早期声明:本文无意激怒DigitalOcean。其实我觉得DigitalOcean在这种情况下的回复是完全有效的。希望DigitalOcean能把这个域名从我的账号里删除,没必要封禁我的账号。此外,DigitalOcean的安全精英团队帮助我获得了非常积极的印象,我可以在未来与他们进行更积极的沟通。
前言
DigitalOcean是类似于美国亚马逊网络服务或谷歌云的云服务提供商。云服务器托管是他们的产品系列之一。这里有一本非常好的关于如何使用他们DNS的手册(https://www.digitalocean.com/community/tutorials/how-to-set-up-a-host-name-with-digitalocean)。花点时间看一下,看能不能发现他们域名设置整个过程中潜在的问题。
快速浏览一下手册,你会发现它似乎是一个简单易用的系统软件。例如,没有令人反感的域名认证,防止您添加任意域名到您的帐户。你不必记住你的域名网络查询中是谁,也不必将你的域名关联到一个专门的域名服务器。事实上,您需要做的只是以下几点:
在Internet部分,单击添加域名,然后在网页上填写您要连接的web服务器的域名和IP地址
因此,如果你愿意,你可以把我的域名thehackerblog.com加到你的数字海洋账户里。不过也产生了一些有趣的话:“别人能阻止我把域名导入DigitalOcean吗?”,“当我们从DigitalOcean删除我的域名时,忘记更改域名服务器会怎么样?”。在回应这个问题之前,我们先来看看另一家云服务提供商是怎么做的。
Route53设置整个过程
美国亚马逊互联网服务(AWS)也推出了云DNS服务器服务项目,其产品系列被称为Route53。作为测试,我尝试了设置域名thehackerblog.com的整个过程。如果你想亲自尝试,可以查询AWS的官方web文本文档(https://docs.AWS.Amazon.com/gettingstarted/latest/SWH/getting-started-configure-route53.html)。第一步是点击Route53 *** 作面板左上角的“创建托管区”按钮。先填写域名,建立后进入新建区域的DNS管理方法控制面板。NS记录类别预先填充了一些随机生成的域名服务器。比如我收到的域名服务器目录如下所示:
ns-624.awsdns-14.net。
ns-39.awsdns-04.com。
ns-1651.awsdns-14.co.uk。
ns-1067.awsdns-05.org。
上述步骤是至关重要的-如果我来到thehackerblog.com,建立一个地区,你做同样的事情,那么你可能会得到不同的域名服务器。如果你把这个区域的文档从你的AWS账号里删除,没有人可以连接我的域名,因为这个域名服务器是我的账号独占的。所以,如果你想连接我删除的域名,你需要不断尝试,直到你得到同一个域名服务器。否则我的域名会偏向其他域名服务器而不是你 *** 纵的那个。
返回数字海洋
回到DigitalOcean“当我们从DigitalOcean删除我的域名时忘记更改域名服务器会怎么样?”这个问题的答案越来越清晰。如果你从你的帐户中删除了一个域名,那么每个人都可以立即将它添加到他们的帐户中,而没有任何使用和验证的权利。
但是,注意到有可能发生的问题是一回事,证明会大规模发生又完全是另一回事。不把互联网技术的域名全部加到大家的DigitalOcean账号上,怎么证明这个问题有针对性和广泛性?
首先,一个简单的辨别数字海洋账号是否添加了域名的方法是,按时查看DNS,看数字海洋域名服务器如何响应。举个例子,大家都用。cm作为测试,并且他们的域名服务器设置为DigitalOcean,但是还没有添加到所有DigitalOcean账户:
强制@Matthews-MacBook-Pro-4~>;挖NS。cm@NS1.digitalocean.com.
;<<>>挖9.8.3-P1<;<>>NS。cm@NS1.digitalocean.com.
;;全局选项:cmd
;;得到了答案:
;;->;>标题<<-opcode:查询,状态:拒绝,id:53736
;;标志:qrrd查询:1,回答:0,权威:0,附加:0
;;警告:请求了递归,但不可用
;;问题部分:
;.cm.INNS
;;查询时间:51毫秒
;;服务器:173.245.58.51#53(173.245.58.51)
;;时间:2016年8月23日星期二23:09:00
;;消息大小rcvd:26
在上面的输出中,我们可以看到DigitalOcean域名服务器返回了一个DNS拒绝(RCode5)这是不正确的,说明域名服务器拒绝回复大家实现的NS查询记录。这为您提供了一种简单的方法来判断域名是否已添加到您的DigitalOcean帐户中。
这个问题已经解决了,但是用互联网技术去检查每一个域名还是不太实际。再说了,互联网技术大家怎么能拿到所有的域名?答案是基于各个顶级域名(TLD)的域文档组。每个人都使用。com和。netTLDs,非常容易从Verisign获得,用于科研目的。该文件包括所有现有的。com和。net域名和匹配的域名服务器。grep的应用可以查出多少。com和。net域名在这个域文件里,还有DigitalOceanDNS服务器的应用。在撰写本文时,这两个顶级域名的总数如下:
。com:170829
。净人数:17101人
添加多达187,930个域名,并将DigitalOcean作为其DNS服务提供商。现在,我们可以检查域名,然后检查结果,不正确的DNS拒绝表示没有添加到DigitalOcean帐户中(意味着可以对接)。在用一个简洁的Python脚本进行了几个小时的DNS检查后,最终,2159个八域名因不正确而被返回DNS。这个域名加入数字海洋账号后,具体数据接近19500。这个数据很震撼!这说明我对接了近2万个DigitalOcean域名。
天坑流
我对接的绝大多数域名其实都是纯粹的破废域名,所有的设备都没有进行。Sinkholeweb服务器是一个标准的nginxweb服务器,它返回一个缺失的网页和空的web请求日志。在这个域名上启动天坑服务项目后,没几天浏览日志就增加到了1.8GB,而且需求还在源源不断的涌入。大部分来自百度搜索引擎(总流量的80%左右),也是现在其他合理合法客户可以跳转的网站。总流量的持续涌入是困扰我的一个领域。
数字海洋的回复
在确认这个基本理论属实后,我联系了DigitalOcean的安全精英团队,描述了问题(按照他们安全网页的规定)。他们的回答如下:
“谢谢你把这个问题叙事推给大家。是人人服务平台上已知的工作流引擎。大家一直专注于改善所有客户的感受,也在分析一些方法来减少你描述的这种个人行为的危害。”
所以,其实他们早就知道这个问题了,大概也已经想办法减轻以后这种个人行为的危害了,但似乎并没有做好一切眼前打算的准备。
另外,我的数字海洋账户被锁定了。这让我无法进行下一步的流程:将所有的DNS偏向127.0.0.1——合理减少总流量。当我们询问DigitalOcean的适用单位为什么帐户被锁定时,我收到了以下回复:
“每个人都检查了您的帐户,我们无法向您显示任何进一步的服务。我明白这很可能给你带来麻烦,但我们不能再向你展示托管服务,这个决定不能改变。”
我没有任何借口就封禁了我的账号,说明进一步申请不容易。对我来说很难,还要承受很多天坑交通隐患。因为我无法浏览我的账号来更改这个域名的DNS,所以我每分钟都会收到无数的浏览请求。虽然我停止了web服务器上的所有服务,以保护不小心撞倒此类网站的客户的隐私,并消除了浏览日志,但我无法阻止总流量的洪水。在这种尴尬的情况下,我向DigitalOcean的精英团队寻求帮助,看看他们能否帮助从我的帐户中删除这个域名,或者将所有DNS设置为127.0.0.1。我收到了他们的回复,表示会调查解决此事。
总结
这件事让我们意识到为什么要用唯一的域名服务器导入域名,就是为了更好的避免这个问题!特别是所有使用非唯一域名服务器导入域名的系统软件都有可能遭受这种攻击。
因此,希望DigitalOcean能够尽快处理这个问题,所有DigitalOcean客户必须使用唯一的域名服务器导入域名,以防止这种情况的发生。
全文:https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)