Wildcard rekord a DNS-ben

Sziasztok!

Van szerencsém egy kicsit adminkodni, pár domain felett (de szép mondat).

Azt vettem észre, hogy a rendszer, alapból létrehoz egy *.domain.com címet. Na mondom, faja, nem kell egyenként aldomaint hozzáadni, ugyan mocorgott a harci bogár tarkótájt, hogy "a wildcard nem jó, ÉRtEED!?"
Erre ma vettem észre, hogy ilyen instagram.com.domain.com, meg xyz.ch.domain.com címek birizgálják az A rekordú szervert.

Ez vajon miért jó nekik és a fontosabb, hogyan tudom lekérdezni, hogy a CNAME melyik DNS szerveren van regisztrálva?!

Hozzászólások

Valamelyik gépeden meg lehet adva a search domain, pl valami.com, így ha nem tudja feloldani az instagram.com domaint akkor megpróbálja az instagram.com.valami.com -ot feloldani.

Linux esetén ezt korábban az /etc/resolv.conf-ban tudtad beállítani, nem tudom hogy systemd mennyiben változtatott ezen. Például:

search valami.com
nameserver 1.1.1.1
nameserver 1.1

Nem, itt nem erről van szó, hanem tényleg volt egy *.domain.com bejegyzés, a DNS-ben.

De mi értelme, azon túl, hogy a lusta adminnak nem kell aldomainnal bajlódni, továbbá miért jó ezt kihasználni?

A kellően fejlett technológia, megkülönböztethetetlen a varázslattól.
Arthur C. Clark

Kapcsolja vissza a mikrofont!
Winston Churcill

Nem mondta, hogy nincs wildcard record, valamit félreértesz. Azt próbálta megmagyarázni, hogy honnan eredhetnek ezek a DNS lekérdezések.

A wildcard egy lehetőség a DNS-ben, sok use-case van, amire jó lehet, ennyiből nem fogjuk tudni kitalálni neked, hogy a te konkrét esetedben miért csinálták.

Sok useres, főleg hosting környezetben hasznos. Ügyfél bármilyen aldomaint felvehet a tárhelyre egy webpanelen keresztül, az gond nélkül be fog jönni a tárhelyen.

Vagy cégnél a fejlesztőknek *.teszt.cegem.hu domain alatt bármikor létrehozhatnak teszt oldalakat, nem kell nyaggatni a rendszergazdát.

Tegyuk fel,hogy van egy fejleszto ceg. Ok weboldalakat keszitenek,es minden weboldal minden ujonnan letrejott branchen automatikusan lefut egy pipeline,amibol demo oldal keszul,es az rogvest deployolodik is a branchnev.weboldalnev.dev.cegnev.com oldalra,igy kattintgathato,tesztelheto.

Ha nem akarjuk a pipeline-ban a DNS-t is egyesevel mindig pocogtetni (plusz melo,biztonsagi problema stb. okan), akkor bizony egy ilyen wildcard domain eleg jol jon. Nem csak lustasag lehet az oka,ha valaki ilyet hasznal.

2. pelda: van egy tarhelyszolgaltato,akinel ingyen be lehet regelni,majd utana ftp-n a user feltoltheti a weboldalat a valasztottsubdomain.tarhelyszolgaltato.hu cimre. Ha a szolgaltato nem akar egyesevel A rekordokkal vagy CNAME-ekkel bajlodni,bevag a tobbi koze egy wildcardot,es le is zarta a kerdest.

Milyen CNAME? Amúgy elvileg a domain.com NS recordja mondja meg, hogy melyik DNS szerver szolgálja ki az adott DNS zónát, azon kell lennie minden recordnak a domain.com-ra.

Az NS rekord, nekem az A rekord NS szerverét adja meg, de itt arról van szó, hagy valaki cname-et állított az én domain.com A rekordomra, de nem az én NS szerveremről...

A kellően fejlett technológia, megkülönböztethetetlen a varázslattól.
Arthur C. Clark

Kapcsolja vissza a mikrofont!
Winston Churcill

Bocsi, igazad van, nincs beállítva CNAME, hanem a wildcard engedi az xyz.ch.domain.com hivatkozást is.

De miért jó valakiknek, hogy ilyen hivatkozással próbálkoznak?

A kellően fejlett technológia, megkülönböztethetetlen a varázslattól.
Arthur C. Clark

Kapcsolja vissza a mikrofont!
Winston Churcill

Sokkal valószínűbb, hogy valahol rosszul van valami configurálva, pl. a már többször említett search domain. Amúgy meg bárki bárhova beírja, hogy x.y.domain.com, az nálad fel fog oldódni a wildcard alapján, ez magában még nem hiba.

Amúgy nem értem, hogy mire értesz itt proxyzás alatt, hogy lehetne ezt sebezhetőségként kihasználni.

Szerkesztve: 2020. 11. 25., sze - 13:52

Annak, hogy van wildcard beallitva, semmi koze nincs ahhoz, hogy milyen lekerdezesek jonnek a DNS szerver fele.

Az instagram.com.domain.com, meg xyz.ch.domain.com keresek a kliensektol jonnek, oda meg valoszinuleg DHCP-n kerulnek le a beallitasok, pl a tobbszor emlegetett search domain. (Ami ugye arra jo, hogy ne kelljen minden URL mode odapotyogni a .domain.com-ot)

https://en.wikipedia.org/wiki/Search_domain

A wildcard beallitas meg csak annyit tesz, hogy ha nincs specifikusabb cim megadva, akkor fallbackel erre a cimre (mint a webserver default virtualhost).

Ha kiirtod a wildcard bejegyzest, attol nem tunnek el a fenti domain search alapu lekerdezesek. de ha nekunk nem hiszel, probald ki nyugodtan.

 

Avagy hiaba csereled le a nevedet a postaladan, attol a hirdetesi ujsagokat ugyanugy be fogjak dobni.

Azért lehet ezt még fokozni. A DNS kérések valóban a kliensektől jönnek, de azért némileg függetlenek a DHCP által kiosztott paraméterektől. Én legalábbis már nem egyszer adtam ki ilyen parancsokat:

nslookup example.com 8.8.8.8 / host example.net 1.1.1.1 / dig example.org @9.9.9.9

Szóval akár az is lehet, hogy konkrétan összehangolt támadást folytatnak a kérdésfelvető rendszere ellen, és az egész csak arról szól, hogy amíg ezeket az értelmetlen DNS-kéréseket próbálja kibogozni, addig nem ér rá azzal foglalkozni, hogy éppen (sikerrel) törik az SSH-szerverét.