10533
Comment:
|
5586
|
Deletions are marked like this. | Additions are marked like this. |
Line 79: | Line 79: |
== これまでの説明 == https://www.nic.ad.jp/ja/newsletter/No36/0800.html [[/JPNICの説明]]: ゾーンの委任が適切に行われていない状態を表します。 https://www.nic.ad.jp/ja/basics/terms/lame-delegation.html https://www.nic.ad.jp/ja/dns/lame/correct.html https://serv.nic.ad.jp/lame-check/ JPRS: 用語; https://jprs.jp/glossary/index.php?ID=0176 (資料) DNSの健全な運用のために ~Lame Delegation編~ https://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html [[DNS/記録/visa.co.jp事件]] http://www.e-ontap.com/summary/ その他 [[/資料]] をどうぞ。 2007 JPNIC http://www.nic.ad.jp/ja/newsletter/No36/0800.html これらの説明は「乗取」の危険性には触れていない。(しかも、DNSオペレータ向け) http://www.cosmo.sci.hokudai.ac.jp/~epnetfan/zagaku/2005//iw_report/C1-dns/C1-memo.html#label-14 {{{ レジストリとしての Lame チェックの重要性 (小山 祐司 [JPNIC]) Lame Delegation DNS サーバが正常に動作していない状態を表す Lame Delegation 問題点 ユーザ側 名前解決ができない 名前解決に時間がかかる 誤った名前解決をされる ネットワーク全体 無駄なトラフィックが生じる }}} DNSの世界において「ゾーンがlameである」とは一体どのような状態を指すのか解説する。 2015年10月28日 05時00分 公開 [米谷 嘉朗(JPRS),@IT] https://www.atmarkit.co.jp/ait/articles/1510/28/news015.html 共用DNSの危うさが指摘された(2012)あと出されたものですが、これでも不十分でした。 ゾーンがlameなのでしょうか。lame delegationの訳でもない。 == 経緯 == [[DNS/誤委譲]] (lame delegation)はネットワークに対する迷惑行為に加えて、'''乗取られる危険性'''を持っています。 e-ontap.com ドメインが失効して、tssさんが保護した。(経緯: https://www.e-ontap.com/detail.html ) 設定不良のドメインがJPドメイン下に多数存在していた。 DNSの健全な運用のために ~Lame Delegation編~ 2003/05/20(Tue) https://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html JPRSからの警告 (2005年) https://jprs.jp/whatsnew/notice/before2011/problematic_ns_notice.html {{{ ネームサーバの設定が不適切な状態のままにしておくと、ネームサーバが属するドメイン名の管理権限を第三者が取得することにより、本来のサイトと異なるサイトに誘導できるという危険性が指摘されています。 }}} visa.co.jpなどについての指摘を受けての警告でしたが、 危ないのは失効したドメイン名だけではありません。 === 2003年 === https://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html ここでは乗取の危険性は言及されていない。 前野がDNSに興味を持ち始めたのは2000年ころだったと記憶している。(djbdnsを利用しはじめたとき) その頃にJP下にlame delegatino(特に存在しないドメイン下を指すNS)が多数存在することに気づき、 メイリングリストで報告していた。 同じころにJPドメインの管理者の間でも改善しようという動きがあった。2012年 TLD Operators: Cleaning Up Lame Delegations By Mark Foster System Administrator January 14, 2004 http://www.circleid.com/posts/tld_operators_cleaning_up_lame_delegations/ === 2005年 === [[DNS/記録/visa.co.jp事件]] はマスコミにも取り上げられたが、失効したドメインというだけの扱いで終わってしまった。 === 2012 === さくらが提供しはじめたDNSなどで、乗取可能なことがあるのを見つけて、指摘した。 関連して、危ない機能がいくつも明らかになった。[[DNS/共用ゾーンサービス/さくら]] さくらは自分のところだけではない、と言っていたが、言い訳にしか聞こえなかった。(反省) さくらの説明をよく読めば、lame delegationが危険なことは読み取れたはずだった。-- ToshinoriMaeno <<DateTime(2020-05-28T09:31:25+0900)>> 親子ドメイン同居についてのJPRSの解説を筆記: http://www.geekpage.jp/blog/?id=2012/12/13/1 [書き起こし]親の心子知らず?委任にまつわる諸問題について考える ~ランチのおともにDNS~ 事例2:使用休止ドメイン名の不正使用 これらだけでしょうか。 [[DNS/RFC/1912/delegation]] 私の調査では、登録ドメインの1%程度がlame delegation設定を持っています。 これを多いと思うかどうかです。-- ToshinoriMaeno <<DateTime(2019-10-15T16:55:21+0900)>> |
[[/記録]] |
1. DNS/lame_delegation
誤委譲、委譲不全、委譲間違いとも言います。DNS/ゾーン/設定/誤委譲
Contents
警告:lame delegationは「乗取」に直結しています。 awsdns/route53では特に注意が必要です。
/解説 を見てください。
https://twitter.com/beyondDNS/status/1372477140294275076?s=20
DNS/乗取 やDNS/なりすましを理解するにはDNS/委譲(DNS/delegation)を理解しておくことが重要です。
きちんと「委譲設定」をするのは、ドメイン登録者の義務です。 きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。 lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。
the DNS institute Rport 2019-11 /institute
DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。
1.1. delegation
DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。
警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。
委譲登録したネームサーバーは正常に動作していますか。確認しましょう。
- 返事をしないサーバーを登録していると、乗取られる危険があります。
1.2. 共用DNSサービスは危ない
ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。
DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains
Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System
DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。
- 「ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。)
委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。
- 登録が間違っているのもよく見かけます。
Subdomain Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/
1.3. 警告の手段
lame delegationを公表しては、乗取を誘うようなものだ。
- 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。)
共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html
https://twitter.com/beyondDNS/status/1185453289246085123
dnsstreamの活動を見て、思いついたこと: lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。 しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。 そこで、com/jp下の3000ドメイン名を観察することにした。🧙♂️ 午後4:11 · 2019年10月19日
2. 危険のもと
2.1. 権利確認が不十分
2.2. キャッシュサーバを登録するな
takeo-mylib.jp の場合 (徳丸浩さんの調査)
- 権威サーバーを登録すべきなのに、キャッシュサーバーが指定してある。
- bindが再帰クエリする場合はキャッシュサーバーからのレスポンスは捨てて、
- もう一つの権威サーバーに問い合わせし直している
…毒入れの危険は増さないが、邪魔になるだけということか(毒にも薬にもならず単に邪魔)
毒盛の危険性は増えている。-- ToshinoriMaeno 2012-09-02 03:55:29
BIND 9.7.0-P1、unbound Version 1.4.1 です。Ubuntu 10.04.01のapt-getで導入していますので、最新ではないと思います
あとは2012年のランチセミナー資料くらい。「親子同居」による乗取り。
3. 確認手段
3.1. 委譲設定の検査
DNS健全性チェッカー http://www.e-ontap.com/dns/health/
- jp.sharp を試してみよ。
DNS Viz https://dnsviz.net/ DNSSEC
Squish http://dns.squish.net/ DNS traversal checker
JPRS提供: https://dnscheck.jp/
https://ns1.com/blog/using-dig-trace
Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx
これらを使いこなすにもDNSの基礎知識は欠かせない。