Изменение DNS-записей

Авторитативные серверы, на которые делегирована доменная зона, отвечают на запросы рекурсивных резолверов об этой зоне. Это означает, что авторитативные серверы полностью контролируют адресацию внутри зоны. Так, изменяя информацию в MX-записях, можно перенаправить всю почту, поступающую в домен. Изменение A-записей - позволяет перенаправить веб-трафик. То есть, список авторитативных серверов должен поддерживаться в актуальном состоянии, соответствующем логике административного управления зоной.

Наиболее распространёнными ошибками в этой области являются неверное указание имён авторитативных серверов и потеря контроля над доменными зонами, в которых находятся имена серверов. Проиллюстрируем ситуацию парой примеров:

1. Администратор доменного имени test.ru делегировал его, при помощи панели управления регистратора, на серверы имён ns1.example.com и ns2.exapmle.com. При этом второе имя указано с опечаткой: exa_pm_le. Злоумышленник, обнаружив такие настройки делегирования (а они доступны в DNS), зарегистрировал домен exapmle.com и разместил там собственный DNS-сервер под именем ns2.exapmle.com. Таким образом, часть запросов резолверов, относящихся к имени test.ru, теперь поступает на DNS-сервер злоумышленника, который может произвольно перенаправлять пользовательский трафик с помощью специально подготовленных DNS-ответов.

2. Администратор test.ru делегировал имя на серверы ns1.example.net и ns2.example.net, которые принадлежат хостинг-провайдеру. Однако через некоторое время хостинг-провайдер разорился и снял с делегирования свой домен example.net. В результате зона test.ru оказалась недоступной.