Differences between revisions 166 and 167
Revision 166 as of 2021-09-10 11:45:51
Size: 5572
Comment:
Revision 167 as of 2021-09-10 14:28:25
Size: 5428
Comment:
Deletions are marked like this. Additions are marked like this.
Line 1: Line 1:
## page was copied from DNS/lame-delegation
## page was renamed from DNS/用語/lame-delegation
## page was renamed from DNS/lame-delegation

1. DNS/lame_delegation

誤委譲、委譲不全、委譲間違いとも言います。DNS/ゾーン/設定/誤委譲

警告:lame delegationは「乗取」に直結しています。
  awsdns/route53では特に注意が必要です。

「なに」 か。

https://twitter.com/beyondDNS/status/1372477140294275076?s=20

lame delegation を以下のみっつに分けて考える。--> /分析

1) サーバー不在(名前の間違いなど)
2) 返答不在(サーバーダウン、ゾーンなしなど)
3) 返答の不整合

一部のサーバーにでも当てはまる場合はlameである。いずれも、乗取を心配する必要がある。

DNS/乗取DNS/なりすましを理解するにはDNS/委譲(DNS/delegation)を理解しておくことが重要です。

きちんと「委譲設定」をするのは、ドメイン登録者の義務です。
きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。

lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。

the DNS institute Rport 2019-11 /institute

http://dnsinstitute.com/research/lame-servers-201911/

The following examples were seen in November 2019. Some of the problems have been resolved, but a few still exist.

サーバーがない

  • NSレコードがない場合もある。(clientHold状態など) DNS/委譲/NSレコードのないドメイン

  • No address for delegated NS target
  • NS target recursively points to itself or parent
  • Non-existent server (間違い名など)

サーバーから返事がない

  • Nameserver refuses to answer /ゾーンがない

  • Nameserver returns a non-authoritative answer
  • Nameserver returns a failure SERVFAIL or FORMERR

1.1. delegation

DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。/危険性

警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。

委譲登録したネームサーバーは正常に動作していますか。確認しましょう。

  • 返事をしないサーバーを登録していると、乗取られる危険があります。

DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。

1.2. 共用DNSサービスは危ない

ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。

/共用サービス /なぜawsdnsにlameが多いか

DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/

DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。

  • 「ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。)

委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。

  • 登録が間違っているのもよく見かけます。

Subdomain Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/

1.3. 警告の手段

lame delegationを公表しては、乗取を誘うようなものだ。

  • 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。)

共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html

https://twitter.com/beyondDNS/status/1185453289246085123

dnsstreamの活動を見て、思いついたこと:
  lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。
  しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。
  そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日

1.4. 権利確認が不十分

1.5. 委譲設定の検査

DNS健全性チェッカー http://www.e-ontap.com/dns/health/

  • jp.sharp を試してみよ。

DNS Viz https://dnsviz.net/ DNSSEC

Squish http://dns.squish.net/ DNS traversal checker

JPRS提供: https://dnscheck.jp/

https://ns1.com/blog/using-dig-trace

Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx

これらを使いこなすにもDNSの基礎知識は欠かせない。


MoinQ: DNS/lame_delegation (last edited 2024-03-12 10:49:14 by ToshinoriMaeno)