= DNS/Cloudflare/ゾーン作成/NS選択 = <> ---- <> Security in place to prevent Domain Hijacking https://community.cloudflare.com/t/security-in-place-to-prevent-domain-hijacking/59326 ゾーンを作成したときのNSの決定法が書いてある。(正確ではなかった。-- ToshinoriMaeno <>) decker+kallieはどちらも割当数が少ない。 == NS 決定法 == Someone adds the domain to a Cloudflare’s account. {{{ The domain receives a pair of nameservers. This pair by default is the one of the account owner, but if the pair is the same as the account where the domain had been already added this pair is switched. }}} この説明は正しくない(十分ではない)ことが分かっている。-- ToshinoriMaeno <> 同名のゾーンがすでに作成されていたら、NSが一致することのないように割当られる。 ゾーンが存在しない場合にはdefaultのNSが割当られる。危険だ。-- ToshinoriMaeno < 最近はdelegationのNSも調べていていて、一致することのないように割当られるようだが、 常にそうなっている訳ではないらしい。-- ToshinoriMaeno <> ゾーンなしのものを乗取れるか、試してみたが、成功しない。 <> 現実には乗取は続いている。この手口を解明したい。-- ToshinoriMaeno <> buyu***などが参考になるか。 ---- There is also a limit on the number of registrations (way lower, orders of magnitude lower, than the number of combinations) in total a domain may be added after which support need to intervene to allow an addition to take place. Cloudflare systems will check with the current registrar what nameservers have been added there. The account whose nameserver pair coincide with the registrar’s will get authoritative control of the domain. ---- ここの手順がよくないために、乗取の隙がある。 ---- Cloudflare will usually reply to DNS queries corresponding to the first account which adds the domain or the current active account’s until the registrar’s nameservers change. The solution in this case would be to contact support and ask for help demonstrating ownership of the domain by other means to prevent possible disruptions during the transfer. The reason for this is: ... ドメインの権利を認めさせる方法があるような記述だ。(サポートに助けを求めよ、とある) ---- https://community.cloudflare.com/t/community-tip-best-practices-to-address-dns-hijacking/58584 Do not point to Cloudflare name servers without having your domain signed up in your account first. When you point to Cloudflare name servers without claiming the site first (or the site is deleted), you are effectively opening up DNS control to whomever signs up the domain first or re-signs the zone on our platform. The fix is to add the zone to your account first and then point it to your Cloudflare assigned name servers.