我可以註冊一個域並擁有零 DNS 記錄嗎?
註冊一個域以供將來使用並且不將任何 DNS 記錄與之關聯是一種不好的做法。
例如,假設我購買了 hello.com 和 goodbye.com,並將名稱伺服器設置為我的註冊器中的 AWS R53 名稱伺服器。但是在 Route53 中我沒有設置任何 DNS 記錄。您是否總是需要至少有某種佔位符 DNS 記錄?
不,沒有任何記錄是不錯的做法,但是空託管區域與在 Route 53 中根本沒有配置託管區域但假裝您這樣做之間存在很大差異,方法是將 Route 53 名稱伺服器分配給Route 53 中沒有匹配託管區域的域。
Route 53 有 2,048 個域名伺服器。(技術上不僅如此,由於任播,但有 2048 個與 Route 53 關聯的唯一名稱伺服器名稱。)每次創建託管區域時,它都會分配給其中 4 個伺服器,這些伺服器必須與您的註冊商一起配置,以便查詢被傳送到正確的 4 台伺服器——其他 2,044 台 Route 53 伺服器將拒絕對您域的查詢(如果它們到達),但除非您使用註冊商錯誤配置權威伺服器,否則它們不會。
如果您刪除該託管區域並讓註冊商指向這 4 台伺服器,那麼理論上您的域可能會被劫持。某人只需要在 Route 53 中為您的域創建、刪除、創建、刪除……一個託管區域不超過 512 (2048 ÷ 4) 次,然後他們最終會在您最初的至少一個上擁有一個託管區域- 分配的名稱伺服器——你放棄了。
如果您不刪除託管區域,這是不可能的,因為如果您仍然擁有域名伺服器,則不會將名稱伺服器分配給同一域的新託管區域。
這不是 Route 53 中的安全漏洞。它是惡意使用者利用域所有者創建的錯誤配置,將他們的權威名稱伺服器設置指向實際上不權威的機器。它不會很可靠地工作,但是為這種情況設置自己肯定是不好的做法。
NXDOMAIN惡意使用者可以輕鬆辨識具有此類錯誤配置的域,因為 Route 53 將主動拒絕處理它接收到的針對意外域的 DNS 查詢,並返回回复消息,而不是像在沒有有效配置的情況下那樣返回錯誤託管區域中的任何實際記錄。