## page was renamed from DNS/登録不備/なに/0 ## page was renamed from DNS/lame_delegation/なに/0 ## page was renamed from DNS/lame_delegation/0 ## page was renamed from DNS/lame-delegation ## page was renamed from DNS/用語/lame-delegation ## page was renamed from DNS/lame-delegation = DNS/登録不備/なに = <> 登録不備 ([[DNS/lame_delegation]]) はネットワークに対する迷惑行為であるとともに、乗取の危険性を持っています。 <> 2003 JPRS http://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html 2007 JPNIC http://www.nic.ad.jp/ja/newsletter/No36/0800.html Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx にもかかわらず、IPAの返答はIPAの言う「脆弱性」ではないというもの。 https://www.e-ontap.com/blog/20131015.html == 分析 == [[DNS/lame_delegation/分析]] を参照 == 存在していないドメインを指すNS == 登録サーバ名が「存在していないドメイン(誰でも取得可能)内」を指していると、  ドメイン全体が乗っ取られる危険性があります。 よく知られているのはvisa.co.jpの話です。 JPレジストリは存在しない「JPドメイン」内のホストを指しているNSレコードはときどき強制削除している。  (ひとつき程度の遅延はありそう) これは[[/visa.co.jp問題]]が指摘されたあとに実施されたものです。  ただし、JPではないドメインの名前を指す場合には効果がない。 .com, .net などの存在しないドメインは危ない。(容易に取得可能) == 返答しないサーバ == 登録サーバは存在するが、ゾーン設定されていないなどの場合もある。 共用DNSサービスを指す場合で、返事をしない(ゾーン不在)ときにはが別人にドメイン(ゾーン)を作られる (乗取られる)恐れがあります。登録ドメインと権利確認を行っていないからです。(さくら、awsdns など)   -- ToshinoriMaeno <> 「共用DNSサービスで設定しそこない」などの理由が考えられるが、乗っ取られる危険がある。 [[共用DNSサービスの危険性]] 使っていないドメインだからと言って危険性を無視してはいけない。 フィッシングなどに使われたときに責任がないとは言えない。 -- ToshinoriMaeno <> == キャッシュサーバを登録するな == takeo-mylib.jp の場合 (徳丸浩さんの調査) 権威サーバーを登録すべきなのに、キャッシュサーバーが指定してある。 bindが再帰クエリする場合はキャッシュサーバーからのレスポンスは捨てて、 もう一つの権威サーバーに問い合わせし直している …毒入れの危険は増さないが、邪魔になるだけということか(毒にも薬にもならず単に邪魔) 毒盛の危険性は増えている。-- ToshinoriMaeno <> BIND 9.7.0-P1、unbound Version 1.4.1 です。Ubuntu 10.04.01のapt-getで導入していますので、最新ではないと思います