¿Qué tan peligroso es que haya entradas de DNS para nuestro dominio que no registramos?

Navega tus respuestas
6

Estaba realizando una fuerza bruta de DNS en el dominio de nuestra compañía y encontré entradas como "html", "ww" y "wwww", que resolvían IP fuera de nuestro bloque registrado.

Esto provocó un debate sobre cuán peligroso sería realmente dejar que existan esas entradas. Parece que alguien podría redirigir a los usuarios de nuestro sitio a un sitio de recolección de credenciales, por ejemplo, utilizando un sitio web y una URL parecidos, pero los que estaba tratando de convencer no parecían estar de acuerdo.

¿Cuál es el verdadero peligro aquí?

    
pregunta schroeder 07.12.2011 - 21:51
fuente

3 respuestas

6

Esto es muy peligroso. Si alguien tiene control sobre su DNS, pueden, por ejemplo, robar todo su correo electrónico o su tráfico web.

  • Primero, ¿opera sus propios servidores DNS o están alojados (por ejemplo, en un proveedor de alojamiento o en su registrador)?
    • alojado:
      • Compruebe el panel de control para estas entradas adicionales. Se pueden rellenar previamente para que apunten a los servidores del host.
      • Si su proveedor de hosting lo admite, exporte su archivo de zona y busque estas entradas. (Para el caso impar en el que no aparecen en el panel de control, pero aún están en la zona).
      • Después de seguir los pasos a continuación para asegurarte de que las entradas provienen del servidor DNS de tu host, llama a tu proveedor de alojamiento y pregunta sobre estas entradas.
      • Después de averiguar dónde / por qué están las entradas, puede decidir dejarlas, eliminarlas y / o cambiar de proveedor de alojamiento.
    • auto operado:
      • Inspeccione manualmente su archivo de zona para ver si las entradas están allí.
  • Realice una búsqueda inversa en las direcciones IP a las que esas entradas falsas se están resolviendo:
    • host 10.1.2.3
    • ¿El nombre que recuperas tiene sentido? Por ejemplo, ¿Es su proveedor de alojamiento o alguna otra parte relacionada?
    • Si la búsqueda no te da un nombre, busca al propietario del bloque de red para ver si te da alguna pista:
    • whois 10.1.2.3
  • Verifique si las entradas provienen de su servidor DNS buscando una de las entradas falsas:
    • dig ww.mycompany.dom @ns1.mycompany.dom
  • Compruebe si las entradas provienen de su DNS secundario (y / o terciario, etc.):
    • dig ww.mycompany.dom @ns2.mycompany.dom
  • Si las entradas no se encuentran en uno de los servidores DNS su , intente averiguar de dónde provienen. Este comando le dará un seguimiento de la búsqueda comenzando en los servidores raíz y bajando a su dominio:
    • dig +trace ww.mycompany.dom
  • Si el rastreo no muestra la entrada, es posible que esté usando un servicio DNS (por ejemplo, opendns) que "robe" nombres de host falsos para redirigirlos a sus servidores. (Ciertos servidores DNS siempre devolverán una IP para cualquier búsqueda, incluso si no hay ningún host registrado en esa dirección; la IP devolvió puntos a su servidor. Por ejemplo, si hago dig bogusboguszzzzx.net @208.67.222.222 , obtengo back 67.215.65.132 , que se invierte a hit-nxdomain.opendns.com. )
    • ¡No uses este tipo de servicio para probar! (Creo que es una mala idea en general porque rompe el DNS, pero YMMV ...)
respondido por el bstpierre 08.12.2011 - 13:37
fuente
2

Algunos ISP han provisto un servicio que redirige su navegador a una de sus páginas de búsqueda cuando escribe un nombre de host que no existe en su navegador. Esto se basa en la captura de todas las solicitudes de DNS que normalmente no se resolverían y enviarían una de sus propias direcciones IP en su lugar.

Intente escribir el nombre incorrecto en un navegador web (desde la red donde encontró estos problemas) y vea lo que obtiene. Puede que solo sea una página del ISP; También puede encontrar una explicación en la esquina de la página y se le puede ofrecer la opción de no participar.

Hay un enlace para un ISP específico (de Wikipedia ), que describe su política: enlace .

No es una buena práctica, especialmente cuando no puedes confiar en la página en la que estás redirigido a , pero si este problema es realmente específico para un ISP determinado, no es un problema con su servidor DNS. En este caso, hay poco que pueda hacer aparte de intentar excluirse de esta "característica". Esto es más un problema para sus usuarios que para su empresa, pero es poco lo que puede hacer si no pueden confiar en su ISP al menos para resolver DNS correctamente (algunos también evitarán que utilice servidores DNS externos).

    
respondido por el Bruno 09.12.2011 - 12:01
fuente
2

¿Puedes decir quién creó las entradas? ¿Tienes acceso para editar tu archivo de zona? Puede intentar verificar esas entradas en la web externa y también internamente. Podría ser un problema con su servidor DNS interno. Si alguien tiene acceso para crear un ww o wwww, no hay razón para que no puedan redireccionar la dirección real de www.

    
respondido por el Robert 07.12.2011 - 22:55
fuente

Lea otras preguntas en las etiquetas

¿Cómo analiza un protocolo de red desconocido? Heurística de fuerza bruta utilizada en el craqueo de contraseñas