1. DNS/登録不備/解説
| /なぜ /なに /まとめ /ゾーン転送不良 /危険性 /対策 /検査 /症状 /解説 /記録 /設定者が悪いのか |
Contents
DNS/delegation を理解している前提で説明します。
この解説は不十分、整理が足りない。-- ToshinoriMaeno 2021-09-08 21:17:12
DNS/lame_delegation/分析 と重複しています。
1.1. lame delagation とは
../RFC8499 lame delegation がなにをもたらすのか、 危険性についての言及はない。
- NSレコードの指す先が間違っている。(Aがない。)
- NSレコードの先が正常な返事を返さない。
- REFUSED だったり、返事がなかったりする。(ゾーンがないのだろう。)
- NSレコードに正常な返事を返さないものが含まれている。
- 正常な返事をするNSに加えて、正常な返事をしないNSが含まれている。
1.2. 委譲先が返答をしない
リゾルバーに毒盛しやすい。[Kaminsky-Mueller攻撃など]
- 返答がないのだから、競合相手が存在しない。
乗取ができなくとも、危ない。
1.3. 委譲先のサーバーが存在しない
1.3.1. 存在しないドメイン
上位登録しているサーバ名(ドメイン名)のA/AAAAレコードが名前解決できない。
「存在していないドメイン(誰でも取得可能)内」を指していると、
- サーバーの属するドメインを登録されて、偽サーバーを作られるかも知れません。
- ドメイン全体が乗っ取られる危険性があります。
- よく知られているのはvisa.co.jpの話です。失効したドメインを買った。:-)
JPレジストリは「存在しないJPドメイン」内のホストを指しているNSレコードはときどき強制削除している。
- (ひとつき程度の遅延はありそう)
これは/visa.co.jp問題が指摘されたあとに実施されたものです。
- com, .net などの存在しないドメインは危ない。(容易に取得可能)
1.3.2. 存在しないサーバー
委譲先のホスト名の間違いだけではなく、委譲そのものを消し忘れたという状況も多い。
誰でも作成できる名前は危ない。--> subdomain takeover
1.4. サーバーがゾーンを持たない
登録サーバが存在して、返事をするが、期待する返事を返さない。
ゾーン設定されていないなどの場合もある。/awsdns に多数ある。
共用DNSサービスを指す場合で、返事をしない(ゾーン不在)ときにはが別人にドメイン(ゾーン)を作られる (乗取られる)恐れがあります。登録ドメインと権利確認を行っていないからです。(さくら、/awsdns など)
-- ToshinoriMaeno 2019-07-12 00:10:33
- 「共用DNSサービスで設定しそこない」などの理由が考えられるが、乗っ取られる危険がある。
使っていないドメインだからと言って危険性を無視してはいけない。
共用DNSサービスを指す委譲に対しては、あと一歩踏み込んだ対応が必要になります。
- ゾーンが存在しないことがあるからです。
ドメイン名の権利確認を怠るサービスが多いので、注意が必要です。
- フィッシングなどに使われたときに責任がないとは言えない。
-- ToshinoriMaeno 2012-12-12 09:59:20
1.4.1. 返答
ゾーンが存在しない場合、
- 多くの権威サーバーは REFUSEDを返すが、そうではないものもある。
- xserver,star-domain, sixcore 配下のサーバはSERVFAILを返す。
- 問題のほとんどはxserverに委譲しているケースのようだ。
- heteml のように返事をしないサーバーもある。
- xdomain, secure\.net なども。 (tinydnsもこの動作だ。)
- zoneが存在しないにもかかわらず、NOERROR(noname)返答を返すサーバーもある。
- bluehost, worldnic(+SOA), dreamhost など
- Aレコードだけを返す。(乗取り)
- muumuu-domain (eva.co.jp など)
$dig @ns1.bluehost.com -t ns qmail.com
1.5. 子ドメインのNSを登録するのは危険
子ドメインのNSを親ドメインのNSとして登録しているドメインをたまに見かける。
親ドメインを乗取ることは考慮されているサービスもある(さくらやroute53など)。
だが、本当に安全だろうか。:-<
-- ToshinoriMaeno 2020-05-29 23:02:27