Реально ли иметь субдомен от домена без уведомления владельца домена?

Question

[organizer776]

Доброго времени суток. Часто встречаю атаки на свои обьекты с серверов типа субдомен.домен-магазина.ru.
Владельцы, могут даже и не знать о существовании у них поддоменов. Это как? Только человеческий фактор(дал доступ, забыл и т д) или все-таки, можно сделать подмену?

Еще были атаки с несуществующих доменов. Тут совсем не понимаю. Они даже не пробиваются. Такое может существовать на алиасах внутри сети оператора связи(по факту, же, мы сидим на одной большой локальной сети)

Comments

[Алексей Уколов]

С чего вы взяли, что атаки идут с каких-то доменов?

[hint000]

субдомен.домен-магазина.ru

обычно это делается так:
субдомен.домен-маrазина.ru
субдомен.д0мен-магазина.ru
субдомен.домен-мага3ина.ru
субдомен.доммен-магазина.ru
субдомен.дамен-магазина.ru
субдомен.домен-магазина.su
...
т.е. домен только на первый взгляд выглядит тем же самым, а на самом деле другой

[organizer776]

Алексей Уколов, process explorer открыт и вижу соединения. Там, натурально, указывается домен. До этого атака была с почтового сервера одной звукозаписывающей компании(называть не стану). По итогу, написал и "ошибку" исправили.

[organizer776]

hint000, Увы, это натуральные домены.

[Алексей Уколов]

Какой process explorer? Как соединения связаны с доменами?

[organizer776]

Алексей Уколов, вообще-то, там, во вкладке tcp/ip все видно. Может, кто-то подобрал пароль на некий сервер, на который был повешен субдомен. В прошлый раз так и было.

[wisgest]

Реально ли иметь субдомен от домена без уведомления владельца домена?

Да, например, если wildcard-запись для поддоменов указывает на какой-нибудь сервер хостинг-провайдера, то возможно стечение обстоятельств при которых кто угодно сможет спокойно заказать услугу хостинга с именем любого ещё не занятого поддомена.

[Алексей Уколов]

Вот именно что tcp/ip. Вам либо в HTTP заголовках приходит Referrer (но туда можно написать что угодно), либо у вас какой-то реверсивный DNS привязывает эти ip к доменам (но тогда откуда он берёт несуществующие).

Answer 1

[Drno]

Нет не реально. Атака идет с ip адреса, не с домена
А какие домену/субдомены привязаны к этому IP это уже вторично. Их там может быть овердофига

Comments

[organizer776]

В том и дело, есть разные типы атак.
Например, были атаки с подменой трафика и были атаки с банальным брутофорсом.
Попадались реальные сервера с поддоменом реальной компании и некие vps с несуществующими доменами, но подсовывающими трафик.
К сожалению, напрямик, ip увидеть сложно. Либо это натуральный субдомен, либо это километровое название, которое включает в себя шлюз-компания-оператор-итд либо, вообще, односложные (вот один "клиент" bangalore:57410 - атаковал меня по порту)

Answer 2

[Владимир Дубровин]

Вы (или атакующий) можете сконфигурировать себе в качестве PTR или указать в запросе к серверу любой домен/поддомен/имя, в т.ч. не существующие.