1. DNS/lame_delegation
誤委譲、委譲不全、委譲間違いとも言います。
ドメインの乗取につながっています。
「DNS/登録不備」ではいかがでしょう。-- ToshinoriMaeno 2022-03-12 22:27:08
- まとめ直しているので、こちらと重複している項目もあります。
Contents
1.1. 具体例
1.1.1. 2022
value-domainで見かけた欠陥 /value-domain
1.1.2. 2012年
さくらDNSでの重大な欠陥 /JPRS注意喚起
DNS/delegation (委任、委譲と呼ばれているが、しっくりこない。)
- 「登録、登記」に近い。
zoneなしの /cname
「NS誤登録」あたりがよさそうだが、通じるか。
警告:lame delegationは「乗取」に直結しています。 awsdns/route53では特に注意が必要です。
ドメイン名の登録権利者を確認すればすむのに、やらない業者が多い。-- ToshinoriMaeno 2021-11-06 02:19:34
1.2. Can I Take Over DNS?
https://github.com/indianajson/can-i-take-over-dns
「なに」 か。空家に他人に住みつかれたようなものです。[乗取よりは奪取・なりすましに近い]
lame delegation を以下のみっつに分けて考える。--> /分析
1) サーバー不在(名前の間違いなど) IPアドレス(glue)の間違いも含める。 2) 返答不在(サーバーダウン、ゾーンなし、サブドメインNS登録など) 3) 返答の不整合(複数業者間、ゾーン不全) 一部のサーバーにでも当てはまる場合はlameである。いずれも、乗取を心配する必要がある。
DNS/乗取 やDNS/なりすましを理解するにはDNS/委譲(DNS/delegation)を理解しておくことが重要です。
きちんと「委譲設定」をするのは、ドメイン登録者の義務です。 きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。 lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。
1.3. Report 2019
the DNS institute Rport 2019-11 /institute http://dnsinstitute.com/research/lame-servers-201911/
The following examples were seen in November 2019. Some of the problems have been resolved, but a few still exist.
1.3.1. サーバーがない
NSレコードがない場合もある。(clientHold状態など) DNS/委譲/NSレコードのないドメイン
- No address for delegated NS target
- NS target recursively points to itself or parent
- Non-existent server (間違い名など)
1.3.2. サーバーから返事がない
Nameserver refuses to answer /ゾーンがない 無言か、REFUSED返答
- Nameserver returns a non-authoritative answer
- Nameserver returns a failure SERVFAIL or FORMERR
NSの移転作業時に、キャッシュ内にlame delegationが発生することもある。
- tssさんが明確に指摘した。
1.4. delegation
DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。/危険性
警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。
委譲登録したネームサーバーは正常に動作していますか。確認しましょう。
- 返事をしないサーバーを登録していると、乗取られる危険があります。
DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。
1.5. 共用DNSサービスは危ない
ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。
DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains
Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System
DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。
- 「ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。)
委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。
- 登録が間違っているのもよく見かけます。
/Subdomain_Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/
1.6. 警告の手段
lame delegationを公表しては、乗取を誘うようなものだ。
- 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。)
共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html
https://twitter.com/beyondDNS/status/1185453289246085123
dnsstreamの活動を見て、思いついたこと: lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。 しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。 そこで、com/jp下の3000ドメイン名を観察することにした。🧙♂️ 午後4:11 · 2019年10月19日
1.7. 権利確認が不十分
危うい業者のリスト: /indianajson
Can I Take Over DNS? A list of DNS providers and whether their zones are vulnerable to DNS takeover!