क्या वाइल्डकार्ड DNS रिकॉर्ड खराब प्रैक्टिस है?

मैंने अपने होस्टर से तीन सबडोमेन को जोड़ने के लिए कहा, जो एक रिकॉर्ड के आईपी की ओर इशारा करते हैं। ऐसा लगता है कि उन्होंने केवल एक वाइल्डकार्ड डीएनएस रिकॉर्ड जोड़ा है क्योंकि कोई भी यादृच्छिक उपडोमेन अब मेरे आईपी में बदल जाता है। यह मेरे लिए तकनीकी दृष्टि से ठीक है, क्योंकि कहीं और कोई उप डोमेन इंगित नहीं कर रहा है। फिर मैं उसे पसंद नहीं करता जो मैंने पूछा था। और इसलिए मुझे आश्चर्य है कि क्या उसे बदलने के लिए कहने के अन्य कारण हैं। क्या वहां पर कोई?

केवल नकारात्मक मैंने पाया कि कोई मेरी साइट का उपयोग करके लिंक कर सकता है http://i.dont.like.your.website.mywebsite.tld।

यदि आप कभी भी उस डोमेन में एक कंप्यूटर डालते हैं, तो आपको विचित्र डीएनएस विफलताएं मिलेंगी, जहां जब आप इंटरनेट पर कुछ यादृच्छिक साइट पर जाने का प्रयास करते हैं, तो आप इसके बजाय आपके पास पहुंचते हैं।

विचार करें: आप डोमेन के मालिक हैं example.com। आप अपना वर्कस्टेशन सेट करते हैं और उसे नाम देते हैं। ... आइए कहते हैं, yukon.example.com। अब आप देखेंगे कि इसकी /etc/resolv.confलाइन है:

search example.com

यह सुविधाजनक है क्योंकि इसका मतलब है कि आप होस्टनाम लुकअप के लिए कर सकते हैं, उदाहरण के लिए wwwजो तब www.example.comआपके लिए स्वचालित रूप से खोज करेगा। लेकिन इसका एक स्याह पक्ष है: यदि आप Google पर जाते हैं, कहते हैं, तो यह खोज करेगा www.google.com.example.com, और यदि आपके पास वाइल्डकार्ड डीएनएस है, तो वह आपकी साइट पर हल हो जाएगा, और Google तक पहुंचने के बजाय आप अपनी साइट पर हवा करेंगे।

यह उस सर्वर पर समान रूप से लागू होता है जिस पर आप अपनी वेब साइट चला रहे हैं! यदि इसे कभी बाहरी सेवाओं को कॉल करना है, तो होस्टनाम लुकअप उसी तरह से विफल हो सकता है। तो api.twitter.comउदाहरण के लिए अचानक बन जाता है api.twitter.com.example.com, मार्ग सीधे आपकी साइट पर वापस आ जाता है , और निश्चित रूप से विफल हो जाता है।

यही कारण है कि मैं वाइल्डकार्ड डीएनएस का उपयोग कभी नहीं करता हूं ।

क्या वाइल्डकार्ड DNS रिकॉर्ड खराब प्रैक्टिस है?

व्यक्तिगत रूप से, मुझे यह पसंद नहीं है। खासकर जब उस डोमेन में मशीनें हों। टाइपो अनियंत्रित हो जाते हैं, त्रुटियां कम स्पष्ट होती हैं ... लेकिन इसमें मूलभूत रूप से कुछ भी गलत नहीं है।

केवल नकारात्मक मैंने पाया है कि कोई व्यक्ति http: //i.dont.like.your.website.mywebsite.tld का उपयोग करके मेरी साइट से लिंक कर सकता है ।

अपने http सर्वर को ऐसे सभी अनुरोधों को उचित, विहित पते पर पुनर्निर्देशित करें, या बिल्कुल भी जवाब न दें। Nginx के लिए कुछ इस तरह होगा :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

और फिर नियमित

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

यह सब राय का विषय है। मेरे लिए यह बुरा अभ्यास नहीं है।

मैं एक मल्टी-टेनेंट ऐप बना रहा हूं जो प्रति किरायेदार एक डेटाबेस का उपयोग करता है। यह तब उपडोमेन के आधार पर उपयोग किए जाने वाले डेटाबेस का चयन करता है।

उदाहरण के लिए डेटाबेस का milkman.example.comउपयोग करेगा tenant_milkman।

इस तरह मैं एक किरायेदार के लिए टेबल अलग किया है, जैसे, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, मेरी राय में एक बहुत बड़ा बहुत आसान बजाय एक ही तालिका में सभी कंपनियों से सभी उपयोगकर्ताओं होने के, इस विशिष्ट अनुप्रयोग के लिए बनाए रखने के लिए है।

[edit - Michael Hampton has a good point]

कहा जा रहा है, अगर आपके पास किसी भी (चर) उपडोमेन को स्वीकार करने का कोई विशिष्ट कारण नहीं है, जैसे कि मैं करता हूं, तो आपको उन्हें स्वीकार नहीं करना चाहिए।

यहां एक और मुद्दा एसईओ है: यदि सभी *.example.comएक ही सामग्री दिखा रहे हैं, तो आपकी वेबसाइट को बुरी तरह से संदर्भित किया जाएगा, कम से कम Google ( https://support.google.com/webmasters/answer/66359 ) द्वारा।

यह वास्तव में एक बुरा विचार है, यदि आप एक वेब सर्वर में एक उपडोमेन डॉट कॉम.कॉम होस्ट करना चाहते हैं, और दूसरे वेब सर्वर में b.company.com, एक और आईएसपी हो सकता है। आप क्या करोगे ?। तो वाइल्डकार्ड डीएनएस एक विकल्प नहीं है, यह सटीक होना चाहिए, प्रत्येक उप डोमेन के लिए ए रिकॉर्ड बनाएं और प्रासंगिक आईपी को इंगित करें। संभावना है कि आपके वेब सर्वर को एक आईएसपी से दूसरे आईएसपी में स्थानांतरित किया जाए, इस मामले में आप क्या करेंगे?

मुझे पता है कि यह एक पुराना सवाल है, हालांकि मैं एक वास्तविक दुनिया उदाहरण साझा करना चाहता हूं जहां वाइल्डकार्ड डोमेन का उपयोग करने से समस्याएं हो सकती हैं। हालाँकि मैं डोमेन नाम बदलने जा रहा हूँ और शर्मिंदगी से बचाने के लिए पूरा SPF रिकॉर्ड भी छिपा रहा हूँ।

मैं किसी ऐसे व्यक्ति की मदद कर रहा था जो DMARC के साथ समस्या कर रहा था, चेक के भाग के रूप में मैं हमेशा DIGARC रिकॉर्ड को DIG के साथ देखता हूं

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

मुझे भी यही परिणाम मिला जब उनके डीकेआईएम रिकॉर्ड की तलाश की गई।

नतीजतन, इस डोमेन से भेजे गए ईमेलों को डीकेआईएम विफल हो जाएगा क्योंकि डीकेआईएम मॉड्यूल एक डीकेआईएम कुंजी के लिए एसपीएफ रिकॉर्ड को पार्स करने की कोशिश करेगा और असफल हो जाएगा, और इसी कारण से डीएमएआरसी के लिए एक अनुमति भी प्राप्त होगी।

वाइल्डकार्ड डोमेन एक अच्छे विचार की तरह लग सकते हैं लेकिन गलत तरीके से सेट होने पर वे सभी प्रकार के मुद्दों का कारण बन सकते हैं।

क्या वाइल्डकार्ड DNS रिकॉर्ड खराब प्रैक्टिस है?

नहीं, और दूसरों के विपरीत, मेरा मानना ​​है कि यह अच्छा अभ्यास है।

अधिकांश इंटरनेट उपयोगकर्ता किसी बिंदु पर एक DNS नाम पर उंगली करते हैं। वे टाइप करेंगे ww.mycompany.comया wwe.mycompany.com आप क्या करेंगे बल्कि एक "उफ़ हम उस साइट को नहीं ढूंढ सकते" या उनके लिए अपने प्राथमिक होम पेज को खींच सकते हैं? अधिक बार उन्हें अपने प्राथमिक होम पेज को नहीं खींचने से बेहतर है। जो कि बहुत सारे लोग करते हैं।

यहां तक ​​कि अगर कोई इसके लिए एक लिंक डालता है, i.dont.like.your.website.whatever.comतब भी आपका होम पेज खिंच जाएगा , जो वास्तव में आप चाहते हैं। आखिरकार, वे उस i.dont....साइट को अपने सर्वर पर नहीं जा सकते , आप अभी भी DNS रूटिंग को नियंत्रित करते हैं, इसलिए यह आपके पास जाता है।

मुझे लगता है कि पहली जगह में वाइल्डकार्ड डीएनएस रिकॉर्ड न होने का सबसे अच्छा कारण एक संभावित हमलावर को अपना सर्वर आईपी पता देने से बचना है और डीडीओएस हमलों के लिए प्रदर्शनी को कम करना है। Cloudflare द्वारा यह भी सिफारिश की जाती है: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/