1. DNS/lame_delegation

誤委譲、委譲不全、委譲間違いなどとも言います。

警告:lame delegationは委譲設定の不備です。
「乗取」に直結しています。特にawsdns/route53では注意が必要です。

https://twitter.com/beyondDNS/status/1372477140294275076?s=20

DNS/乗取DNS/なりすましを理解するには DNS/delegation を理解しておくことが重要です。 DNS/委譲

/ゾーンがない DNS/委譲/NSレコードのないドメイン

DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。


きちんと「委譲設定」をするのは、ドメイン登録者の義務です。
きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。

lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。

/apnic

1.1. 委譲設定の検査

DNS健全性チェッカー http://www.e-ontap.com/dns/health/

https://dnsviz.net/ http://dns.squish.net/ https://dnscheck.jp/

1.2. 文献

https://twitter.com/beyondDNS/status/1375451347261120518?s=20

https://blog.apnic.net/2021/03/16/the-prevalence-persistence-perils-of-lame-nameservers/ The prevalence, persistence, and perils of lame delegations By Gautam Akiwate on 16 Mar 2021

https://www.openintel.nl/papers/

When parents and children disagree: Diving into DNS delegation inconsistency https://www.caida.org/publications/papers/2020/when_parents_children_disagree/when_parents_children_disagree.pdf

DNS/RFC/8906/3 には SOA 返答について言及がある。

DNS Lame Delegations Report 2019-11 http://dnsinstitute.com/research/lame-servers-201911/

https://delaat.net/rp/2020-2021/p59/presentation.pdf The current state of DNS Lame delegations

https://ian.ucsd.edu/papers/unresolved_issues-imc20.pdf Unresolved Issues: Prevalence, Persistence, and Perilsof Lame Delegations

DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。

委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。

放置空き家がもたらす被害 https://www.akiya-akichi.or.jp/what/damage/

1.3. delegation

DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。

警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。

委譲登録したネームサーバーは正常に動作していますか。確認しましょう。

1.4. 共用DNSサービスは危ない

ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。

/共用サービス /なぜawsdnsにlameが多いか

DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/

1.5. これまでの説明

https://www.nic.ad.jp/ja/newsletter/No36/0800.html

/JPNICの説明: ゾーンの委任が適切に行われていない状態を表します。

JPRS: 用語; https://jprs.jp/glossary/index.php?ID=0176

(資料) DNSの健全な運用のために ~Lame Delegation編~ https://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

DNS/記録/visa.co.jp事件 http://www.e-ontap.com/summary/

その他 /資料 をどうぞ。

1.6. 経緯

DNS/誤委譲 (lame delegation)はネットワークに対する迷惑行為に加えて、乗取られる危険性を持っています。

e-ontap.com ドメインが失効して、tssさんが保護した。(経緯: https://www.e-ontap.com/detail.html )

設定不良のドメインがJPドメイン下に多数存在していた。

DNSの健全な運用のために ~Lame Delegation編~ 2003/05/20(Tue)

JPRSからの警告 (2005年) https://jprs.jp/whatsnew/notice/before2011/problematic_ns_notice.html

ネームサーバの設定が不適切な状態のままにしておくと、ネームサーバが属するドメイン名の管理権限を第三者が取得することにより、本来のサイトと異なるサイトに誘導できるという危険性が指摘されています。

visa.co.jpなどについての指摘を受けての警告でしたが、 危ないのは失効したドメイン名だけではありません。

1.6.1. 2003年

https://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

前野がDNSに興味を持ち始めたのは2000年ころだったと記憶している。(djbdnsを利用しはじめたとき)

同じころにJPドメインの管理者の間でも改善しようという動きがあった。2012年

TLD Operators: Cleaning Up Lame Delegations

http://www.circleid.com/posts/tld_operators_cleaning_up_lame_delegations/

1.6.2. 2005年

DNS/記録/visa.co.jp事件 はマスコミにも取り上げられたが、失効したドメインというだけの扱いで終わってしまった。

1.6.3. 2012

さくらが提供しはじめたDNSなどで、乗取可能なことがあるのを見つけて、指摘した。

さくらの説明をよく読めば、lame delegationが危険なことは読み取れたはずだった。-- ToshinoriMaeno 2020-05-28 00:31:25

親子ドメイン同居についてのJPRSの解説を筆記: http://www.geekpage.jp/blog/?id=2012/12/13/1 [書き起こし]親の心子知らず?委任にまつわる諸問題について考える ~ランチのおともにDNS~

事例2:使用休止ドメイン名の不正使用

これらだけでしょうか。

DNS/RFC/1912/delegation 私の調査では、登録ドメインの1%程度がlame delegation設定を持っています。

Subdomain Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/

1.7. 警告の手段

lame delegationを公表しては、乗取を誘うようなものだ。

共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html

https://twitter.com/beyondDNS/status/1185453289246085123

dnsstreamの活動を見て、思いついたこと:
  lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。
  しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。
  そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日

2. 危険のもと

2.1. 権利確認が不十分

2.2. キャッシュサーバを登録するな

takeo-mylib.jp の場合 (徳丸浩さんの調査)

…毒入れの危険は増さないが、邪魔になるだけということか(毒にも薬にもならず単に邪魔)

BIND 9.7.0-P1、unbound Version 1.4.1 です。Ubuntu 10.04.01のapt-getで導入していますので、最新ではないと思います

2.3. JPRS /JPNIC

2003 JPRS http://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

2007 JPNIC http://www.nic.ad.jp/ja/newsletter/No36/0800.html

これらの説明は「乗取」の危険性には触れていない。(しかも、DNSオペレータ向け)

http://www.cosmo.sci.hokudai.ac.jp/~epnetfan/zagaku/2005//iw_report/C1-dns/C1-memo.html#label-14

レジストリとしての Lame チェックの重要性 (小山 祐司 [JPNIC])

    Lame Delegation
        DNS サーバが正常に動作していない状態を表す
    Lame Delegation 問題点
        ユーザ側
            名前解決ができない
            名前解決に時間がかかる
            誤った名前解決をされる
        ネットワーク全体
            無駄なトラフィックが生じる

あとは2012年のランチセミナー資料くらい。「親子同居」による乗取り。

/分類

2.4. 確認手段

https://ns1.com/blog/using-dig-trace

Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx

確認の道具: DNSSECは余計だが、

これらを使いこなすにもDNSの基礎知識は欠かせない。

2.5. 「ゾーンがlame」ってどういう意味?

2015年10月28日 05時00分 公開 [米谷 嘉朗(JPRS),@IT] https://www.atmarkit.co.jp/ait/articles/1510/28/news015.html

共用DNSの危うさが指摘された(2012)あと出されたものですが、これでも不十分でした。

Moin2Qmail: DNS/lame_delegation (last edited 2021-06-19 00:17:27 by ToshinoriMaeno)