我正在尝试了解 DNS 在共享托管环境中的工作原理。我去了我的注册商,将我的名称服务器设置为我的主机的 ns1.foo.com 和 ns2.foo.com。我正在使用一家云托管提供商,该提供商有一个 Web 门户,我可以在门户中设置我的 DNS 条目。但是,我对缺乏安全性感到困惑。当我输入我的域名的条目时,没有任何步骤可以证明我实际上拥有该域名。如何阻止同一托管服务上的其他人(一个讨厌的邻居)覆盖我的 DNS 条目并将我的流量指向他们的服务器?
答案1
永远没有任何“证据”证明您在 DNS 级别拥有特定域名,其想法是您需要将您的注册商名称服务器指向您信任的服务器,并且该 DNS 服务器是受信任的,因为您已说过可以通过将您的 DNS 条目指向它来信任它。
为了测试,我有两个单独的帐户DNS 变得简单。我从一个帐户中取出一个域名,并尝试将其添加到我的另一个帐户中以查看会发生什么。管理工具阻止了我,说该域名已托管在另一个帐户中。
因此,有人劫持我的 DNS 的唯一方法就是为我的域名创建记录在我之前鉴于您(应该始终)在更新名称服务器之前创建 DNS 记录,您将能够在将您的名称服务器指向服务之前判断是否有人试图劫持您的 DNS 记录。
因此,理论上,如果有人知道您计划将 DNS 移至共享主机,并且他们在您之前到达那里,那么他们可以代表您创建记录。但您无法创建记录,并且您必须非常聪明才能在 a) 设置 DNS 记录之前和 b) 收到其他人已创建记录的消息后将您的 NS 指向 DNS 提供商。
答案2
当然,注册商要求您登录后才能允许您更改 DNS 条目。由于他们是第一个泄露名称的人,因此他们知道您有权设置名称服务器。
运行 ns*.foo.com 的托管服务提供商实际上并不关心您是否拥有该域名的权限。如果您没有权限,那么他们实际上就不会成为记录的名称服务器 - 因此不会造成任何损害。我可以在自己的名称服务器上设置 google.com,但如果没有人查询我的名称服务器,那就无关紧要了。
答案3
视情况而定,通常他们使用 API 来控制每个域信息。在葡萄牙,这称为 EPP 协议。
网站的安全性可高可低,这取决于网站程序员如何编写代码。
答案4
还有另一种方法,您可以使用域名注册商名称服务器,而不是设置共享服务器 NS。您在域名注册商端唯一需要更改的是一个记录。一个记录是实际托管您域名的共享服务器的 IP 地址。您的托管公司将负责其 DNS 配置。只需更改A记录就是这样。