1. DNS/lame_delegation

誤委譲、委譲不全、委譲間違いとも言います。DNS/ゾーン/設定/誤委譲

警告:lame delegationは「乗取」に直結しています。
  awsdns/route53では特に注意が必要です。

Can I Take Over DNS? /indianajson https://github.com/indianajson/can-i-take-over-dns

「なに」 か。空家に他人に住みつかれたようなものです。

lame delegation を以下のみっつに分けて考える。--> /分析

1) サーバー不在(名前の間違いなど)
2) 返答不在(サーバーダウン、ゾーンなしなど)
3) 返答の不整合

一部のサーバーにでも当てはまる場合はlameである。いずれも、乗取を心配する必要がある。

DNS/乗取DNS/なりすましを理解するにはDNS/委譲(DNS/delegation)を理解しておくことが重要です。

きちんと「委譲設定」をするのは、ドメイン登録者の義務です。
きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。

lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。

the DNS institute Rport 2019-11 /institute http://dnsinstitute.com/research/lame-servers-201911/

The following examples were seen in November 2019. Some of the problems have been resolved, but a few still exist.

サーバーがない

サーバーから返事がない

1.1. delegation

DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。/危険性

警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。

委譲登録したネームサーバーは正常に動作していますか。確認しましょう。

DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。

1.2. 共用DNSサービスは危ない

ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。

/共用サービス /なぜawsdnsにlameが多いか

DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/

DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。

委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。

/Subdomain_Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/

1.3. 警告の手段

lame delegationを公表しては、乗取を誘うようなものだ。

共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html

https://twitter.com/beyondDNS/status/1185453289246085123

dnsstreamの活動を見て、思いついたこと:
  lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。
  しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。
  そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日

1.4. 権利確認が不十分

1.5. 委譲設定の検査

DNS健全性チェッカー http://www.e-ontap.com/dns/health/

DNS Viz https://dnsviz.net/ DNSSEC

Squish http://dns.squish.net/ DNS traversal checker

JPRS提供: https://dnscheck.jp/

https://ns1.com/blog/using-dig-trace

Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx

これらを使いこなすにもDNSの基礎知識は欠かせない。


Moin2Qmail: DNS/lame_delegation (last edited 2021-09-13 02:26:20 by ToshinoriMaeno)