1. lame delegation / awsdns
Contents
さくらなどでの lame delegation が危ないことは明らかだったが、awsdns の危険性には気づいていなかった。2012年
- 親子ドメインが保護されていることに気を取られていた。
2. awsdnsでの危険性
警告: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html
JPCERT/CC経由で80件あまりのドメインに警告してもらった。修正されたのは一部に過ぎない。
委譲・委任を確認する方法すら分かっていないのだろう。-- ToshinoriMaeno 2021-09-06 00:50:30
2.1. 気づき
Floating Domains https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html
ここに書かれているawsdns関連の説明は正しくない。
- ずっと危険だ。簡単に乗取可能だとか。
-- ToshinoriMaeno 2021-09-08 10:27:56
2.2. 確認手段
DNS/delegation https://jprs.jp/tech/material/tip0001.html
DNS健全性チェッカー http://www.e-ontap.com/dns/health/
2.3. awsdns委譲の危険性
- NSレコードを4個提供している。
- NSの名前が間違え易い形をしている。(なぜ、コピーペーストしないのかは分からない。)
- jpTLD下に多い。alphabetが苦手か。
- 任意の名前のゾーンを作成できる。
- ドメイン名の権利確認を行なっていない。(確認する予定はないとのこと)
最近は少し制限があるようだ。-- ToshinoriMaeno 2021-01-20 13:27:12
削除されたドメインに割り付けられていたNSは再割当てをしないとか。/緩和策
- ドメイン名の権利確認を行なっていない。(確認する予定はないとのこと)
サブドメインへの直接委譲を設定できる。/サブドメイン
親子関係のゾーンは同居させていない。(サブドメイン乗取を防ぐには必要だから)
DNSの仕組み(委譲)に対する無理解もありそうだ。
- lame delegation 発生は登録者の責任だという立場らしい。
- awsdns側で防衛手段を提供するつもりはなさそう。危険だ。
アクセス単位の課金
- ゾーンを抹消してなんらかの料金を節約しているらしいが、委譲は残ったままだ。
2.4. 乗取の危険性
どういう危険性があるかは、ここでは説明しない。
Remove AWS Route 53 Dangling DNS Records https://www.trendmicro.com/cloudoneconformity/knowledge-base/aws/Route53/dangling-dns-records.html#
2.5. zone なし
awsdnsに委譲設定はあるが、すべてまたは一部がREFUSEDになるケース:
- ゾーンを抹消しただけで、委譲は残っている。
- 他に委譲されていないのであれば、ドメイン名が使えなくなるだけなので、害はすくない。(詐称はともかく)
[JP 1700件, com 4万件] -- ToshinoriMaeno 2021-09-11 00:23:40
- だが、別業者などに委譲していて、使われているドメインの場合、被害は大きい。[18件]
- 他に委譲されていないのであれば、ドメイン名が使えなくなるだけなので、害はすくない。(詐称はともかく)
- 子ゾーンを作成して、そのNSを委譲登録しているドメインもある。[10件]
Deleting a public hosted zone AWS > Documentation > Amazon Route 53 > Developer Guide
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html
2.6. 間違いNS名
多数の間違い名が見つかっている。分類を試みる。-- ToshinoriMaeno 2021-03-08 13:40:20
- com下に400件あまり。 jp下に120件ほど。 (jpに多い)
2.6.1. TLDのミス
net --> ne, com --> co, org --> or, co.uk --> uk, co
- 危ないものも多い。
2.6.2. awsdns typo
"awsdns" 部分に間違いがあるものは危ない。(ほぼNXDOMAIN, ドメイン登録可能)
1 aesdns 1 ansdns 1 asdns 4 aswdns 3 awdns 1 awom 3 aws 1 awsdas 1 awsdms 1 awsdn 1 awsdna 1 awsdnzs 1 awsds 4 awsnds 2 awsns 1 axsdns 1 co 3 wasdns
2.6.3. 番号違
返事してもらえないことも多い。 場合によっては危ない。
2.6.4. その他
hyphen, period の取違え、つけ忘れ。(危ない)