1. DNS/lame_delegation

誤委譲、委譲不全、委譲間違いとも言います。

DNS/delegation は委任、委譲と呼ばれているが、しっくりこない。 「登録、登記」に近い。

DNS/登録不備」ではいかがでしょう。-- ToshinoriMaeno 2022-03-12 22:27:08


zoneなしの /cname

「NS誤登録」あたりがよさそうだが、通じるか。

警告:lame delegationは「乗取」に直結しています。
  awsdns/route53では特に注意が必要です。

ドメイン名の登録権利者を確認すればすむのに、やらない業者が多い。-- ToshinoriMaeno 2021-11-06 02:19:34

1.1. 具体例

1.1.1. 2022

1.1.2. 2012年

さくらDNSでの重大な欠陥 当時の/JPRS注意喚起

1.2. Can I Take Over DNS?

https://github.com/indianajson/can-i-take-over-dns

「なに」 か。空家に他人に住みつかれたようなものです。[乗取よりは奪取・なりすましに近い]

/JPNIC /paloalto

lame delegation を以下のみっつに分けて考える。--> /分析

1) サーバー不在(名前の間違いなど)  IPアドレス(glue)の間違いも含める。
2) 返答不在(サーバーダウン、ゾーンなし、サブドメインNS登録など)
3) 返答の不整合(複数業者間、ゾーン不全)

一部のサーバーにでも当てはまる場合はlameである。いずれも、乗取を心配する必要がある。

DNS/乗取DNS/なりすましを理解するにはDNS/委譲(DNS/delegation)を理解しておくことが重要です。

/検査 /ゾーン転送不良

きちんと「委譲設定」をするのは、ドメイン登録者の義務です。
きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。

lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。

1.3. Report 2019

the DNS institute Rport 2019-11 /institute http://dnsinstitute.com/research/lame-servers-201911/

The following examples were seen in November 2019. Some of the problems have been resolved, but a few still exist.

1.3.1. サーバーがない

1.3.2. サーバーから返事がない

NSの移転作業時に、キャッシュ内にlame delegationが発生することもある。

1.4. delegation

DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。/危険性

警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。

委譲登録したネームサーバーは正常に動作していますか。確認しましょう。

DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。

1.5. 共用DNSサービスは危ない

ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。

/共用サービス /なぜawsdnsにlameが多いか

DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/

DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。

委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。

/Subdomain_Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/

1.6. 警告の手段

lame delegationを公表しては、乗取を誘うようなものだ。

共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html

https://twitter.com/beyondDNS/status/1185453289246085123

dnsstreamの活動を見て、思いついたこと:
  lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。
  しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。
  そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日

1.7. 権利確認が不十分

危うい業者のリスト: /indianajson

Can I Take Over DNS?
A list of DNS providers and whether their zones are vulnerable to DNS takeover!

/共用サービス /業者

/設定者が悪いのか