アクセス制限していたが、あまりに/ひどいことが起きているので、公開した。

1. ManagedDNS/awsdns

/domain-protect

/name_server /public_host_zone /子ゾーンNS

/NXDOMAIN返答

/ChatGPT

ACM: amazon certificate manager を略したものとか。(まぎらわしい)

https://docs.aws.amazon.com/acm/index.html

Domain hijacking vulnerability in Route 53/Gandi

https://www.reddit.com/r/netsec/comments/n6tfu1/domain_hijacking_vulnerability_in_route_53gandi/?utm_source=share&utm_medium=web2x&context=3

All your DNS were belong to us: AWS and Google Cloud shut down spying vulnerability

https://www.theregister.com/2021/08/06/aws_google_dns/

/wiz.io の指摘 : 起こるべくして起きた。

Amazon Route 53 を既存ドメインの DNS サービスとして使用する https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/MigratingDNS.html

/サブドメイン

1.1. 問題点

任意の名前のゾーンを登録できる。権利確認をしない。-- ToshinoriMaeno 2021-04-06 07:55:45

/NS割当 https://gist.github.com/otsuka752/993b1851d5772f72c161effb6eb1a23e

1.2. 警告

Deleting a public hosted zone https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html

In addition, if you delete a hosted zone, someone could hijack the domain and route traffic to their own resources using your domain name. 

ホストゾーンを削除すると、他のユーザーがお客様のドメイン名を使用してドメインをハイジャックし、自分のリソースにトラフィックをルーティングする可能性があります。

1.3. awsdns は乗取られ易い

(まとめ) lame delegationを作ってはいけない。自信がなければ、awsdnsは利用しないことです。

ゾーンを作っていないNSサーバーに委譲していると、乗取られる(可能性がある)。

簡単な対策があるのに、業者は実施していない。

-- ToshinoriMaeno 2020-02-01 07:25:24

ドメイン名の権利確認を行うのが望ましいが、テスト的にゾーン作成するときに手間が増えるかも。

1.4. wwwゾーンへの委譲はダメ

www.kaiyodai-sip.com.   172800  IN      NS      ns-1420.awsdns-49.org.
www.kaiyodai-sip.com.   172800  IN      NS      ns-1839.awsdns-37.co.uk.
www.kaiyodai-sip.com.   172800  IN      NS      ns-239.awsdns-29.com.
www.kaiyodai-sip.com.   172800  IN      NS      ns-765.awsdns-31.net.

1.5. 乗取の判別

/疑わしいドメイン名

1.5.1. 4NS でない場合

5こ以上を登録している場合、それだけで脆弱だろうと推測できる。(例外はある)

-- ToshinoriMaeno 2020-01-11 11:58:39

1.6. NXDOMAIN 返答

DNS/RFC/8020 NXDOMAIN返答にご用心。 watchA/awsdns/aist.go.jp watchA/awsdns/nicovideo.jp

Moin2Qmail: DNS/ManagedDNS/awsdns (last edited 2023-01-23 06:05:17 by ToshinoriMaeno)