本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
防止在 Route 53 中懸置委派記錄
透過 Route 53,客戶可以建立託管區域,例如 example.com,以託管其 DNS 記錄。每個託管區域都隨附一個「委派集」,這是一組四個名稱伺服器,客戶可用來設定父網域中的 NS 記錄。這些 NS 記錄可以稱為「委派 NS 記錄」或「委派記錄」。
為了使 example.com Route 53 託管區域成為授權,example.com網域的合法擁有者需要透過網域註冊商在其「.com」父系網域中設定委派記錄。如果客戶無法存取父系網域中設定的四個名稱伺服器,例如,因為關聯的託管區域已刪除,它可能會產生攻擊者可以利用的風險。這稱為「懸置委派記錄」風險。
在刪除託管區域的情況下,Route 53 可避免懸置委派記錄風險。刪除後,如果使用相同的網域名稱建立新的託管區域,Route 53 會檢查指向已刪除託管區域的委派記錄是否仍存在於父網域中。如果是,Route 53 將防止指派任何重疊的名稱伺服器。這是下列範例中的案例 1。
不過,還有其他懸置委派記錄風險,Route 53 無法防範,如下列範例中案例 2 和 3 所述。為了保護自己免於此更廣泛的風險,請確定父 NS 記錄符合 Route 53 託管區域的委派集。您可以透過 Route 53 主控台或 找到託管區域的委派集 AWS CLI。如需詳細資訊,請參閱 列出記錄 或 get-hosted-zone
此外,啟用 Route 53 託管區域的 DNSSEC 簽署可作為上述最佳實務以外的另一層保護。DNSSEC 會驗證 DNS 答案來自授權來源,有效防範此風險。如需更多資訊,請參閱在 Amazon Route 53 中設定 DNSSEC 簽署。
範例
在下列範例中,我們假設您有一個網域 example.com及其子網域 child.example.com。我們將在各種情況下解釋如何建立懸置委派記錄、Route 53 如何保護您的網域免受濫用,以及如何有效地降低懸置委派記錄的相關風險。
- 方案 1:
您可以使用
child.example.com四個名稱伺服器建立託管區域:<ns1>、<ns2>、<ns3> 和 <ns4>。您可以在託管區域 中正確設定委派example.com,child.example.com使用四個名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 建立 的委派 NS 記錄。在未移除 中的委派 NS 記錄的情況下刪除child.example.com託管區域時example.com,Route 53 會防止 <ns1>、<ns2>、<ns3> 和 <ns4>child.example.com指派給具有相同網域名稱的新建立託管區域,以防止懸置委派記錄風險。- 方案 2:
與案例 1 類似,但這次您刪除子託管區域 和託管區域 中的委派 NS 記錄
example.com。不過,您可以新增回溯委派 NS 記錄 <ns1>、<ns2>、<ns3> 和 <ns4>,而無需建立子託管區域。在這裡,<ns1>、<ns2>、<ns3> 和 <ns4> 正在懸置委派記錄,因為 Route 53 會移除保留,防止 <ns1>、<ns2>、<ns3> 和 <ns4> 指派,現在允許新建立的託管區域使用上述名稱伺服器。若要減輕風險,請從委派記錄中移除 <ns1>、<ns2>、<ns3> 和 <ns4>,並只在建立子託管區域之後新增它們。- 案例 3:
在此案例中,您會建立名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 的 Route 53 可重複使用委派集。然後,您將網域委派
example.com給父系網域 中的這些名稱伺服器.com。不過,您尚未在可重複使用委派集example.com上建立 的託管區域。在這裡,<ns1>、<ns2>、<ns3> 和 <ns4> 正在懸置委派記錄。若要降低風險,請使用可重複使用的委派集建立託管區域,其中包含名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>。
