域名沖突有哪些影響？域名沖突引起什么問題？由從專用網(wǎng)絡(luò)泄漏到全局dns的查詢引起的域名沖突可能會(huì)產(chǎn)生許多意想不到的后果。如果查詢響應(yīng)為正，但結(jié)果來自全局DNS而不是預(yù)期的專用命名空間，則執(zhí)行查詢的應(yīng)用程序?qū)L試連接到不屬于專用網(wǎng)絡(luò)的系統(tǒng)，連接可能成功，但也可能造成不便（導(dǎo)致域名解析延遲）。下面聚名網(wǎng)小編就帶大家看看域名沖突有哪些影響和域名沖突引起什么問題。

域名沖突有哪些影響？域名沖突引起什么問題？（推薦閱讀：什么樣的域名比較有價(jià)值？如何找尋好域名？）

指向意外網(wǎng)站

假設(shè)用戶在使用專用網(wǎng)絡(luò)時(shí)在其Web瀏覽器中輸入https://finance.ourcompany，則該網(wǎng)絡(luò)將具有專用TLD ourcompany的命名空間。如果瀏覽器在查詢域名finance.ourcompany時(shí)能夠正確解析該域名，則瀏覽器已經(jīng)獲取了財(cái)務(wù)部?jī)?nèi)部web服務(wù)器的ip地址。假設(shè)雖然tld ourcompany也包含在全局dns中，但tld還包含一個(gè)輔助域名（sld）finance。如果查詢被破壞，它將解析到一個(gè)不同的地址，而不是解析私有命名空間中的查詢時(shí)獲得的IP地址?，F(xiàn)在，假設(shè)這個(gè)不同的IP地址被配置到Web服務(wù)器上。瀏覽器嘗試連接到公用網(wǎng)絡(luò)而不是專用網(wǎng)絡(luò)上的Web服務(wù)器。

如前所述，即使在沒有專用tld但使用搜索列表的網(wǎng)絡(luò)中，也可能出現(xiàn)相同的問題。如果瀏覽器在用戶有搜索列表（包括域名ourcompany.com）的網(wǎng)絡(luò)上正常工作，則用戶輸入域名www.finance以訪問主機(jī)www.finance.ourcompany.com。現(xiàn)在，假設(shè)咖啡店的一名員工正在移動(dòng)設(shè)備上使用瀏覽器。如果查詢泄漏到Internet，并且Internet上的TLD碰巧命名為Finance，則該查詢可能解析為不同的IP地址，例如，全局DNS中域名的完全不同的主機(jī)地址www.finance。此查詢可能導(dǎo)致瀏覽器嘗試連接到與專用網(wǎng)絡(luò)分析器中的查詢完全不同的公用網(wǎng)絡(luò)Web服務(wù)器。

在這種情況下，普通用戶傾向于認(rèn)為這是錯(cuò)誤的站點(diǎn)并立即離開。但是，如果瀏覽器信任web服務(wù)器，因?yàn)樗挠蛎c以前訪問的web服務(wù)器完全相同，那么瀏覽器會(huì)向它泄漏大量信息。瀏覽器可能會(huì)自動(dòng)輸入登錄信息或其他敏感數(shù)據(jù)，導(dǎo)致組織外部人員捕獲或分析信息。在其他情況下（例如，對(duì)組織的蓄意攻擊），瀏覽器可能連接到配置有惡意代碼的網(wǎng)站，以便在計(jì)算機(jī)上安裝危險(xiǎn)程序。

請(qǐng)注意，使用TLS和數(shù)字證書可能無助于防止域名沖突造成的損害；事實(shí)上，由于這給用戶帶來了安全錯(cuò)覺，因此危害更大。許多在全局dns（ca）中為域名頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)也會(huì)在專用地址空間中為短而不合格的域名頒發(fā)證書，因此指向錯(cuò)誤站點(diǎn)的用戶仍然有可能看到有效的證書。

指向錯(cuò)誤收件人的電子郵件

域名沖突的可能后果不限于Web瀏覽器。如果收件人地址的主機(jī)名相同，則可能會(huì)將要發(fā)送給一個(gè)收件人的電子郵件發(fā)送給另一個(gè)收件人；例如，如果我們公司是TLD，則在全局DNS中，發(fā)送給chris@support.ourcompany的電子郵件可能會(huì)發(fā)送到完全不同的用戶帳戶。即使郵件未成功發(fā)送到特定的電子郵件用戶，也可能有人試圖發(fā)送郵件，這可能會(huì)導(dǎo)致組織外部的人員捕獲或分析電子郵件的內(nèi)容。

許多網(wǎng)絡(luò)設(shè)備，如防火墻、路由器甚至打印機(jī)，都可以配置為通過電子郵件發(fā)送通知或日志數(shù)據(jù)。如果您輸入的電子郵件通知收件人全局DNS中存在域名沖突，則通知可能會(huì)發(fā)送到完全意外的收件人。可能在郵件正文中顯示網(wǎng)絡(luò)配置和主機(jī)行為的事件或日志數(shù)據(jù)可能會(huì)泄漏給意外的收件人。如果指定的數(shù)據(jù)接收者沒有收到日志數(shù)據(jù)，或者如果無法調(diào)查或緩解觸發(fā)通知的事件，則可能會(huì)中斷IT人員的常規(guī)網(wǎng)絡(luò)性能或流量分析。

安全性降低

未觸發(fā)的域名沖突可能會(huì)對(duì)專用網(wǎng)絡(luò)中的系統(tǒng)造成意外行為或風(fēng)險(xiǎn)。依賴域名解析進(jìn)行正確操作并執(zhí)行安全功能的系統(tǒng)可以使用fqdn可靠地執(zhí)行來自全局dns解析的操作

例如，在防火墻中，安全規(guī)則通?；跀?shù)據(jù)包流的源或目標(biāo)。數(shù)據(jù)包的源和目標(biāo)是IPv4或IPv6地址，但許多防火墻也將它們作為域名輸入。如果使用短的非限定域名，并且域名解析沒有正確執(zhí)行，則規(guī)則可能不會(huì)按照管理員的預(yù)期阻止或允許通信。類似地，防火墻日志通常使用域名，并且使用以不可預(yù)知的方式解析的短的非限定域名可能會(huì)影響事件監(jiān)視、分析或響應(yīng)。例如，由于日志中的短非限定域名基于創(chuàng)建日志的地址標(biāo)識(shí)不同的主機(jī)（即，在日志中，相同的短非限定域名可能與兩個(gè)或多個(gè)不同的IP地址相關(guān)聯(lián)）。因此，審核日志的IT人員可能會(huì)誤解事件的嚴(yán)重性。這可能很復(fù)雜，因?yàn)榇蠖鄶?shù)防火墻都可以充當(dāng)自己的dns解析器，或者允許管理員使用或配置搜索列表。

受域名沖突影響的系統(tǒng)應(yīng)檢查所有聯(lián)網(wǎng)系統(tǒng)是否使用根在專用TLD中的主機(jī)名或基于搜索列表的主機(jī)名。所有這些&ldquo；use&rdquo；實(shí)例都需要更新以在全局dns中使用fqdn。要檢查的系統(tǒng)或應(yīng)用程序列表可能包括：

瀏覽器用戶可以在Web瀏覽器上指定HTTP代理的位置，通常用于專用網(wǎng)絡(luò)。檢查用戶或IT人員是否已設(shè)置自定義主頁、書簽或搜索引擎：此內(nèi)容鏈接到專用網(wǎng)絡(luò)上的服務(wù)器。一些瀏覽器還提供配置選項(xiàng)，允許您獲取有關(guān)指向?qū)Ｓ镁W(wǎng)絡(luò)上主機(jī)名的ssl/tls證書的吊銷信息。

Web服務(wù)器Web服務(wù)器提供包含嵌入在主機(jī)名中的鏈接和元數(shù)據(jù)的HTML內(nèi)容。檢查專用網(wǎng)絡(luò)上的Web服務(wù)器是否包含帶有短的非限定域名的內(nèi)容。檢查Web服務(wù)器的配置文件是否包含專用網(wǎng)絡(luò)上其他主機(jī)的短的非限定域名。

電子郵件用戶代理電子郵件客戶端（如outlook和thunderbird）提供配置選項(xiàng)，允許您使用pop或imap協(xié)議接收電子郵件，并基于提交協(xié)議發(fā)送電子郵件，所有這些都可能在專用網(wǎng)絡(luò)上使用主機(jī)名。檢查這些應(yīng)用程序是否配置為從分配了短的非限定域名的主機(jī)獲取有關(guān)SSL/TLS證書的吊銷信息。

電子郵件服務(wù)器檢查電子郵件服務(wù)器的配置是否列出了其他本地主機(jī)（如備份電子郵件網(wǎng)關(guān)、脫機(jī)存儲(chǔ)服務(wù)器等）的短的不合格域名。

證書檢查使用X.509證書的應(yīng)用程序（如電話和即時(shí)消息程序）是否具有使用短的非限定域名識(shí)別來獲取有關(guān)SSL/TLS證書的吊銷信息的配置數(shù)據(jù)。

其他應(yīng)用程序自定義應(yīng)用程序可能包含多個(gè)存儲(chǔ)主機(jī)名的配置參數(shù)。最明顯的空間可以在配置文件中，但是主機(jī)名可能出現(xiàn)在各種應(yīng)用程序數(shù)據(jù)、社交媒體或wiki鏈接中，甚至可能在源代碼中硬編碼。檢查配置數(shù)據(jù)是否使用短的非限定域名。

網(wǎng)絡(luò)設(shè)備檢查網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備（防火墻、安全信息和事件管理[SIEM]系統(tǒng)、路由器、交換機(jī)、網(wǎng)絡(luò)監(jiān)視設(shè)備、入侵檢測(cè)或預(yù)防系統(tǒng)、VPN服務(wù)器、DNS服務(wù)器、DHCP服務(wù)器、日志服務(wù)器），以確定這些設(shè)備是否配置了短的不合格域?qū)Ｓ镁W(wǎng)絡(luò)上其他設(shè)備的名稱。

客戶機(jī)管理檢查集中的客戶機(jī)管理工具，例如在由系統(tǒng)控制和重置的配置中，為不合格的短域名配置組織工作站和網(wǎng)絡(luò)設(shè)備，特別是搜索列表。

手機(jī)和平板電腦等移動(dòng)設(shè)備消費(fèi)電子設(shè)備可能具有與上述一些應(yīng)用程序相似的配置選項(xiàng)，因此可能存在包含來自本地網(wǎng)絡(luò)的短的不合格域名的配置選項(xiàng)。

應(yīng)該檢查存儲(chǔ)在所有這些系統(tǒng)中的短的不合格域名的配置數(shù)據(jù)，以確保在專用命名空間的根目錄更改或不再使用搜索列表時(shí)可以更改這些域名。

如有其它的域名知識(shí)需要，詳情請(qǐng)關(guān)注聚名網(wǎng)域名注冊(cè)：http://y447.cn/regym.htm