## page was renamed from DNS/lame_delegation/なぜawsdnsにlameが多いか
#acl All:read

= lame delegation / awsdns =

<<Navigation(children,1)>>

<<TableOfContents()>>

[[../共用サービス/awsdns]] 
[[/意識調査]]

さくらなどでの lame delegation が危ないことは明らかだったが、awsdns の危険性には気づいていなかった。2012年
  親子ドメインが保護されていることに気を取られていた。
 
= awsdnsでの危険性 =
警告: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html

[[/連絡]]、[[/修正ずみのドメイン]]

JPCERT/CC経由で80件あまりのドメインに警告してもらった。修正されたのは一部に過ぎない。

  委譲･委任を確認する方法すら分かっていないのだろう。-- ToshinoriMaeno <<DateTime(2021-09-06T09:50:30+0900)>>

  
== 気づき ==
Floating Domains
https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

ここに書かれているawsdns関連の説明は正しくない。
  ずっと危険だ。簡単に乗取可能だとか。
-- ToshinoriMaeno <<DateTime(2021-09-08T19:27:56+0900)>>


== 確認手段 ==
[[DNS/delegation]]
https://jprs.jp/tech/material/tip0001.html

DNS健全性チェッカー
http://www.e-ontap.com/dns/health/

== awsdns委譲の危険性 ==
 * NSレコードを4個提供している。
 * NSの名前が間違え易い形をしている。(なぜ、コピーペーストしないのかは分からない。)
   jpTLD下に多い。alphabetが苦手か。
 * 任意の名前のゾーンを作成できる。
   ドメイン名の権利確認を行なっていない。(確認する予定はないとのこと)
   最近は少し制限があるようだ。-- ToshinoriMaeno <<DateTime(2021-01-20T22:27:12+0900)>>
      削除されたドメインに割り付けられていたNSは再割当てをしないとか。[[/緩和策]]
 * サブドメインへの直接委譲を設定できる。[[/サブドメイン]]

親子関係のゾーンは同居させていない。(サブドメイン乗取を防ぐには必要だから)

DNSの仕組み(委譲)に対する無理解もありそうだ。
  lame delegation 発生は登録者の責任だという立場らしい。
    awsdns側で防衛手段を提供するつもりはなさそう。危険だ。
アクセス単位の課金
  ゾーンを抹消してなんらかの料金を節約しているらしいが、委譲は残ったままだ。

== 乗取の危険性 ==
どういう危険性があるかは、ここでは説明しない。

Remove AWS Route 53 Dangling DNS Records
https://www.trendmicro.com/cloudoneconformity/knowledge-base/aws/Route53/dangling-dns-records.html#
  
== zone なし ==
awsdnsに委譲設定はあるが、すべてまたは一部がREFUSEDになるケース:
  * ゾーンを抹消しただけで、委譲は残っている。
   . 他に委譲されていないのであれば、ドメイン名が使えなくなるだけなので、害はすくない。(詐称はともかく) 
     [JP 1700件, com 4万件]  -- ToshinoriMaeno <<DateTime(2021-09-11T09:23:40+0900)>>
   . だが、別業者などに委譲していて、使われているドメインの場合、被害は大きい。[18件]
  * 子ゾーンを作成して、そのNSを委譲登録しているドメインもある。[10件]
{{{
Deleting a public hosted zone
AWS > Documentation > Amazon Route 53 > Developer Guide
}}}
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html
== 間違いNS名 ==
多数の間違い名が見つかっている。分類を試みる。-- ToshinoriMaeno <<DateTime(2021-03-08T22:40:20+0900)>>
  com下に400件あまり。 jp下に120件ほど。 (jpに多い)
=== TLDのミス ===
net --> ne,  com --> co, org --> or,  co.uk --> uk, co
  危ないものも多い。

=== awsdns typo ===
"awsdns" 部分に間違いがあるものは危ない。(ほぼNXDOMAIN, ドメイン登録可能)

[[/awsdas-61.com]]

{{{
      1 aesdns
      1 ansdns 
      1 asdns
      4 aswdns
      3 awdns
      1 awom
      3 aws
      1 awsdas
      1 awsdms
      1 awsdn
      1 awsdna
      1 awsdnzs
      1 awsds
      4 awsnds
      2 awsns
      1 axsdns
      1 co
      3 wasdns
}}}

=== 番号違 ===
返事してもらえないことも多い。 場合によっては危ない。
=== その他 ===
hyphen, period の取違え、つけ忘れ。(危ない)