1. DNS/登録不備/なに
/なぜ /なに /まとめ /ゾーン転送不良 /危険性 /対策 /検査 /症状 /解説 /記録 /設定者が悪いのか |
登録不備 (DNS/lame_delegation) はネットワークに対する迷惑行為であるとともに、乗取の危険性を持っています。
Contents
2003 JPRS http://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html
2007 JPNIC http://www.nic.ad.jp/ja/newsletter/No36/0800.html
Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx
にもかかわらず、IPAの返答はIPAの言う「脆弱性」ではないというもの。 https://www.e-ontap.com/blog/20131015.html
1.1. 分析
1.2. 存在していないドメインを指すNS
登録サーバ名が「存在していないドメイン(誰でも取得可能)内」を指していると、
- ドメイン全体が乗っ取られる危険性があります。
- よく知られているのはvisa.co.jpの話です。
JPレジストリは存在しない「JPドメイン」内のホストを指しているNSレコードはときどき強制削除している。
- (ひとつき程度の遅延はありそう)
これは/visa.co.jp問題が指摘されたあとに実施されたものです。
- com, .net などの存在しないドメインは危ない。(容易に取得可能)
1.3. 返答しないサーバ
登録サーバは存在するが、ゾーン設定されていないなどの場合もある。
共用DNSサービスを指す場合で、返事をしない(ゾーン不在)ときにはが別人にドメイン(ゾーン)を作られる (乗取られる)恐れがあります。登録ドメインと権利確認を行っていないからです。(さくら、awsdns など)
-- ToshinoriMaeno 2019-07-12 00:10:33
- 「共用DNSサービスで設定しそこない」などの理由が考えられるが、乗っ取られる危険がある。
使っていないドメインだからと言って危険性を無視してはいけない。
- フィッシングなどに使われたときに責任がないとは言えない。
-- ToshinoriMaeno 2012-12-12 09:59:20
1.4. キャッシュサーバを登録するな
takeo-mylib.jp の場合 (徳丸浩さんの調査)
- 権威サーバーを登録すべきなのに、キャッシュサーバーが指定してある。
- bindが再帰クエリする場合はキャッシュサーバーからのレスポンスは捨てて、
- もう一つの権威サーバーに問い合わせし直している
…毒入れの危険は増さないが、邪魔になるだけということか(毒にも薬にもならず単に邪魔)
毒盛の危険性は増えている。-- ToshinoriMaeno 2012-09-02 03:55:29
BIND 9.7.0-P1、unbound Version 1.4.1 です。Ubuntu 10.04.01のapt-getで導入していますので、最新ではないと思います