přenosy DNS zón pomocí protokolu AXFR jsou nejjednodušším mechanismem pro replikaci záznamů DNS napříč servery DNS. Chcete-li se vyhnout nutnosti upravovat informace na více serverech DNS, můžete upravovat informace na jednom serveru a pomocí AXFR kopírovat informace na jiné servery. Pokud však své servery nechráníte, mohou škodlivé strany použít AXFR k získání informací o všech vašich hostitelích.
jak funguje DNS
DNS (Domain Name System) je jako internetový telefonní seznam. Je zodpovědný za řešení lidsky čitelných názvů hostitelů do strojově čitelných IP adres. Systém obsahuje autoritativní servery DNS, které poskytují informace, a mezipaměti DNS, které tyto informace dočasně ukládají pro vyhledávání klientů. Typický dotaz DNS je velmi jednoduchý: klient poskytuje jméno hostitele čitelné pro člověka a v odpovědi obdrží IP adresu. Systém však předpokládá, že dotazující klient zná název hostitele.
hostitelské zóny serverů DNS. DNS zóna je část prostoru pro doménové jméno, která je obsluhována serverem DNS. Například příklad.com se všemi jeho subdoménami může být zóna. Nicméně, second.example.com může být také samostatná zóna.
proč je potřeba DNS Zone Transfer
DNS je kritická služba. Pokud server DNS pro zónu nefunguje a informace uložené v mezipaměti vypršely, doména je nepřístupná pro všechny služby (web, pošta a další). Každá zóna by proto měla mít alespoň dva servery DNS. U kritičtějších zón může být ještě více.
zóna však může být velká a může vyžadovat časté změny. Pokud ručně upravujete data zón na každém serveru zvlášť, trvá to hodně času a existuje velký potenciál pro chybu. Proto je nutný přenos zóny DNS.
můžete použít různé mechanismy pro přenos zóny DNS, ale nejjednodušší je AXFR (technicky řečeno, AXFR odkazuje na protokol používaný během přenosu zóny DNS). Jedná se o požadavek iniciovaný klientem. Proto můžete upravit informace na primárním serveru DNS a poté pomocí AXFR ze sekundárního serveru DNS stáhnout celou zónu.
Jak Zahájit Přenos Zóny DNS
Zahájení AXFR zóny-žádost o přeložení ze sekundárního serveru je stejně jednoduché jako pomocí následujícího dig
příkazy, kde zonetransfer.mě je doména, která chceme zahájit přenos zóny. Za prvé, potřebujeme získat seznam serverů DNS pro domény:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.
Nyní, můžeme iniciovat AXFR žádost dostat kopii zóny z primárního serveru:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)
Axfr zranitelnost a prevence
AXFR nenabízí žádnou autentizaci, takže každý klient může požádat server DNS o kopii celé zóny. To znamená, že pokud není zavedena nějaká ochrana, útočník může získat seznam všech hostitelů pro doménu, což jim dává mnoho potenciálních útočných vektorů.
aby se zabránilo výskytu této chyby zabezpečení, měl by být server DNS nakonfigurován tak, aby umožňoval pouze přenosy zón z důvěryhodných IP adres. Následuje příklad toho, jak toho lze dosáhnout na serveru BIND DNS.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};
kromě toho je také doporučeno použít signatury transakcí (TSIG) pro přenosy zón, aby se zabránilo pokusům o spoofing IP.
Nejčastější dotazy
zóna DNS je sada záznamů DNS pro danou doménu. Jedná se o jednotku používanou servery DNS k ukládání informací DNS.
zjistěte, jak funguje DNS.
přenos zóny DNS je postup, který umožňuje dvěma serverům DNS vyměňovat si své zóny. To je nutné pro redundanci. Existuje několik metod přenosu zón, ale nejběžnější používá protokol AXFR.
Další informace o protokolu AXFR.
pokud jsou přenosy zón DNS prováděny pomocí protokolu AXFR, neexistuje žádné šifrování a neexistuje žádná autentizace. Kdokoliv může získat celou zónu pomocí protokolu AXFR. Škodliví hackeři mohou používat informace obsažené v zónách k provádění útoků.
Další informace o útocích pomocí AXFR.
nejjednodušší způsob, jak zabezpečit přenosy zón, je omezit požadavky AXFR na důvěryhodné IP adresy. Můžete to udělat v konfiguraci serveru DNS nebo na firewallu. Můžete také použít podpisy transakcí.
Naučte se používat podpisy transakcí na serveru BIND DNS.
Získejte nejnovější obsah na web security
ve vaší doručené poště každý týden.
SDÍLET TENTO PŘÍSPĚVEK
AUTOR
Technický Obsah Spisovatel
Tomasz Andrzej Nidecki (také známý jako tonid) je Technický Obsah Spisovatel pracující pro Acunetix. Novinář, překladatel a technické spisovatel s 25 let zkušeností, Tomasz byl šéfredaktorem hakin9, IT Security magazine v jeho raných létech, a slouží ke spuštění hlavní technické blog věnovaný zabezpečení e-mailů.