5253
Comment:
|
5273
|
Deletions are marked like this. | Additions are marked like this. |
Line 13: | Line 13: |
[[/解説]] を見てください。 [[/なぜ]] |
「なに」 か。 [[/解説]] を見てください。 [[/なぜ]] |
1. DNS/lame_delegation
誤委譲、委譲不全、委譲間違いとも言います。DNS/ゾーン/設定/誤委譲
警告:lame delegationは「乗取」に直結しています。 awsdns/route53では特に注意が必要です。
「なに」 か。
https://twitter.com/beyondDNS/status/1372477140294275076?s=20
DNS/乗取 やDNS/なりすましを理解するにはDNS/委譲(DNS/delegation)を理解しておくことが重要です。
きちんと「委譲設定」をするのは、ドメイン登録者の義務です。 きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。 lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。
the DNS institute Rport 2019-11 /institute
http://dnsinstitute.com/research/lame-servers-201911/
The following examples were seen in November 2019. Some of the problems have been resolved, but a few still exist.
サーバーがない
- NSレコードがない場合もある。(clientHold状態など)
- No address for delegated NS target
- NS target recursively points to itself or parent
- Non-existent server (間違い名など)
サーバーから返事がない
- Nameserver refuses to answer
- Nameserver returns a non-authoritative answer
- Nameserver returns a failure SERVFAIL or FORMERR
DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。
1.1. delegation
DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。
警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。
委譲登録したネームサーバーは正常に動作していますか。確認しましょう。
- 返事をしないサーバーを登録していると、乗取られる危険があります。
1.2. 共用DNSサービスは危ない
ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。
DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains
Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System
DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。
- 「ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。)
委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。
- 登録が間違っているのもよく見かけます。
Subdomain Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/
1.3. 警告の手段
lame delegationを公表しては、乗取を誘うようなものだ。
- 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。)
共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html
https://twitter.com/beyondDNS/status/1185453289246085123
dnsstreamの活動を見て、思いついたこと: lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。 しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。 そこで、com/jp下の3000ドメイン名を観察することにした。🧙♂️ 午後4:11 · 2019年10月19日
1.4. 権利確認が不十分
1.5. 委譲設定の検査
DNS健全性チェッカー http://www.e-ontap.com/dns/health/
- jp.sharp を試してみよ。
DNS Viz https://dnsviz.net/ DNSSEC
Squish http://dns.squish.net/ DNS traversal checker
JPRS提供: https://dnscheck.jp/
https://ns1.com/blog/using-dig-trace
Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx
これらを使いこなすにもDNSの基礎知識は欠かせない。