= DNS/awsdns =

ドメイン名の権利確認を行わないでゾーンを作成するDNSゾーンサービスが'''いかに危険であるか'''を見せてくれている。

  [[/リゾルバーでの対処]] [[DNS/ManagedDNS/awsdns]]

<<Navigation(children,1)>>

[[/DelegationSet]]  [[/www登録]]

<<TableOfContents()>>

== Documentation ==
Documentation for Amazon Route 53. Amazon Route 53 is a web service that provides DNS service, domain name registration, and automatic endpoint naming. 
https://github.com/awsdocs/amazon-route53-docs/tree/e75b4a077eeb0df3009ad784db2dafe72cf59c65

awsdocs / amazon-route53-docs 
https://github.com/awsdocs/amazon-route53-docs/tree/e75b4a077eeb0df3009ad784db2dafe72cf59c65/doc_source

20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone 
https://www.slideshare.net/AmazonWebServicesJapan/20191105-aws-black-belt-online-seminar-amazon-route-53-hosted-zone-193836805

https://www.youtube.com/watch?v=jFQswFqA9mA

[AWS Black Belt Online Seminar] Amazon Route 53 Resolver 資料及び QA 公開
https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-route-53-resolver-2019/

Deleting a public hosted zone [[/Deleting]]
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html#delete-public-hosted-zone-stop-routing

== 危険なサービス ==
共用DNSゾーンサービスとしてはかなり危険なサービスだと言える。
  DNSの仕組みを十分に理解しているひとが使うならよいが。
提供者も利用者も危険性を理解しているようには見えない。-- ToshinoriMaeno <<DateTime(2020-07-04T16:57:51+0900)>>

[[DNS/ManagedDNS/awsdns]]   [[DNS/共用ゾーンサービス/awsdns]]

http://blog.joemoreno.com/2017/04/dns-highjacking.html

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

== lame delegation ==
 [[DNS/lame_delegation]]  [[DNS/hijacking]] 
 [[DNS/hijacking/thehackerblog/Floating Domains]]

== 運用 ==
awsdnsでの[[/ゾーン運用]]  [[/乗取実験]]  [[/乗取事例]]

細心の注意が必要なawsdnsでの [[/ゾーン削除]]  [[DNS/hijacking/awsdns]]

困ったことに危険なドメインを発見しても、'''直接警告はできない'''。
{{{
業者は危険性を知っているが、対策はしていない。(これも困ったことだ)
}}}

2016年には[[/警告]]があったので、awsdns運営側は知っていたはずだが、いまも対応はない。

== 警告 Deleting a Public Hosted Zone ==
  https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html
{{{
In addition, if you delete a hosted zone, someone could hijack the domain and route traffic to their own resources using your domain name. 
}}}
{{{
この警告だけでは不十分です。
}}}

twitterで'awsdns beyondDNS'を検索してみれば、たくさん見えるはず。-- ToshinoriMaeno <<DateTime(2019-09-11T19:34:25+0900)>>

Amazon Route 53 で登録できるドメイン
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/registrar-tld-list.html

What happened when I create a public “www.google.com” record set in AWS route53?
https://stackoverflow.com/questions/46429402/what-happened-when-i-create-a-public-www-google-com-record-set-in-aws-route53

== 子ドメインだけの上位登録は危険 ==
wwwつきのゾーンを作成し、そのNS組をwwwなしドメイン名への委譲に設定しているものを見かける。

これでも、wwwつきのAレコード検索は返事が返るので、欠陥に気づかない。

さあ、なにが危ないか。-- ToshinoriMaeno <<DateTime(2019-12-17T11:00:55+0900)>>


== nxdomainにご用心 ==

aws.amazon.com は aws.amazon.com.cdn.amazon.com の別名だが、

cnameの方が名前解決できないことがあるという話。

== lame delegationにご用心 ==

Making Amazon Route 53 the DNS Service for an Existing Domain
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/MigratingDNS.html

https://www.slideshare.net/twovs/route53parentchilddomainnamelivingtogether-132029913
  同じ名前で多数登録できるのは怖い。-- ToshinoriMaeno <<DateTime(2019-09-08T23:35:02+0900)>>
21枚目
{{{
同一ドメインのHostedZoneを作成できるけど、数に制限があります。
}}}

同一のドメイン名や親子ドメイン名の2つのHostedZoneでは、共通のNSを持てません。

https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html

　　DelagationSetNotAvailable


 HostedZoneAlreadyExists

    The hosted zone you're trying to create already exists. Amazon Route 53 returns this error when a hosted zone has already been created with the specified CallerReference. 

----
Considerations for Changing Name Servers and Glue Records

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-name-servers-glue-records.html#domain-name-servers-glue-records-considerations


Is it possible to use route 53 but instead of being provided with a different set of nameservers for each hosted zone to use private label nameservers?
https://forums.aws.amazon.com/thread.jspa?messageID=474708

routing trouble

https://twitter.com/thousandeyes/status/988820242603229185

This morning, a route leak caused traffic destined to Amazon’s DNS servers 
from external networks to be blackholed at a regional hosting provider. 

This affected the ability of external networks to resolve domain names served by Amazon’s Route-53 service. #DNS #Amazon #routeleak

1:41 - 2018年4月25日

 {{attachment:Dbj-qr_U8AAdlU5.jpg_large.jpeg}}