注册一个域名以供将来使用但不关联任何 DNS 记录是不好的做法吗?
例如,假设我购买了 hello.com 和 goodbye.com,并在我的注册中心将名称服务器设置为我的 AWS R53 名称服务器。但在 Route53 中,我没有设置任何 DNS 记录。您是否总是需要至少有某种占位符 DNS 记录?
答案1
不,没有任何记录并不是坏习惯,但是空的托管区域和在 Route 53 中根本没有配置托管区域但假装这样做(通过将 Route 53 名称服务器分配给 Route 53 中没有匹配托管区域的域)之间存在很大差异。
Route 53 有 2,048 个名称服务器。(从技术上讲,由于任播,名称服务器的数量应该更多,但有 2048 个唯一的名称服务器名称与 Route 53 相关联。)每次您创建托管区域时,它都会分配给其中 4 台服务器,这些服务器必须由您的注册商进行配置,以便将查询传递到正确的 4 台服务器 - 其他 2,044 台 Route 53 服务器将拒绝对您域的查询(如果它们到达),但除非您在注册商处错误配置了权威服务器,否则它们不会拒绝。
如果您删除该托管区域并让注册商指向这 4 台服务器,那么理论上您的域名可能会被劫持。有人只需在 Route 53 中为您的域名创建、删除、创建、删除……托管区域不超过 512 (2048 ÷ 4) 次,他们就会在至少一个您最初分配的名称服务器上获得托管区域——而您放弃了该服务器。
如果您不删除托管区域,这是不可能的,因为如果您仍有自己的域名,则名称服务器将不会分配给同一域名的新托管区域。
这不是 Route 53 中的安全漏洞。这是恶意用户利用域所有者创建的错误配置,将其权威名称服务器设置指向实际上不具有权威性的机器。它的工作可靠性不高,但让自己陷入这种情况绝对是一种不好的做法。恶意用户可以轻松识别具有此类错误配置的域,因为 Route 53 将主动拒绝处理它收到的针对意外域的 DNS 查询,并返回一条回复消息,而不是像在NXDOMAIN托管区域中没有任何实际记录的有效配置那样返回错误。