防止对不受信任的域使用 CNAME 记录

Mas*_*ter 15 dns recording cname

我将 Route53 用于 DNS 并希望防止对不受信任的域使用 CNAME 记录。

例如,我有三个域:

  • master.com
  • test1.com
  • test2.com

master.com 有A记录:

  • test1.comCNAMEmaster.com
  • test2.comCNAMEmaster.com

我想保护master.com和防止为另一个域创建 CNAME(除了test1.comtest2.com

我怎样才能做到这一点?

use*_*686 30

DNS 不支持此功能。您使用哪个 DNS 提供商并不重要,因为创建 CNAME 记录完全在“源”域中完成,根本不联系“目标”。因此,一个域可以发布任何与DNS记录任何数据的。

在处理 HTTP(S)、TLS-SNI 和其他支持虚拟主机的协议时,您唯一可以做的就是确保您的服务器拒绝对未知虚拟主机的所有请求。

  • @twisty cname 不会更改发送到服务器以进行虚拟主机确定的域。因此,如果我将 example.com 命名为您的 master.com,浏览器仍会将 example.com 显示为用于您的网络服务器的域。然后您的服务器可以拒绝该请求。 (19认同)
  • 这就是 CDN 工作的数量——数千个网站域被 CNAME 命名为相同的 CDN 服务器,但 TLS 和 HTTP 主机标头仍然具有用户输入的原始域。 (4认同)
  • 还应该提到的是,它是针对任何 TLS 证书验证的原始主机名,因此,如果服务器通过 TLS(HTTPS、WSS 等;这将成为标准)提供所有服务,那么当通过任何方式访问时,它将显示为不受信任这样的流氓 CNAME。 (3认同)

I s*_*ica 19

您无法阻止某人创建指向您的域的 CNAME 记录,就像您无法阻止某人告诉他们的朋友拨打您的电话号码一样。

CNAME 记录就像在电话答录机上留下录音,告诉您拨打不同的号码。例如,您拨打 555-1111,消息显示“拨打 555-2222”。同样,一个 CNAME 记录www.example.com可以指向www.yourdomain.com. 当 DNS 客户端查找www.example.com并遇到 CNAME 记录时,它会重新启动 DNS 查找过程www.yourdomain.com...就好像它一直在尝试查找www.yourdomain.com

由于您无法控制创建 CNAME 记录的域,并且您无法区分源自 CNAME 记录的域记录查找与本机查找,因此您无法阻止 CNAME 记录指向您,就像您一样可以防止有人在自己的答录机上留言告诉来电者拨打您的号码。