防止在 Route 53 中懸置委派記錄 - Amazon Route 53
範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

防止在 Route 53 中懸置委派記錄

透過 Route 53,客戶可以建立託管區域,例如 example.com,以託管其 DNS 記錄。每個託管區域都隨附「委派集」,這是一組四個名稱伺服器,客戶可用來設定父網域中的 NS 記錄。這些 NS 記錄可以稱為「委派 NS 記錄」或「委派記錄」。

為了使 example.com Route 53 託管區域成為授權,example.com網域的合法擁有者需要透過網域註冊商在其「.com」父系網域中設定委派記錄。如果客戶無法存取父系網域中設定的四個名稱伺服器,例如,因為關聯的託管區域已刪除,它可能會產生攻擊者可以利用的風險。這稱為「懸置委派記錄」風險。

在刪除託管區域的情況下,Route 53 可避免懸置委派記錄風險。刪除後,如果使用相同的網域名稱建立新的託管區域,Route 53 會檢查指向已刪除託管區域的委派記錄是否仍存在於父網域中。如果是,Route 53 將防止指派任何重疊的名稱伺服器。這是下列範例中的案例 1。

不過,還有其他懸置委派記錄風險,Route 53 無法防範,如下列範例中案例 2 到 6 所述。為了保護自己免於此更廣泛的風險,請確定父 NS 記錄符合 Route 53 託管區域的委派集。您可以透過 Route 53 主控台或 找到託管區域的委派集 AWS CLI。如需詳細資訊,請參閱 列出記錄get-hosted-zone

此外,啟用 Route 53 託管區域的 DNSSEC 簽署可作為上述最佳實務以外的另一層保護。DNSSEC 會驗證 DNS 答案來自授權來源,有效防範此風險。如需更多資訊,請參閱在 Amazon Route 53 中設定 DNSSEC 簽署

範例

在下列範例中,我們假設您有一個網域 example.com及其子網域 child.example.com。我們將說明在各種情況下如何建立懸置委派記錄、Route 53 如何保護您的網域免於濫用,以及如何有效降低懸置委派記錄的相關風險。

方案 1:

您可以使用child.example.com四個名稱伺服器建立託管區域:<ns1>、<ns2>、<ns3> 和 <ns4>。您可以在託管區域 中正確設定委派example.comchild.example.com使用四個名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 建立 的委派 NS 記錄。在未移除 中的委派 NS 記錄的情況下刪除child.example.com託管區域時example.com,Route 53 會防止 <ns1>、<ns2>、<ns3> 和 <ns4> child.example.com 指派給具有相同網域名稱的新建立託管區域,以防止懸置委派記錄風險。

方案 2:

與案例 1 類似,但這次您刪除子託管區域 和託管區域 中的委派 NS 記錄example.com。不過,您可以新增回溯委派 NS 記錄 <ns1>、<ns2>、<ns3> 和 <ns4>,而無需建立子託管區域。在這裡,<ns1>、<ns2>、<ns3> 和 <ns4> 正在懸置委派記錄,因為 Route 53 會移除保留,防止 <ns1>、<ns2>、<ns3> 和 <ns4> 被指派,現在允許新建立的託管區域使用上述名稱伺服器。若要緩解風險,請從委派記錄中移除 <ns1>、<ns2>、<ns3> 和 <ns4>,並只在建立子託管區域之後新增它們。

案例 3:

在此案例中,您會使用名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 建立 Route 53 可重複使用委派集。然後,您將網域委派example.com給父系網域 中的這些名稱伺服器.com。不過,您尚未在可重複使用委派集example.com上建立 的託管區域。在這裡,<ns1>、<ns2>、<ns3> 和 <ns4> 是懸置委派記錄。若要降低風險,請使用可重複使用的委派集建立託管區域,其中包含名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>。

案例 4:

您有四個child.example.com名稱伺服器的託管區域:<ns1>、<ns2>、<ns3> 和 <ns4>。您可以在父系中將委派新增至 <ns1>、<ns2>、<ns3> 和 <ns4>。然後,您刪除區域,但不要移除 <ns1>、<ns2>、<ns3> 和 <ns4> 委派。然後,您可以使用名稱伺服器 <ns5>、<ns6>、<ns7>、<ns8> 建立新的child.example.com區域,並將委派新增至 <ns5>、<ns6>、<ns7> 和 <ns8>。您現在有一個父區域,可同時委派給 <ns1>、<ns2>、<ns3> 和 <ns4> 和 <ns5>、<ns6>、<ns7> 和 <ns8>。這會產生 <ns1>、<ns2>、<ns3> 和 <ns4> 的懸置委派風險。若要降低此風險,請從委派記錄中移除非作用中的命名伺服器 <ns1>、<ns2>、<ns3>、<ns4>,只留下作用中的命名伺服器 <ns5>、<ns6>、<ns7>、<ns8>。一般而言, 一律確保只有一個子網域委派,child.example.com且 中的 NS 記錄example.com完全符合目前子區域委派集中的四個名稱伺服器。

案例 5:

您可以使用child.example.com名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>,以及grandchild.child.example.com名稱伺服器 <ns5>、<ns6>、<ns7> 和 <ns8>,為兩者建立託管區域。不過,您直接在區域中委派兩者example.com,這會產生懸置委派風險。為了確保委派遵循適當的 DNS 階層,請僅透過其直接父區域委派子網域。例如,如果您想要委派 grandchild.child.example.com:首先委派 example.com區域中child.example.com的名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>,然後委派 child.example.com區域中grandchild.child.example.com的名稱伺服器 <ns5>、<ns6>、<ns7> 和 <ns8>,並從grandchild.child.example.comexample.com區域移除 的任何直接委派。

案例 6:

在建立對應的託管區域之前,您可以將網域或子網域委派給 Route 53 名稱伺服器,這會建立懸置委派記錄。這與案例 3 中的案例類似,但在未建立可重複使用的委派集時,風險也會套用。例如,您將網域委派example.com給父系網域 中的伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>.com,但這些名稱伺服器從未託管 example.com。Route 53 無法防範這種情況,因為沒有任何託管區域可以為該網域名稱在這些名稱伺服器上建立保留。為了降低風險,僅委派至屬於您控制之公有託管區域的 Route 53 名稱伺服器。