Outro domínio aponta para o meu servidor web

2

Alguém registrou um nome apontando para o endereço IP do meu servidor da Web em .ma TLD.

Meu domínio foo.bar - > meu endereço ip 1.2.3.4

Alguém definiu:

suspeiciousdomain.ma - > meu endereço ip 1.2.3.4

Então, isso parece um inverso ao típico spoofing de DNS.

Perguntas:

  1. esta preparação para algum outro ataque? Por exemplo, as pessoas fazem login no site suspeiciousdomain.ma, em seguida, suspeiciousdomain.ma altera o endereço IP depois de algum tempo e redireciona o tráfego para um servidor "man in the middle" usado para roubar credenciais?

  2. Qual é a melhor maneira de evitar isso?

Eu estava pensando em bloquear solicitações HTTP no Host: header (ou seja, rejeitar todas as solicitações http que não têm Host: foo.bar header set). Isso seria eficaz, ou seja, não há uma maneira razoável de os invasores abusarem dela? (esse cabeçalho é definido pelo navegador?)

Incorporar código javascript para evitar isso na página não precisa ser efetivo, já que os invasores podem, depois de tudo, excluir esse código quando mudam o DNS para o endereço do servidor "man in the middle".

    
por LetMeSOThat4U 11.04.2014 / 16:01

1 resposta

5

Você pode evitar isso facilmente no nível do servidor da Web definindo explicitamente as diretivas ServerName . Os hosts não correspondentes seriam simplesmente canalizados para a página padrão (ou o que você escolher).

É possível enganar o cabeçalho Host:, mas isso evita as formas mais comuns. Mais prejudicial é que o domínio suspeito irá duplicar o conteúdo em seu domínio, o que prejudica as avaliações de SEO (os mecanismos de busca detestam sites duplicados), então a correção do Apache faria o truque.

    
por 11.04.2014 / 16:14