Differences between revisions 157 and 158
Revision 157 as of 2021-09-07 01:35:44
Size: 5564
Comment:
Revision 158 as of 2021-09-07 01:46:56
Size: 4653
Comment:
Deletions are marked like this. Additions are marked like this.
Line 97: Line 97:

= 危険のもと =
Line 100: Line 98:

== キャッシュサーバを登録するな ==
takeo-mylib.jp の場合 (徳丸浩さんの調査)
  権威サーバーを登録すべきなのに、キャッシュサーバーが指定してある。
       bindが再帰クエリする場合はキャッシュサーバーからのレスポンスは捨てて、
      もう一つの権威サーバーに問い合わせし直している
…毒入れの危険は増さないが、邪魔になるだけということか(毒にも薬にもならず単に邪魔)

   毒盛の危険性は増えている。-- ToshinoriMaeno <<DateTime(2012-09-02T12:55:29+0900)>>

BIND 9.7.0-P1、unbound Version 1.4.1 です。Ubuntu 10.04.01のapt-getで導入していますので、最新ではないと思います

あとは2012年のランチセミナー資料くらい。「親子同居」による乗取り。

[[/分類]]

1. DNS/lame_delegation

誤委譲、委譲不全、委譲間違いとも言います。DNS/ゾーン/設定/誤委譲

警告:lame delegationは「乗取」に直結しています。
  awsdns/route53では特に注意が必要です。

/解説 を見てください。

https://twitter.com/beyondDNS/status/1372477140294275076?s=20

DNS/乗取DNS/なりすましを理解するにはDNS/委譲(DNS/delegation)を理解しておくことが重要です。

きちんと「委譲設定」をするのは、ドメイン登録者の義務です。
きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。

lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。

the DNS institute Rport 2019-11 /institute

/ゾーンがない DNS/委譲/NSレコードのないドメイン

DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。

/文献

1.1. delegation

DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。

警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。

委譲登録したネームサーバーは正常に動作していますか。確認しましょう。

  • 返事をしないサーバーを登録していると、乗取られる危険があります。

/サブドメインへ委譲登録

/記録

1.2. 共用DNSサービスは危ない

ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。

/共用サービス /なぜawsdnsにlameが多いか

DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/

DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。

  • 「ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。)

委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。

  • 登録が間違っているのもよく見かけます。

Subdomain Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/

1.3. 警告の手段

lame delegationを公表しては、乗取を誘うようなものだ。

  • 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。)

共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html

https://twitter.com/beyondDNS/status/1185453289246085123

dnsstreamの活動を見て、思いついたこと:
  lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。
  しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。
  そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日

1.4. 権利確認が不十分

1.5. 委譲設定の検査

DNS健全性チェッカー http://www.e-ontap.com/dns/health/

  • jp.sharp を試してみよ。

DNS Viz https://dnsviz.net/ DNSSEC

Squish http://dns.squish.net/ DNS traversal checker

JPRS提供: https://dnscheck.jp/

https://ns1.com/blog/using-dig-trace

Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx

これらを使いこなすにもDNSの基礎知識は欠かせない。

MoinQ: DNS/lame_delegation (last edited 2024-03-12 10:49:14 by ToshinoriMaeno)