由于專用網(wǎng)絡(luò)泄露到全球DNS中的查詢引起的域名沖突會(huì)引起很多意料之外的事情�����。如果查詢以及得到肯定的響應(yīng)但是結(jié)果卻是來(lái)自全球DNS而非預(yù)期的專用命名空間�,執(zhí)行查詢的應(yīng)用程序就會(huì)嘗試連接到不屬于專用網(wǎng)絡(luò)的系統(tǒng)��,連接可能成功���,但也可能帶來(lái)不便(造成域名解析延遲)�。
由于專用網(wǎng)絡(luò)泄露到全球DNS中的查詢引起的域名沖突會(huì)引起很多意料之外的事情��。如果查詢以及得到肯定的響應(yīng)但是結(jié)果卻是來(lái)自全球DNS而非預(yù)期的專用命名空間�,執(zhí)行查詢的應(yīng)用程序就會(huì)嘗試連接到不屬于專用網(wǎng)絡(luò)的系統(tǒng),連接可能成功�����,但也可能帶來(lái)不便(造成域名解析延遲)�。下面小編就分三篇文章為大家介紹一下關(guān)于域名沖突會(huì)引起的問(wèn)題,幫助大家進(jìn)行了解。
定向到意外網(wǎng)站
假設(shè)用戶使用專用網(wǎng)絡(luò)時(shí)在其 web 瀏覽器中輸入 https://finance.ourcompany��,那么該網(wǎng)絡(luò)就會(huì)有一個(gè)專用 TLD ourcompany 的命名空間����。如果瀏覽器查詢域名 finance.ourcompany 時(shí)能夠正常解析�����,則說(shuō)明該瀏覽器獲取了財(cái)務(wù)部門內(nèi)部 web 服務(wù)器的 IP 地址���。試想�����,雖然 TLD ourcompany 也包含在全球 DNS 中����,但該 TLD 還含有一個(gè)二級(jí)域名 (SLD) finance�。如果查詢泄露,它將解析得到與在專用命名空間解析查詢時(shí)得到的 IP 地址不同的地址?,F(xiàn)在,假設(shè)這個(gè)不同的 IP 地址配置到 web 服務(wù)器����。瀏覽器就會(huì)嘗試連接到公共網(wǎng)絡(luò)而非專用網(wǎng)絡(luò)的 web 服務(wù)器�����。
如前所述����,即使在沒有專用 TLD 但使用了搜素列表的網(wǎng)絡(luò)中也可能出現(xiàn)同樣的問(wèn)題�����。如果某個(gè)瀏覽器在用戶擁有搜索列表(包含域名 ourcompany.com)的網(wǎng)絡(luò)中可以正常使用����,那么用戶為了訪問(wèn)主機(jī)www.finance.ourcompany.com 就會(huì)輸入域名 www.finance。現(xiàn)在��,假設(shè)一家咖啡店的員工正在移動(dòng)設(shè)備上使用該瀏覽器����。如果該查詢泄露到互聯(lián)網(wǎng),而且互聯(lián)網(wǎng)上恰好有名為 finance 的 TLD���,那么查詢就可能解析得到不同的 IP 地址���,例如��,域名在全球 DNS 中的完全不同的主機(jī)地址 www.finance����。該查詢可能導(dǎo)致瀏覽器嘗試連接到與在專用網(wǎng)絡(luò)解析器查詢完全不同的公共網(wǎng)絡(luò) web 服務(wù)器��。
這種情況下�����,普通用戶往往會(huì)認(rèn)為這是錯(cuò)誤網(wǎng)站并立即離開�。但是��,如果瀏覽器因?yàn)?web 服務(wù)器含有與其先前訪問(wèn)的地址完全相同的域名而“信任”該 web 服務(wù)器���,那么該瀏覽器就會(huì)向其泄露大量信息��。瀏覽器可能會(huì)自動(dòng)輸入登錄信息或其他敏感數(shù)據(jù)�,從而導(dǎo)致信息被組織以外的人員捕獲或分析����。其他情況下(例如,對(duì)該組織的蓄意攻擊),瀏覽器可能會(huì)連接到配置有惡意代碼的網(wǎng)站�,從而在計(jì)算機(jī)上安裝危險(xiǎn)程序。
請(qǐng)注意�,使用 TLS 和數(shù)字證書可能不能幫您防止域名沖突帶來(lái)的損害;實(shí)際上,由于這種做法會(huì)給用戶一種安全的錯(cuò)覺���,反而危害更大���。為全球 DNS 中的域名頒發(fā)證書的很多證書頒發(fā)機(jī)構(gòu) (CA) 還會(huì)為專用地址空間中的簡(jiǎn)短非限定域名頒發(fā)證書,因此���,定向至錯(cuò)誤網(wǎng)站的用戶仍有可能看到有效證書�。
電子郵件定向至錯(cuò)誤的收件人
域名沖突可能引起的后果不僅表現(xiàn)在 web 瀏覽器上�。如果收件人地址的主機(jī)名相同,本來(lái)打算發(fā)送給某位收件人的電子郵件可能會(huì)被發(fā)送給其他收件人;例如��,如果 ourcompany 是全球 DNS 中的 TLD���,發(fā)送給 chris@support.ourcompany 的電子郵件可能會(huì)被發(fā)送給完全不同的用戶賬戶���。即使郵件未被成功發(fā)送給特定的電子郵件用戶,也可能存在發(fā)送嘗試����,此類嘗試可能導(dǎo)致電子郵件內(nèi)容被組織以外的人員捕獲或分析����。
很多網(wǎng)絡(luò)設(shè)備(如防火墻��、路由器�,甚至打印機(jī))可能被配置為通過(guò)電子郵件發(fā)送通知或日志數(shù)據(jù)。如果輸入的電子郵件通知收件人名稱在全球 DNS 中出現(xiàn)域名沖突的情況����,那么通知可能會(huì)被發(fā)送給完全意想不到的收件人����。郵件正文中可能透露網(wǎng)絡(luò)配置和主機(jī)行為的事件或日志數(shù)據(jù)可能泄露給意外收件人。如果該數(shù)據(jù)的指定收件人未收到日志數(shù)據(jù)或觸發(fā)通知的事件無(wú)法得到調(diào)查或緩解���,IT 工作人員的常規(guī)網(wǎng)絡(luò)性能或流量分析就可能中斷�。
商品已成功加入購(gòu)物車