V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CCKurokawa
V2EX  ›  服务器

cloudflare 感觉怪怪的,添加和解析一个域名不需要任何的验证。

  •  1
     
  •   CCKurokawa · 2023-05-15 12:26:18 +08:00 · 4647 次点击
    这是一个创建于 591 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这样我可以直接添加别人的域名到自己账户里,然后修改他的解析。

    如果别人的域名没有使用 cloudflare ,而是使用别的服务商进行解析(例如阿里云),我直接添加到 cloudflare 后甚至可以看到他的所有解析记录。。。

    震惊

    29 条回复    2023-05-16 22:26:15 +08:00
    shyling
        1
    shyling  
       2023-05-15 12:29:21 +08:00   ❤️ 2
    1. 修改域名 ns 到 cf 才有效
    2. 只是通过工具查到的
    unnamedhao
        2
    unnamedhao  
       2023-05-15 12:30:33 +08:00
    但是你改不了别人的域名解析
    worldquant
        3
    worldquant  
       2023-05-15 12:31:01 +08:00   ❤️ 2
    你要先添加站点后去域名注册商那边修改 ns ,你以为随便改吗
    wunonglin
        4
    wunonglin  
       2023-05-15 12:36:41 +08:00
    你在想啥?
    makelove
        5
    makelove  
       2023-05-15 12:37:02 +08:00
    然而有什么用?
    且不可能看到所有解析记录,只能猜常用单词
    ck65
        6
    ck65  
       2023-05-15 12:41:16 +08:00
    楼上这么快就把 OP 的核心知识缺失给明示了。。。

    震惊
    yarnom
        7
    yarnom  
       2023-05-15 12:52:04 +08:00 via Android
    需要在域名商那边把名称服务器修改成 cloudflare 的才行,你可以注册一个域名试试~
    icy37785
        8
    icy37785  
       2023-05-15 12:58:28 +08:00 via iPhone   ❤️ 10
    不知道说什么好,我对于这帖子也挺震惊的。
    Muniesa
        9
    Muniesa  
       2023-05-15 13:00:18 +08:00 via Android
    太哈人了,这就去把 chatgpt 的域名解析给改了
    Chad0000
        10
    Chad0000  
       2023-05-15 13:04:42 +08:00 via iPhone
    @shyling
    plus 如果有同名域名加入 cf 应该会有验证。比如 v 站已经使用 cf ,如果你在加,cf 会发现已经有其他账号加了,然后需要你证明 V2EX 属于你,可能通过添加新的 ns 记录证明。
    davidyin
        11
    davidyin  
       2023-05-15 13:06:35 +08:00 via Android
    不是所有的记录。
    y1y1
        12
    y1y1  
       2023-05-15 13:08:25 +08:00 via iPhone
    你震惊,我也震惊了
    bGl2aWRubXNs
        13
    bGl2aWRubXNs  
       2023-05-15 13:24:17 +08:00
    @icy37785 hahaha 确实
    CCKurokawa
        14
    CCKurokawa  
    OP
       2023-05-15 13:24:53 +08:00   ❤️ 1
    抱歉把各位都给震惊到了 我再多去学习学习吧 hhh
    oott123
        15
    oott123  
       2023-05-15 13:35:00 +08:00 via Android   ❤️ 1
    有做的,只是比较隐蔽,每个账号添加域名返回的 ns 是不一样的
    https://blog.cloudflare.com/whats-the-story-behind-the-names-of-cloudflares-name-servers/
    CCKurokawa
        16
    CCKurokawa  
    OP
       2023-05-15 13:37:58 +08:00
    @oott123 噢噢 是这样。前天一次性绑定了 20 个域名,发现都是一样的 ns ,我就天真的以为所有人账号都是一样的 ns (汗
    lhbc
        17
    lhbc  
       2023-05-15 13:54:09 +08:00 via Android
    OP 还在震惊的时候,我就已经把 google.com apple.com
    microsoft.com facebook.com tiktok.com youtube.com 收入囊中
    SunsetShimmer
        18
    SunsetShimmer  
       2023-05-15 14:18:27 +08:00   ❤️ 1
    总记得之前见过这样的问题...

    Cf 添加域名的时候会要求用户修改 NS 服务器。除非真的有控制权,不然改不了。
    wonderfulcxm
        19
    wonderfulcxm  
       2023-05-15 14:19:18 +08:00
    Are You OK?
    shyling
        20
    shyling  
       2023-05-15 14:42:24 +08:00
    @Chad0000 估计是有的,不过我还没试过
    miyuki
        21
    miyuki  
       2023-05-15 15:38:44 +08:00
    冷嘲热讽就没必要了

    添加是可以添加,但是下一步需要修改 ns ,不改过去还是用不了滴
    leonshaw
        22
    leonshaw  
       2023-05-15 19:45:52 +08:00
    权限验证是通过改 NS 完成的,那校验 NS 记录和这两个给定 server 上的解析生效先后顺序是怎么样的?
    如果先校验,那切换过程可能会有一段时间无法解析;如果先解析生效,那有可能用多账号做拒绝服务攻击?
    感觉这种设计有点奇怪(虽然防 DoS 是他们看家本领)
    SunsetShimmer
        23
    SunsetShimmer  
       2023-05-15 21:08:30 +08:00
    @leonshaw #22 遇到极端情况可以人工审核?
    zhangshine
        24
    zhangshine  
       2023-05-15 22:52:29 +08:00
    跟手机验证码一样,情况会出现,但是概率很小
    renfei
        25
    renfei  
       2023-05-16 09:32:27 +08:00
    @leonshaw 我是这样理解先校验 NS 权限的
    1.Cloudflare 去查 whois ,NS 记录是准实时的,会很快感知到 NS 记录的变化
    2.用户侧的 NS 记录是有 72 小时的 TTL 缓存的,不是实时的
    所以,Cloudflare 会更快的接入,使解析在用户查询到 NS 变动之前就生效
    leonshaw
        26
    leonshaw  
       2023-05-16 10:26:33 +08:00
    @SunsetShimmer
    @renfei
    试了一下,是先生效的

    dig @garret.ns.cloudflare.com v2ex.microsoft.com TXT +short
    "See https://v2ex.com/t/940085"

    这下微软用不了这个 DNS server 了。。
    renfei
        27
    renfei  
       2023-05-16 16:11:16 +08:00
    @leonshaw

    不是,只有给你分配的这组 NS 才能解析,微软没有修改域名的 NS 记录,互联网上是不会走到你那组 NS 的

    比如给我分配的 NS 是 robin.ns.cloudflare.com ,那你试试这个

    dig @robin.ns.cloudflare.com v2ex.microsoft.com TXT

    就无法解析,所以只能自嗨
    leonshaw
        28
    leonshaw  
       2023-05-16 19:20:48 +08:00 via Android
    @renfei 我知道,所以我说的是“这个” DNS server 。问题在于其它账户想解析 microsoft 域必须分配不同的 DNS ,那么如果有足够的(超过权威 DNS 地址池)账户做同样的事情,就能形成 #22 说的 DoS 攻击。
    renfei
        29
    renfei  
       2023-05-16 22:26:15 +08:00
    @leonshaw 我找到一个 2 年前的数据,已经有 900+ 个 ns 记录了: https://github.com/indianajson/cloudflare-nameservers

    这 2 个一组,虽然有穷尽,但似乎比较困难
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2931 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 14:46 · PVG 22:46 · LAX 06:46 · JFK 09:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.