Кто-то еще зарегистрировал имя, указывающее на IP-адрес моего веб-сервера в .ma TLD.
Мой домен foo.bar -> мой IP-адрес 1.2.3.4
Кто-то определил:
suspiciousdomain.ma -> мой ip-адрес 1.2.3.4
Таким образом, это выглядит как обратная обычная подмена DNS.
Вопросы:
это подготовка к другой атаке? Например, люди заходят на сайт suspiciousdomain.ma, а затем suspiciousdomain.ma через некоторое время меняет IP-адрес и перенаправляет трафик на сервер «человек посередине», используемый для кражи учетных данных?
Как лучше всего этого избежать?
Я думал о блокировке HTTP-запросов на Host: заголовок (то есть отклонение всех HTTP-запросов, не имеющих Host: foo.bar набор заголовков). Будет ли это эффективным, то есть нет ли разумного способа, чтобы злоумышленники могли злоупотребить этим? (этот заголовок установлен браузером?)
Встраивание кода javascript для предотвращения этого на странице не обязательно должно быть эффективным, поскольку злоумышленники могут в конце концов удалить этот код, когда переключат DNS на адрес сервера «человек посередине».
Вы можете легко предотвратить это на уровне веб-сервера, явно указав свой ServerName директивы. Несовпадающие хосты будут просто перенаправлены на страницу по умолчанию (или что вы выберете).
Это является Можно обмануть заголовок Host :, но это мешает наиболее распространенными способами. Еще более опасным является то, что подозрительный домен будет дублировать контент в вашем домене, что ухудшает рейтинг SEO (поисковые системы ненавидят повторяющиеся веб-сайты), поэтому исправление Apache поможет.