アクセス制限していたが、あまりに[[/ひどいこと]]が起きているので、公開した。

<<Navigation(children,1)>>

= ManagedDNS/awsdns =
<<TableOfContents()>>

[[/name_server]]  [[/ドメインレジストラ]]

[[/domain-protect]]  [[/zone]]

Route 53 - ConflictingDomainExists 
https://repost.aws/questions/QUd0v-k-9CQpqs_7s-WRWhZA/route-53-conflicting-domain-exists-subdomains-with-white-labeled-reusable-delegation-set

[[/name_server]]  [[/public_host_zone]]  [[/子ゾーンNS]]

[[/NXDOMAIN返答]]

[[/ChatGPT]]

ACM: amazon certificate manager を略したものとか。(まぎらわしい)

https://docs.aws.amazon.com/acm/index.html

Domain hijacking vulnerability in Route 53/Gandi

https://www.reddit.com/r/netsec/comments/n6tfu1/domain_hijacking_vulnerability_in_route_53gandi/?utm_source=share&utm_medium=web2x&context=3

All your DNS were belong to us: AWS and Google Cloud shut down spying vulnerability

https://www.theregister.com/2021/08/06/aws_google_dns/

[[/wiz.io]] の指摘 : 起こるべくして起きた。

Amazon Route 53 を既存ドメインの DNS サービスとして使用する
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/MigratingDNS.html

[[/サブドメイン]]

== 問題点 ==
任意の名前のゾーンを登録できる。権利確認をしない。-- ToshinoriMaeno <<DateTime(2021-04-06T16:55:45+0900)>>
  分かっているのは親子関係にあるゾーンは同居しないという制限だけだ。

[[/NS割当]]  https://gist.github.com/otsuka752/993b1851d5772f72c161effb6eb1a23e
   otsuka752/list_ns-of-R53

== 警告 ==
Deleting a public hosted zone
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html
{{{
In addition, if you delete a hosted zone, someone could hijack the domain and route traffic to their own resources using your domain name. 
}}}
ホストゾーンを削除すると、他のユーザーがお客様のドメイン名を使用してドメインをハイジャックし、自分のリソースにトラフィックをルーティングする可能性があります。 
== awsdns は乗取られ易い ==
<<Navigation(children,1)>>
{{{
(まとめ) lame delegationを作ってはいけない。自信がなければ、awsdnsは利用しないことです。
}}}
ゾーンを作っていないNSサーバーに委譲していると、乗取られる(可能性がある)。
  awsdnsの利用をやめたときに、ゾーンは削除するが、委譲は残ったままで放置されることが多いらしい。(なぜか)

簡単な対策があるのに、業者は実施していない。
  たとえば、ゾーン作成時にはTLDにおける委譲のないことを検査することなどです。
-- ToshinoriMaeno <<DateTime(2020-02-01T16:25:24+0900)>>

ドメイン名の権利確認を行うのが望ましいが、テスト的にゾーン作成するときに手間が増えるかも。

== wwwゾーンへの委譲はダメ ==
{{{
www.kaiyodai-sip.com.	172800	IN	NS	ns-1420.awsdns-49.org.
www.kaiyodai-sip.com.	172800	IN	NS	ns-1839.awsdns-37.co.uk.
www.kaiyodai-sip.com.	172800	IN	NS	ns-239.awsdns-29.com.
www.kaiyodai-sip.com.	172800	IN	NS	ns-765.awsdns-31.net.
}}}


== 乗取の判別 ==

[[/疑わしいドメイン名]]
=== 4NS でない場合 ===
5こ以上を登録している場合、それだけで脆弱だろうと推測できる。(例外はある)
  REFUSEDを返すものが含まれているか。
  返事をするものは同一の返事か。(複数が返事の場合)

-- ToshinoriMaeno <<DateTime(2020-01-11T20:58:39+0900)>>


== NXDOMAIN 返答 ==
[[DNS/RFC/8020]] NXDOMAIN返答にご用心。 [[watchA/awsdns/aist.go.jp]]  [[watchA/awsdns/nicovideo.jp]]
  https://forums.aws.amazon.com/thread.jspa?threadID=260905