1. DNS/サービス/awsdns
1.1. 登録可能なドメイン
jp.appや、jp.qmailpなどのゾーンがroute53に登録できました。 こちらも存在するか否かに関わらず、ドメインの体をなしていれば登録できるようです。
value-domain.com と同様という意味。(yatz82 さんから)
1.2. awsdns Route53での警告
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html
Deleting a public hosted zone
Important In addition, if you delete a hosted zone, someone could hijack the domain and route traffic to their own resources using your domain name.
追加されていた。
If you delegated responsibility for a subdomain to a hosted zone and you want to delete the child hosted zone, you must also update the parent hosted zone by deleting the NS record that has the same name as the child hosted zone. For example, if you want to delete the hosted zone acme.example.com, you must also delete the NS record acme.example.com in the example.com hosted zone. We recommend that you delete the NS record first, and wait for the duration of the TTL on the NS record before you delete the child hosted zone. This ensures that someone can't hijack the child hosted zone during the period that DNS resolvers still have the name servers for the child hosted zone cached.
1.3. lame delegation 乗取
https://twitter.com/beyondDNS/status/1202118449343762432?s=20
com TLD下のドメインでawsdnsに委譲しているものについてのサンプル調査: すぐにも乗取可能なドメインは2700件あまり。うち270件は現在利用されているか、乗取られているものです。
https://twitter.com/beyondDNS/status/1202066547432288256?s=20
JP下のドメインでawsdnsに委譲しているものについてのサンプル調査: すぐにも乗取可能なドメインは300件あまり。うち26件は現在利用されているものと推測します。( 乗取を疑うべきドメインは見つけていません。)
1.4. typo
awsdnsのtypoの例:
aesdns, asdns, aswdns, awdns, awsdas, awsdms, awsdn, awsds, awsnds, wasdns
1.5. サブドメイン乗取
登録可能。
- 親ドメインとサブドメイン(子孫)は別のサーバに割り当てられるという仮説を検証してもらった。
あるひとが27 階層のサブドメインを登録してみた。すべて異なるサーバであった。<<BR>>
- さらに別のひとが24階層程度のサブドメインを登録したが、すべて異なるサーバであった。 2000台ほどのサーバからランダムに(4台ずつ)割り当てられているとすると、 すべて異なる可能性は計算上は5%未満である。
別のドメインを登録してみたら、上記のサーバ群と一致した。
amazon route 53ではサブドメインがハイジャックされる脆弱性は見つかっていない。
-- ToshinoriMaeno 2012-06-21 07:48:44
ARAKI Yasuhiro @ar1 (2012-07-04)
@beyonddns Route53は多数のDelegateion SetのIPアドレスを持っていて、 そのDelegation Setはドメインと、そのドメインのサブドメインが同じIPアドレスをアサインしません。 設計された挙動であることは言えますが、文書としての明記については今後の検討課題とさせていただきます。