MoinQ:

1. lame delegation / awsdns

../共用サービス/awsdns /意識調査

さくらなどでの lame delegation が危ないことは明らかだったが、awsdns の危険性には気づいていなかった。2012年

2. awsdnsでの危険性

警告: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html

/連絡/修正ずみのドメイン

JPCERT/CC経由で80件あまりのドメインに警告してもらった。修正されたのは一部に過ぎない。

2.1. 気づき

Floating Domains https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

ここに書かれているawsdns関連の説明は正しくない。

-- ToshinoriMaeno 2021-09-08 10:27:56

2.2. 確認手段

DNS/delegation https://jprs.jp/tech/material/tip0001.html

DNS健全性チェッカー http://www.e-ontap.com/dns/health/

2.3. awsdns委譲の危険性

親子関係のゾーンは同居させていない。(サブドメイン乗取を防ぐには必要だから)

DNSの仕組み(委譲)に対する無理解もありそうだ。

アクセス単位の課金

2.4. 乗取の危険性

どういう危険性があるかは、ここでは説明しない。

Remove AWS Route 53 Dangling DNS Records https://www.trendmicro.com/cloudoneconformity/knowledge-base/aws/Route53/dangling-dns-records.html#

2.5. zone なし

awsdnsに委譲設定はあるが、すべてまたは一部がREFUSEDになるケース:

Deleting a public hosted zone
AWS > Documentation > Amazon Route 53 > Developer Guide

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html

2.6. 間違いNS名

多数の間違い名が見つかっている。分類を試みる。-- ToshinoriMaeno 2021-03-08 13:40:20

2.6.1. TLDのミス

net --> ne, com --> co, org --> or, co.uk --> uk, co

2.6.2. awsdns typo

"awsdns" 部分に間違いがあるものは危ない。(ほぼNXDOMAIN, ドメイン登録可能)

/awsdas-61.com

      1 aesdns
      1 ansdns 
      1 asdns
      4 aswdns
      3 awdns
      1 awom
      3 aws
      1 awsdas
      1 awsdms
      1 awsdn
      1 awsdna
      1 awsdnzs
      1 awsds
      4 awsnds
      2 awsns
      1 axsdns
      1 co
      3 wasdns

2.6.3. 番号違

返事してもらえないことも多い。 場合によっては危ない。

2.6.4. その他

hyphen, period の取違え、つけ忘れ。(危ない)

MoinQ: DNS/lame_delegation/awsdns (last edited 2023-10-09 22:56:17 by ToshinoriMaeno)