= DNS/lame_delegation = <> <> [[/2008]] {{{ lame delegation (登録不備) }}} [[/アンケート]] [[/前提概念]] [[/検査ツール]] [[/おまかせDNS]] == 入門 == 委任・委譲 とは [[DNS/delegation]] DNS の中心をなす概念です。 [[/JPRS用語辞典]] https://jprs.jp/glossary/index.php?ID=0176 委任、委譲と呼ばれているが、しっくりこない。 「登録、登記」に近い。 == ドメイン例 == [[/一例]] [[/分類]] lame_delegation は Abuse のひとつでしょう。 委譲先の負荷は誰が負担すべきでしょうか。 == 用語 == 誤委譲、委譲不全、委譲間違いとも言います。 欠陥委譲はどうでしょう。[[/分類]] さまざまな害がありますが、[[DNS/ドメイン名/乗取]]・[[/なりすまし]]の危険性もあります。 [[/2023]] [[/dnsop]] terminology [[DNS/delegation]] [[DNS/NS_record]] [DNSOP] Meaning of lame delegation https://mailarchive.ietf.org/arch/browse/dnsop/?gbt=1&index=QGjGNDti11J5Eg8IsA184WEYv68 The prevalence, persistence, and perils of lame delegations By Gautam Akiwate on 16 Mar 2021 https://blog.apnic.net/2021/03/16/the-prevalence-persistence-perils-of-lame-nameservers/ [[/検査ツール]] DNS健全性チェッカー https://www.e-ontap.com/dns/health/ 「[[DNS/登録不備]]」ではいかがでしょう。-- ToshinoriMaeno <> まとめ直しているので、こちらと重複している項目も結構あります。 [[/JPRS]] [[/cloudflare]] {{{ きちんと「委譲設定」をするのは、ドメイン登録者の義務です。 きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。 lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。 }}} ---- == 発生源 == 発生の状況は[[/発生]]で説明する。 == 状態の分類 == lame delegation 状態を以下のみっつに分けて考える。--> [[/分析]] [[/分類]] {{{ 1) 上位登録が正しくない。サーバー不在(名前の間違いなど) IPアドレス(glue)の間違いも含める。 2) 返答不在(サーバーダウン、ゾーンなし、サブドメインNS登録など) 3) 返答の不整合(ゾーン不全、複数サーバー間) 一部のサーバーにでも当てはまる場合はlameである。いずれも、乗取を心配する必要がある。 }}} === サーバーがない === ドメインがないことも。 JPNIC 流には 「委任元」における設定ミス NSレコードがない場合もある。(clientHold状態など) [[DNS/委譲/NSレコードのないドメイン]] * No address for delegated NS target * NS target recursively points to itself or parent * Non-existent server (間違い名など) 登録の不備 [[DNS/danglingDNSrecords]] https://unit42.paloaltonetworks.jp/dangling-domains/ [[DNS/記録/visa.co.jp事件]] lame delegation の危うさが[[/報道]]されるようになった。 === サーバーから返事がない === * Nameserver refuses to answer [[/ゾーンがない]] 無言か、REFUSED返答 * Nameserver returns a non-authoritative answer * Nameserver returns a failure SERVFAIL or FORMERR NSの移転作業時に、キャッシュ内にlame delegationが発生することもある。 tssさんが明確に指摘した。 === サーバーからの返事が正しくない === jp.sharp にみられるように NSすらない場合がある。 zone apex CNAME は多い。4%? https://twitter.com/jschauma/status/1672067531710889985?s=20 https://twitter.com/jschauma/status/1672075363730481152?s=20 == 検査 == https://thenewstack.io/risks-dns-hijacking-serious-take-countermeasures/ Preventing lame delegation hijacking (NS1) https://help.ns1.com/hc/en-us/articles/360063594293-Preventing-lame-delegation-hijacking ---- zoneなしの [[/cname]] {{{ 警告:lame delegationは「乗取」に直結しています。 awsdns/route53では特に注意が必要です。 }}} ドメイン名の登録権利者を確認すればすむのに、やらない業者が多い。-- ToshinoriMaeno <> == 具体例 == === 2022 === [[/強要]] === 2012年 === さくらDNSでの重大な欠陥 当時の[[/JPRS注意喚起]] https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html DNSサービス、運用によってはドメインハイジャックの恐れ 2012/06/22 https://atmarkit.itmedia.co.jp/news/201206/22/subdomain.html <> [[/2019]] == 共用DNSサービスは危ない == {{{ ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。 }}} [[DNS/サービス]] -- [[DNS/共用ゾーンサービス]] -- [[DNS/脅威/共用ゾーンサービス]] [[/共用サービス]] [[/なぜawsdnsにlameが多いか]] [[DNS/orphaned_internet]] --- 気づいたのはこのページのおかげです。[[DNS/floating_domains]] {{{ Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System }}} https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/ DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。 「ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。) 委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。 登録が間違っているのもよく見かけます。 [[/Subdomain_Takeover]]: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/ == 警告の手段 == lame delegationを公表しては、乗取を誘うようなものだ。 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。) 共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html https://twitter.com/beyondDNS/status/1185453289246085123 {{{ dnsstreamの活動を見て、思いついたこと: lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。 しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。 そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日 }}} ---- <>