AWS などのパブリッククラウドで一時的にサーバを立て、DNS レコードを登録した場合は、サーバのシャットダウン時に DNS レコードの削除も忘れないこと。

背景 

パブリッククラウドで一時的に付与されたグローバル IP アドレスは他のアカウントと共有のため、サーバシャットダウン後に使い回される。

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-private-addresses

パブリック IP アドレスは、Amazon のパブリック IPv4 アドレスプールからインスタンスに割り当てられ、お客様の AWS アカウントには関連付けられません。パブリック IP アドレスをインスタンスから割り当て解除すると、そのパブリック IPv4 アドレスはパブリック IP アドレスプールに戻され、再利用することはできません。

手動でパブリック IP アドレスをインスタンスに関連付けること、また、手動でインスタンスから割り当て解除することはできません。場合によって、パブリック IP アドレスはインスタンスから解放されたり、新しいインスタンスに割り当てられたりします

・インスタンスのパブリック IP アドレスが停止または終了すると、インスタンスのパブリック IP アドレスが解放されます。停止していたインスタンスが再起動されると、そのインスタンスには新しいパブリック IP アドレスが送信されます。

テスト

• AWS（ ap-northeast ）に連続してインスタンスを建てる（1,000インスタンス）
• 付与された IP アドレスについて、実際に DNS に登録があるかを確認（ PDNS を利用）
• テスト時間：スクリプトは適当に sleep を入れてゆっくり実施し、5時間程度で終了

結果

• 1,000 インスタンスに振られた IP アドレスのうち、DNS 登録が有効なものは 52 IP（ 5 % ）

IP address ,  FQDN

54. ***.**.*** , ***.jp

3.***.***.*** , *************.****.link

54.***.***.** , ***.****.biz

3.***.***.** , *********.com

13.***.***.*** , *******.***.net 

:

:

まとめ

• 管理者は不要な DNS レコードを消す仕組みを作る。
• サーバ証明書の取得など、悪用の可能性あり。
• サーバを継続利用する場合は Elastic IP を使うなど、IP アドレスを管理下に置くことを考える。 

PDNS について

https://www.farsightsecurity.com/solutions/dnsdb/