MoinQ:

1. DNS/lame_delegation

/2008 DNS/SittingDucksAttack

DNS/can-i-take-over-dns/indianajson

lame delegation (登録不備)

/アンケート /前提概念 /検査ツール

/おまかせDNS

1.1. 入門

委任・委譲 とは DNS/delegation DNS の中心をなす概念です。

/JPRS用語辞典 https://jprs.jp/glossary/index.php?ID=0176

1.2. ドメイン例

/一例 /分類

lame_delegation は Abuse のひとつでしょう。

1.3. 用語

誤委譲、委譲不全、委譲間違いとも言います。 欠陥委譲はどうでしょう。/分類

/dnsop terminology DNS/delegation DNS/NS_record

[DNSOP] Meaning of lame delegation https://mailarchive.ietf.org/arch/browse/dnsop/?gbt=1&index=QGjGNDti11J5Eg8IsA184WEYv68

The prevalence, persistence, and perils of lame delegations

By Gautam Akiwate on 16 Mar 2021 https://blog.apnic.net/2021/03/16/the-prevalence-persistence-perils-of-lame-nameservers/

/検査ツール DNS健全性チェッカー https://www.e-ontap.com/dns/health/

DNS/登録不備」ではいかがでしょう。-- ToshinoriMaeno 2022-03-12 22:27:08

/JPRS /cloudflare

きちんと「委譲設定」をするのは、ドメイン登録者の義務です。
きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。
lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。


1.4. 発生源

発生の状況は/発生で説明する。

1.5. 状態の分類

lame delegation 状態を以下のみっつに分けて考える。--> /分析 /分類

1) 上位登録が正しくない。サーバー不在(名前の間違いなど)  IPアドレス(glue)の間違いも含める。
2) 返答不在(サーバーダウン、ゾーンなし、サブドメインNS登録など)
3) 返答の不整合(ゾーン不全、複数サーバー間)

一部のサーバーにでも当てはまる場合はlameである。いずれも、乗取を心配する必要がある。

1.5.1. サーバーがない

ドメインがないことも。 JPNIC 流には 「委任元」における設定ミス

登録の不備

DNS/danglingDNSrecords https://unit42.paloaltonetworks.jp/dangling-domains/

DNS/記録/visa.co.jp事件 lame delegation の危うさが/報道されるようになった。

1.5.2. サーバーから返事がない

NSの移転作業時に、キャッシュ内にlame delegationが発生することもある。

1.5.3. サーバーからの返事が正しくない

https://twitter.com/jschauma/status/1672067531710889985?s=20

https://twitter.com/jschauma/status/1672075363730481152?s=20

1.6. 検査

https://thenewstack.io/risks-dns-hijacking-serious-take-countermeasures/

Preventing lame delegation hijacking (NS1) https://help.ns1.com/hc/en-us/articles/360063594293-Preventing-lame-delegation-hijacking


zoneなしの /cname

警告:lame delegationは「乗取」に直結しています。
  awsdns/route53では特に注意が必要です。

ドメイン名の登録権利者を確認すればすむのに、やらない業者が多い。-- ToshinoriMaeno 2021-11-06 02:19:34

1.7. 具体例

1.7.1. 2022

/強要

1.7.2. 2012年

さくらDNSでの重大な欠陥 当時の/JPRS注意喚起

https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

DNSサービス、運用によってはドメインハイジャックの恐れ 2012/06/22 https://atmarkit.itmedia.co.jp/news/201206/22/subdomain.html

/2019

1.8. 共用DNSサービスは危ない

ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。

/共用サービス /なぜawsdnsにlameが多いか

DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/

DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。

委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。

/Subdomain_Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/

1.9. 警告の手段

lame delegationを公表しては、乗取を誘うようなものだ。

共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html

https://twitter.com/beyondDNS/status/1185453289246085123

dnsstreamの活動を見て、思いついたこと:
  lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。
  しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。
  そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日


MoinQ: DNS/lame_delegation (last edited 2024-11-28 22:04:05 by ToshinoriMaeno)