我们有一位客户为其域名设置了CNAME记录.不知怎的,他设法创建了一个A Record,这应该是不可能的,并且被DNS禁止.但结果是:
$dig @ns1.your-server.de tippspiel-bl1.unternehmen-frische.de ... ;; ANSWER SECTION: tippspiel-bl1.unternehmen-frische.de. 7200 IN CNAME www.kicktipp.de. tippspiel-bl1.unternehmen-frische.de. 7200 IN A 78.46.10.156
第二条记录是非法的.但这导致其他缓存DNS服务器的一些混乱,当他们被问及www.kicktipp.de时返回78.46.10.156.但这是完全错误的.
另一个DNS服务器使用了两个答案并将它们混合在一起.最终结果:访问www.kicktipp.de的用户被发送到78.46.10.156,这是unternehmen-frische.de的IP
在为具有CNAME和A Record的域设置DNS时,我似乎可以劫持域.这是一个已知的错误?如何保护我的域名免受攻击?
解决方法
要专门解决您的问题:
>不,这不是经常遇到的问题.也就是说,中毒确实发生了,但它通常依赖于欺骗性的回复而不是与CNAME一起生活的A记录. DNSSEC的设计考虑了中毒攻击.
>如果在此实施DNSSEC,则可以清楚地确认解析器未记录A记录.在你自己的区域里你没有别的办法可以对这个问题产生影响.
由于您缺少其他信息,因此您必须与ISP联系.定义引用的RFC的最适用的标准是RFC2181,因为它在与其他数据共存的CNAME主题上比RFC1034更不明确. (RFC1034对此皱眉,RFC2181禁止它,除非记录与DNSSEC相关)
所有这些都说,我对这个问题有点怀疑,正如你所描述的那样.对于tippspiel-bl1.unternehmen-frische.de来说,这确实是一个棘手的错误. IN在www.kicktipp.de上引起碰撞.在一个.