防止在 Route 53 中懸置委派記錄

透過 Route 53，客戶可以建立託管區域，例如 example.com來託管其DNS記錄。每個託管區域都附帶一個「委派集」，這是一組四個名稱伺服器，客戶可以用來設定父網域中的 NS 記錄。這些 NS 記錄可以稱為「委派 NS 記錄」或「委派記錄」。

為了使 example.com Route 53 託管區域成為權威性，example.com網域的合法擁有者需要透過網域註冊商在其「.com」父網域中設定委派記錄。如果客戶無法存取父網域中設定的四個名稱伺服器，例如因為已刪除相關聯的託管區域，則可能會產生攻擊者可以利用的風險。這稱為「懸置委派記錄」風險。

Route 53 可在刪除託管區域的情況下，防止懸置委派記錄風險。刪除後，如果使用相同的網域名稱建立新的託管區域，Route 53 將檢查指向已刪除託管區域的委派記錄是否仍存在於父網域中。如果是，Route 53 將防止指派任何重疊的名稱伺服器。這是下列範例中的案例 1。

不過，還有其他懸置委派記錄風險，Route 53 無法防範，如下列範例案例 2 和 3 所述。為了保護自己免受此更廣泛的風險，請確保父 NS 記錄符合 Route 53 託管區域的委派集。您可以透過 Route 53 主控台或 找到託管區域的委派集 AWS CLI。如需詳細資訊，請參閱列出記錄或get-hosted-zone。

此外，啟用 Route 53 託管區域的DNSSEC簽署，可以作為上述最佳實務以外的另一層保護。DNSSEC 驗證DNS答案來自權威來源，有效防範此風險。如需詳細資訊，請參閱 在 Amazon 路線 53 中配置DNSSEC簽名。

範例

在下列範例中，我們假設您有網域 example.com及其子網域 child.example.com。我們將說明在不同情況下如何建立懸置委派記錄、Route 53 如何保護您的網域免於濫用，以及如何有效降低懸置委派記錄的相關風險。

方案 1：

您可以使用child.example.com四個名稱伺服器建立託管區域：<ns1>、<ns2>、<ns3> 和 <ns4>。您可以在託管區域 中正確設定委派example.com，child.example.com使用四個名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 為 建立委派 NS 記錄。當child.example.com託管區域刪除時，而不移除 中的委派 NS 記錄example.com，Route 53 會透過防止 <ns1>、<ns2>、<ns3> 和 <ns4> 指派至具有相同網域名稱的新建立託管區域，來child.example.com避免委派記錄風險。

方案 2：

與案例 1 類似，但這次您刪除託管區域中AND的委派 NS 記錄的子託管區域example.com。不過，您可以新增回溯委派 NS 記錄 <ns1>、<ns2>、<ns3> 和 <ns4>，而無需建立子託管區域。在這裡，<ns1>、<ns2>、<ns3> 和 <ns4> 正在懸置委派記錄，因為 Route 53 移除保留，這阻止 <ns1>、<ns2>、<ns3> 和 <ns4> 指派，現在將允許新建立的託管區域使用上述名稱伺服器。若要緩解風險，請從委派記錄中移除 <ns1>、<ns2>、<ns3> 和 <ns4>，並僅在建立子託管區域後將其新增。

案例 3：

在此案例中，您會使用名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 建立 Route 53 可重複使用委派集。然後，您將網域委派example.com給父網域 中的這些名稱伺服器.com。不過，您尚未在可重複使用委派集example.com上建立 的託管區域。在此，<ns1>、<ns2>、<ns3> 和 <ns4> 是懸置委派記錄。若要降低風險，請使用可重複使用的委派集建立託管區域，其中名稱伺服器為 <ns1>、<ns2>、<ns3> 和 <ns4>。