1. DNS/Cloudflare
Contents
cloudflare社は共用リゾルバーサービス(1.1.1.1)だけでなく、DNS/ゾーンサービスも行っている。
- 無料で試せるサービスもあるので、試してみるといい。 lame delegation にはご用心!
https://cloudflare.com/login.html
| << < 2024 / 11 > >> | ||||||
|---|---|---|---|---|---|---|
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | |
lame delegationには注意すること。 DNS/lame_delegation/共用サービス/cloudflare
Dangling Domains: https://unit42.paloaltonetworks.jp/dangling-domains/
https://unit42.paloaltonetworks.com/dangling-domains/ (英語)
https://blog.cloudflare.com/improving-the-resiliency-of-our-infrastructure-dns-zone/
1.1. サブドメイン・ゾーン
Cloudflareにサブドメインを直接追加できますか? デフォルトでは、サブドメインはCloudflareアカウントの単独のドメインとして追加できません。ルートドメインは、Cloudflareアカウントに追加し、サブドメインはルートドメイン内で管理しなければなりません。ただし、Enterpriseプランのお客様は、Cloudflareサポートに連絡して、サブドメインをCloudflareアカウントに直接追加することを依頼できます。
どういう構成になるのだろう。/subdomain_support
1.2. 調査
/com調査 cloudflare利用ドメイン名を100万ドメイン名ほど調べた。
cloudflare 利用で乗取られている可能性のあるドメインを200あまり検出した。
1.3. 乗取なのか
- 詳しい調査が必要だ。
/乗取解消 で新たな乗取の危険性が発生する。
- ゾーンの消滅など。
1.4. NS名
What's the story behind the names of CloudFlare's name servers?
2013/8/6 午後11:40:00 JST https://blog.cloudflare.com/whats-the-story-behind-the-names-of-cloudflares-name-servers/ s.n
1.5. ログイン画面
https://cloudflare.com/login.html /sri-rachel
- Changing your domain nameservers to Cloudflare
1.6. ゾーン作成
cloudflareにゾーンを作るための条件が「登録済みのドメイン名」であること
そのゾーンをactivateするには指定されたNSにdelegate設定する必要がある。 he.netと同様の制約か。
activate待ち(pending表示)のゾーンが見えるか。
最初に作られたゾーンだけが外部から見えるのか。 -- ToshinoriMaeno 2019-10-15 21:56:48
- qmail.jpでの実験ではあとから作成した方が見えた例もある。 あとから作成したゾーン(非アクティブ)が見える例が作れた。既存のゾーンの状態にも依存するか。
cloudflare管理ページでのゾーンremoveを実行しても、外部からは見えている。(いつ、削除されるかは不明)
NSが REFUSEDを返しても、ゾーンがないとは言えない。-- ToshinoriMaeno 2019-10-16 07:25:31
有料のサービスを使うとNSは追加できるようだ。試していない。
1.7. qmail.jp
otsukaさんによるゾーン登録 (どうやって登録したのか: 誰でもできる。)
- cloudflare に委譲されていない状態での登録だ。
%dig +norec qmail.jp. @art.ns.cloudflare.com. ns ~ ; <<>> DiG 9.12.1 <<>> +norec qmail.jp. @art.ns.cloudflare.com. ns ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30783 ;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;qmail.jp. IN NS ;; ANSWER SECTION: qmail.jp. 86400 IN NS art.ns.cloudflare.com. qmail.jp. 86400 IN NS kim.ns.cloudflare.com. ;; Query time: 4 msec ;; SERVER: 173.245.59.102#53(173.245.59.102) ;; WHEN: Wed Oct 09 17:32:02 JST 2019 ;; MSG SIZE rcvd: 90
1.8. active
乗取りが不可能ということでもない。--> 無理か。
activate されたゾーンはxxxの部分が委譲NSとは異なっていても、返答をするようです。(cloudflareが一体運用?)
これがどう影響するかは、これから考える。(いま、見つけたばかり)
kww.jp. 86400 IN NS sri.ns.cloudflare.com. kww.jp. 86400 IN NS kia.ns.cloudflare.com. %dig -t ns kww.jp @art.ns.cloudflare.com. ~/dnsq/1004 ; <<>> DiG 9.12.1 <<>> -t ns kww.jp @art.ns.cloudflare.com. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46070 ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;kww.jp. IN NS ;; ANSWER SECTION: kww.jp. 86400 IN NS kia.ns.cloudflare.com. kww.jp. 86400 IN NS sri.ns.cloudflare.com. ;; Query time: 4 msec ;; SERVER: 173.245.59.102#53(173.245.59.102) ;; WHEN: Thu Oct 10 09:17:43 JST 2019 ;; MSG SIZE r
%dig -t ns tcpreplay.net @sri.ns.cloudflare.com.