Zwisające rekordy DNS: Jak zapobiec przejęciu subdomeny?
Czas odczytu: 6 min
Dangling DNS to krytyczny problem, który wynika z luk w systemie nazw domen (DNS) - zdecentralizowanym systemie używanym do lokalizowania zasobów w Internecie. Tłumacząc czytelne dla człowieka nazwy domen, takie jak google.com, na czytelne dla maszyn adresy IP, takie jak 101.102.25.22, DNS zapewnia płynną łączność.
Można go porównać do książki telefonicznej, łączącej nazwy z numerami w celu ułatwienia dostępu. Jednakże, gdy wystąpią błędy w konfiguracji DNS, mogą one skutkować wiszącymi rekordami DNS - wpisami wskazującymi na nieistniejące lub wycofane zasoby - narażając domeny na poważne zagrożenia bezpieczeństwa. Rozwiązanie tych problemów jest niezbędne do utrzymania bezpiecznej obecności w Internecie.
Kluczowe wnioski
- Nieistniejące rekordy DNS narażają domeny na poważne zagrożenia bezpieczeństwa, wskazując na nieistniejące lub wycofane z użytku zasoby.
- Najczęstszymi przyczynami zawieszania się rekordów DNS są błędne konfiguracje, wygasłe usługi i nieaktywne konta hostingowe.
- Ataki polegające na przejmowaniu subdomen mogą wynikać z zawieszających się rekordów DNS, umożliwiając atakującym kontrolowanie i udostępnianie złośliwej zawartości za pośrednictwem zagrożonych domen.
- Rekordy uwierzytelniania poczty e-mail są szczególnie podatne na błędy DNS i wymagają regularnego monitorowania w celu zapewnienia prawidłowej konfiguracji.
- Zarówno ręczny audyt, jak i zautomatyzowane narzędzia do monitorowania DNS są niezbędne do skutecznego wykrywania i rozwiązywania problemów z niedziałającymi rekordami DNS.
Czym są zwisające rekordy DNS?
Wiszący rekord DNS to wpis DNS, który wskazuje na zasób, który już nie istnieje lub jest niedostępny. Cyberprzestępcy w Internecie zawsze polują na takie wpisy DNS, ponieważ są one podatne na wyciek informacji. Niektóre z tych wpisów mogą zawierać poufne informacje o domenie, stając się kopalnią danych, z której mogą korzystać podmioty stanowiące zagrożenie.
Typowe scenariusze prowadzące do zawieszania się DNS
- Błędne konfiguracje DNS
System nazw domen jest konfigurowany oddzielnie od zasobów internetowych, z którymi chcemy wchodzić w interakcje. Rekordy DNS dodane do DNS wskazują na te zasoby, pomagając nam uzyskać do nich dostęp. W niektórych przypadkach wcześniej skonfigurowany zasób może zostać zdekonfigurowany przez jego hosta. Na przykład rekord DNS został skonfigurowany przez właściciela domeny, aby wskazywał na adres IP serwera. Serwer ten nie jest już używany. Rekord DNS wskazuje teraz na zasób, który już nie istnieje i dlatego można go nazwać "wiszącym wpisem DNS".
- Wygasłe lub usunięte zasoby w chmurze
Jeśli usługa w chmurze używana przez właściciela domeny wygaśnie lub zostanie usunięta, każdy rekord DNS wskazujący na tę usługę staje się rekordem Danglish DNS. Ten rekord DNS nadal pozostaje aktywny, a każdy atakujący może użyć zasobu do obsługi złośliwej zawartości.
- Przestarzałe adresy IP
Firma może migrować usługi do nowego dostawcy, podczas gdy poprzednie adresy IP są przestarzałe. Zapomina jednak zaktualizować lub usunąć stare rekordy DNS. Te stare rekordy są podatne na ataki przejęcia subdomen i mogą być bardzo łatwo wykorzystane.
- Likwidacja lub zaprzestanie świadczenia usług
Serwer poczty e-mail, konto hostingowe lub zewnętrzny dostawca usług zostaje zamknięty lub wycofany z użytku, jednak rekordy DNS, takie jak MX, A i CNAME, są nadal aktywne i skonfigurowane. Atakujący mogą wykorzystać te aktywne rekordy Dangling DNS, aby podszyć się pod wycofaną usługę.
Uprość zawiłe rekordy DNS dzięki PowerDMARC!
Ryzyko związane z wiszącymi rekordami DNS
Ukryte luki w zabezpieczeniach DNS, takie jak Dangling DNS, mogą prowadzić do wykorzystywania domen i cyberzagrożeń.
Co to jest atak przejęcia subdomeny?
Gdy atakujący wykryje niedziałający wpis DNS, który wskazuje na zdekonfigurowany zasób, natychmiast korzysta z okazji. Atakujący przejmuje (pod)domenę, na którą wskazuje błędny rekord DNS, kierując w ten sposób cały ruch do kontrolowanej przez siebie domeny z pełnym dostępem do jej zawartości i zasobów.
Późniejsze skutki porwania domeny/poddomeny przez atakującego:
Zdekonfigurowana domena lub serwer może stać się pożywką dla złośliwych zasobów manipulowanych przez atakującego, nad którymi właściciel domeny nie ma żadnej kontroli. Oznacza to, że osoba atakująca może całkowicie przejąć kontrolę nad nazwą domeny, aby uruchomić nielegalną usługę, przeprowadzić kampanię phishingową na niczego niepodejrzewających ofiarach i naruszyć dobre imię Twojej organizacji na rynku.
Czy twoje rekordy DNS są narażone na niebezpieczeństwo?
Odpowiedź brzmi: Tak. Następujące rekordy uwierzytelniania wiadomości e-mail mogą być podatne na problemy z błędami DNS:
Protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC są konfigurowane poprzez dodanie rekordu TXT do DNS. Oprócz skonfigurowania polityki dla wiadomości e-mail Twojej domeny, możesz również wykorzystać DMARC do włączenia mechanizmu raportowania, który wyśle Ci wiele informacji o Twoich domenach, dostawcach i źródłach wiadomości e-mail.
- Rekord SPF
Inny powszechnie używany system weryfikacji źródła wiadomości e-mail, SPF istnieje w DNS jako rekord TXT zawierający listę autoryzowanych źródeł wysyłania wiadomości e-mail.
- TLS-RPT
Raporty SMTP TLS (TLS-RPT) to dodatkowy mechanizm raportowania skonfigurowany wraz z MTA-STS w celu wysyłania właścicielom domen powiadomień w formie raportów JSON o problemach z dostarczalnością spowodowanych awariami szyfrowania TLS między dwoma komunikującymi się serwerami poczty e-mail.
- Rekordy DKIM CNAME
Rekordy CNAME tworzą aliasy nazw domen w celu wskazania jednej domeny na inną. Można użyć CNAME do wskazania subdomeny na inną domenę, która zawiera wszystkie informacje i konfiguracje dotyczące subdomeny.
Na przykład subdomena mail.domain.com jest aliasem dla CNAME info.domain.com. Dlatego też, gdy serwer wyszukuje mail.domain.com zostanie przekierowany do info.domain.com.
Twój DKIM jest często dodawany do DNS jako rekord CNAME.
Każdy z tych wpisów zawiera cenne informacje o domenie organizacyjnej, danych poczty elektronicznej, adresach IP i źródłach wysyłania poczty elektronicznej. Błędy składni, które często można przeoczyć, mogą powodować niewykorzystane rekordy, które mogą pozostać niewykryte przez długi czas. Te same problemy może powodować domena, która została usunięta przez hosta ze wskazującym na nią rekordem DKIM CNAME lub SPF.
Uwaga: Należy pamiętać, że Rekordy MX, NS, A i AAA są również podatne na problemy związane z Dangling DNS.. Na potrzeby tego artykułu omówiliśmy tylko rekordy uwierzytelniania poczty e-mail, które mają takie konsekwencje, oferując rozwiązania, jak je naprawić.
Jak znaleźć niedziałające rekordy DNS?
Identyfikacja rekordów DNS, które wskazują na nieobsługiwane zasoby w ich początkowej fazie, może pomóc w ochronie marki. Można to zrobić na dwa sposoby: ręcznie i automatycznie.
1. Ręczne wykrywanie DNS
Ręczny audyt, choć czasochłonny, może pomóc w wykryciu nieaktualnych rekordów DNS:
- Audyt wpisów DNS: Sprawdź wszystkie rekordy DNS w systemie zarządzania DNS z aktywnymi zasobami w swoim środowisku. Poszukaj wpisów wskazujących na nieistniejące usługi lub adresy IP.
- Sprawdź poprawność konfiguracji DNS: Użyj narzędzi takich jak nslookup lub dig aby zapytać o każdy rekord i sprawdzić, czy odpowiedni zasób jest udostępniony i aktywny.
- Sprawdź, czy nie ma osieroconych usług: Zbadaj usługi, takie jak hosting stron trzecich, platformy chmurowe lub dostawcy CDN, które mogły zostać zakończone bez usunięcia powiązanych wpisów DNS.
Chociaż metody ręczne są dokładne, są podatne na błędy ludzkie i mogą stać się niemożliwe do zarządzania w przypadku domen z dużymi lub złożonymi konfiguracjami DNS.
2. Zautomatyzowane wykrywanie DNS
Narzędzie do monitorowania DNS może okazać się przydatne w takich okolicznościach. Spójrz na nie jak na listę swoich domen i subdomen, tj. jedną platformę, która gromadzi wszystkie istotne dane ich dotyczące w zorganizowany sposób, który można łatwo monitorować od czasu do czasu.
PowerDMARC właśnie to robi. Po zarejestrowaniu się w naszym narzędziu do monitorowania domen zapewniamy dostęp do spersonalizowanego pulpitu nawigacyjnego, który gromadzi wszystkie zarejestrowane domeny główne. Nasza nowa funkcja może teraz automatycznie dodawać wykryte przez system subdomeny dla użytkowników bez konieczności ręcznej rejestracji.
Sprawdź rekordy swojej domeny za darmo!
Jeśli nie chcesz angażować się w pełnoetatową usługę monitorowania domeny, możesz sprawdzić swoją domenę za pomocą naszego narzędzia PowerAnalyzer. To nic nie kosztuje! Po wprowadzeniu nazwy domeny i kliknięciu "Sprawdź teraz", będziesz mógł wyświetlić wszystkie konfiguracje rekordów DNS wraz z wykrytymi błędnymi konfiguracjami i wskazówkami, jak je szybko rozwiązać.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- DMARC dla Office 365: Konfiguracja krok po kroku i najlepsze praktyki - 11 lipca 2025 r.
- Konfiguracja Office 365 DKIM: Włączanie, weryfikacja i konfiguracja - 10 lipca 2025 r.
- Wyjaśnienie mechanizmu SPF Neutral (?all): Kiedy i jak go używać? - 23 czerwca 2025 r.
