1. 共用DNSサービス

業者 DNS/共用ゾーンサービス/

Can I Take Over DNS? /indianajson https://github.com/indianajson/can-i-take-over-dns

/namedserver

2. ドメイン名の権利確認

なし: /awsdns /xserver /conoha /GoDaddy

不十分: /さくら /cloudflare /he.net

あり:

3. 黒塗り

ここでも触れられている。間違い設定。

共用DNS権威サーバの脆弱性 鈴木 常彦

http://www.e-ontap.com/dns/csec87/CSEC87-tss.pdf

親ゾーンの乗取よりも兄弟ゾーンの乗取に注意が必要だ。

3.2親ゾーンの乗っ取り

www.example.jpというドメイン名を公開したい場合、
www.example.jpのレコードを持つexample.jpゾーンを作成しjpから委譲を受けるのが正しい。

ところが如何なる理解によるものか、www.example.jpゾーンのみを作成してexample.jpへの委譲を受けている例が多く見つかる。これでもwww.example.jpゾーンは機能してそのゾーン頂点のwww.example.jpのAレコードを検索することができてしまう。

この状態でexample.jpゾーンを他人(攻撃者)に作られると
  www.example.jp以外のexample.jp以下のドメイン名を乗っ取られてしまう。

また、この状況で第三者の作成を制限しなくてはいけないのは親ゾーンだけではない。
兄弟ゾーンの作成の制限も必要なことに注意が必要である。

子ドメインの乗っ取り同様の対策が、親兄弟ゾーンすべてについて必要なのである。

wwwゾーンだけを作るような誤りを避けるため、
事業者のゾーン作成の手引きにおいて作成すべきゾーンの名前について誤解を与えない工夫も求められる。

4. history

https://acmccs.github.io/papers/p537-liuA.pdf

Don’t Let One Rotten Apple Spoil the Whole Barrel:Towards Automated Detection of Shadowed Domains

HTTP COOKIE WEAKNESSES, ATTACK METHODS AND DEFENSE MECHANISMS: A SYSTEMATIC LIT-ERATURE REVIEW https://jyx.jyu.fi/bitstream/handle/123456789/59084/1/URN%3ANBN%3Afi%3Ajyu-201808023720.pdf


CategoryDns CategoryWatch CategoryTemplate

Moin2Qmail: DNS/lame_delegation/共用サービス (last edited 2022-03-17 10:26:45 by ToshinoriMaeno)