1. DNS/Cloudflare/乗取/乗取手法
Contents
あるドメイン名を乗取れるためには、以下の条件が満たされなければならない。(Cloudflare内での話)
- そのゾーンのNSとして登録されているNSが存在するなら、そのNSは返答しない。
- ゾーンを作成するときに、返答しない委譲NSをもたせられる。
- 外部からNSに問い合わせたときに、乗取目的の「返答をさせられる」。
ゾーンを作成する前に委譲をするのが、設定順序として間違っている。
- 「ゾーンを作成して、そこで指定されたNS組に委譲することで、activeにする」のが正しい手順である。
-- ToshinoriMaeno 2020-04-19 07:48:30
2. 同一名ゾーンの扱い
Cloudflare側がどういう検査をしているのかは明記されていないようだが、
- すでに作成されているゾーンと名前が合致するゾーンを作成しようとした場合には、
- なんらかの制限があるらしい。(乗取防止が目的らしい。)
-- ToshinoriMaeno 2020-04-19 07:48:30
- 以前に割当てたNSがあれば、それを維持する。
- 既存のゾーンで使われているNSは割付けない。
- 委譲で指されているNSは割り付けない。(最近気づいた。いつからだろう。例外もあるらしい。)
あとから作成されたゾーンのNSは返答しない。
これらの制限通りにNSを割当ているなら乗取は防げる。 だが、現実には委譲NSの一部をもつゾーンが作成されている。
3. 乗取の現状
したがって、ゾーンがまったく作成されていない状態でCloudflareに委譲することには危険があると思う。
- 毎日50件程度の乗取が起きていると推測している。
-- ToshinoriMaeno 2020-04-19 08:00:13