1. DNS/lame_delegation
Contents
lame delegation (登録不備)
1.1. 入門
委任・委譲 とは DNS/delegation DNS の中心をなす概念です。
/JPRS用語辞典 https://jprs.jp/glossary/index.php?ID=0176
- 委任、委譲と呼ばれているが、しっくりこない。 「登録、登記」に近い。
1.2. ドメイン例
lame_delegation は Abuse のひとつでしょう。
- 委譲先の負荷は誰が負担すべきでしょうか。
1.3. 用語
誤委譲、委譲不全、委譲間違いとも言います。 欠陥委譲はどうでしょう。/分類
さまざまな害がありますが、DNS/ドメイン名/乗取・/なりすましの危険性もあります。 /2023
/dnsop terminology DNS/delegation DNS/NS_record
[DNSOP] Meaning of lame delegation https://mailarchive.ietf.org/arch/browse/dnsop/?gbt=1&index=QGjGNDti11J5Eg8IsA184WEYv68
The prevalence, persistence, and perils of lame delegations
By Gautam Akiwate on 16 Mar 2021 https://blog.apnic.net/2021/03/16/the-prevalence-persistence-perils-of-lame-nameservers/
/検査ツール DNS健全性チェッカー https://www.e-ontap.com/dns/health/
「DNS/登録不備」ではいかがでしょう。-- ToshinoriMaeno 2022-03-12 22:27:08
- まとめ直しているので、こちらと重複している項目も結構あります。
きちんと「委譲設定」をするのは、ドメイン登録者の義務です。 きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。 lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。
1.4. 発生源
発生の状況は/発生で説明する。
1.5. 状態の分類
lame delegation 状態を以下のみっつに分けて考える。--> /分析 /分類
1) 上位登録が正しくない。サーバー不在(名前の間違いなど) IPアドレス(glue)の間違いも含める。 2) 返答不在(サーバーダウン、ゾーンなし、サブドメインNS登録など) 3) 返答の不整合(ゾーン不全、複数サーバー間) 一部のサーバーにでも当てはまる場合はlameである。いずれも、乗取を心配する必要がある。
1.5.1. サーバーがない
ドメインがないことも。 JPNIC 流には 「委任元」における設定ミス
NSレコードがない場合もある。(clientHold状態など) DNS/委譲/NSレコードのないドメイン
- No address for delegated NS target
- NS target recursively points to itself or parent
- Non-existent server (間違い名など)
登録の不備
DNS/danglingDNSrecords https://unit42.paloaltonetworks.jp/dangling-domains/
DNS/記録/visa.co.jp事件 lame delegation の危うさが/報道されるようになった。
1.5.2. サーバーから返事がない
Nameserver refuses to answer /ゾーンがない 無言か、REFUSED返答
- Nameserver returns a non-authoritative answer
- Nameserver returns a failure SERVFAIL or FORMERR
NSの移転作業時に、キャッシュ内にlame delegationが発生することもある。
- tssさんが明確に指摘した。
1.5.3. サーバーからの返事が正しくない
- jp.sharp にみられるように NSすらない場合がある。 zone apex CNAME は多い。4%?
https://twitter.com/jschauma/status/1672067531710889985?s=20
https://twitter.com/jschauma/status/1672075363730481152?s=20
1.6. 検査
https://thenewstack.io/risks-dns-hijacking-serious-take-countermeasures/
Preventing lame delegation hijacking (NS1) https://help.ns1.com/hc/en-us/articles/360063594293-Preventing-lame-delegation-hijacking
zoneなしの /cname
警告:lame delegationは「乗取」に直結しています。 awsdns/route53では特に注意が必要です。
ドメイン名の登録権利者を確認すればすむのに、やらない業者が多い。-- ToshinoriMaeno 2021-11-06 02:19:34
1.7. 具体例
1.7.1. 2022
1.7.2. 2012年
さくらDNSでの重大な欠陥 当時の/JPRS注意喚起
https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html
DNSサービス、運用によってはドメインハイジャックの恐れ 2012/06/22 https://atmarkit.itmedia.co.jp/news/201206/22/subdomain.html
1.8. 共用DNSサービスは危ない
ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。
DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains
Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System
DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。
- 「ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。)
委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。
- 登録が間違っているのもよく見かけます。
/Subdomain_Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/
1.9. 警告の手段
lame delegationを公表しては、乗取を誘うようなものだ。
- 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。)
共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html
https://twitter.com/beyondDNS/status/1185453289246085123
dnsstreamの活動を見て、思いついたこと: lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。 しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。 そこで、com/jp下の3000ドメイン名を観察することにした。🧙♂️ 午後4:11 · 2019年10月19日