domain-name-system – 同时使用CNAME和A Record的DNS答案错误
发布时间:2020-12-14 23:41:16 所属栏目:资源 来源:网络整理
导读:我们有一位客户为其域名设置了CNAME记录.不知怎的,他设法创建了一个A Record,这应该是不可能的,并且被DNS禁止.但结果是: $dig @ns1.your-server.de tippspiel-bl1.unternehmen-frische.de ...;; ANSWER SECTION:tippspiel-bl1.unternehmen-frische.de. 7200
|
我们有一位客户为其域名设置了CNAME记录.不知怎的,他设法创建了一个A Record,这应该是不可能的,并且被DNS禁止.但结果是:
$dig @ns1.your-server.de tippspiel-bl1.unternehmen-frische.de ... ;; ANSWER SECTION: tippspiel-bl1.unternehmen-frische.de. 7200 IN CNAME www.kicktipp.de. tippspiel-bl1.unternehmen-frische.de. 7200 IN A 78.46.10.156 第二条记录是非法的.但这导致其他缓存DNS服务器的一些混乱,当他们被问及www.kicktipp.de时返回78.46.10.156.但这是完全错误的. 另一个DNS服务器使用了两个答案并将它们混合在一起.最终结果:访问www.kicktipp.de的用户被发送到78.46.10.156,这是unternehmen-frische.de的IP 在为具有CNAME和A Record的域设置DNS时,我似乎可以劫持域.这是一个已知的错误?如何保护我的域名免受攻击? 解决方法
要专门解决您的问题:
>不,这不是经常遇到的问题.也就是说,中毒确实发生了,但它通常依赖于欺骗性的回复而不是与CNAME一起生活的A记录. DNSSEC的设计考虑了中毒攻击. 由于您缺少其他信息,因此您必须与ISP联系.定义引用的RFC的最适用的标准是RFC2181,因为它在与其他数据共存的CNAME主题上比RFC1034更不明确. (RFC1034对此皱眉,RFC2181禁止它,除非记录与DNSSEC相关) 所有这些都说,我对这个问题有点怀疑,正如你所描述的那样.对于tippspiel-bl1.unternehmen-frische.de来说,这确实是一个棘手的错误. IN在www.kicktipp.de上引起碰撞.在一个. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |