域作为权威名称服务器使用的内容。因此，假设我已经在B公司为您的域设置了记录，您可以去设置记录，它们的接口将不允许您设置记录(因为DNS服务器不能为同一域激活多个区域文件)，或者您注意到已经设置了记录。您立即再去A公司，并将您的权威名称服务器设置为指向其他地方，然后您与B公司交谈。B公司知道您是该域名的所有者，而不是其他客户，因为A)您的信息位于WHOIS数据库中，与该域相关；B)您可以通过设置权威的名称服务器来演示对该域的控制。很可能，他们会因为他们的邪恶行为而中止另一位客户的职务。

这不是你应该花很多时间担心的事情。

Answer 2

你应该按另一个顺序做这些步骤。在指定名称服务器之前，在B公司设置并确认您已将域添加到您的帐户中。那样的话，攻击窗口就是零。但是，即使你不这么做，它仍然是一个非常狭窄的窗口，很容易通过打电话给B公司(或者只是指向名称服务器)解决。

Answer 3

很简单。只有权威的服务器才重要。

我可以在家里的服务器上为google.com设置DNS，让它看起来像google，整天摆弄它，重定向和捕获来自我孩子的流量等等，但是只要客户端实际向根服务器询问区域的权限，我就不会在意我设置了什么up...because --权威服务器决定了这一点，并将正确的地址记录返回给客户端。

是的，您可以创建中毒的DNS条目以及所有这些，但这些条目上的TTL迟早会过期，除非您可以直接控制客户端的解析器地址，否则客户机将运行到根服务器，根服务器将指向正确的服务器(权威服务器)，然后跳汰机就会启动。即使您使用另一个DNS服务，该服务迟早也会缓存正确的条目。

在B公司的情况下，在你的例子中，你可以设置所有你想要的记录。除非客户端查询该服务器，否则这无关紧要。如果他们确实直接查询，那就另当别论了，但即使这样也不会永远持续下去，当TTL过期时，DNS舞蹈会在again...directing上到处发生到正确的服务器上。

这里的键是向root注册的DNS服务器。不管根认为是服务器(S)的IP地址，对您的领域是权威的，嗯，这是人们会去那里获得答案。如果您担心有人在“传输中”时劫持域名，那么最好通过使用DNS服务提供的工具来将域名转移过去。他们会帮你处理这一切的。当他们这样做时，他们将把他们的服务设置为您的区域的权限和根服务器。

如果您担心有人再次尝试注册域，那么DNS从根本上说就被钉住了，而互联网是borken (不是坏掉，而是BORKened)。事情不是这样发生的。