přenosy DNS zón pomocí protokolu AXFR jsou nejjednodušším mechanismem pro replikaci záznamů DNS napříč servery DNS. Chcete-li se vyhnout nutnosti upravovat informace na více serverech DNS, můžete upravovat informace na jednom serveru a pomocí AXFR kopírovat informace na jiné servery. Pokud však své servery nechráníte, mohou škodlivé strany použít AXFR k získání informací o všech vašich hostitelích.

jak funguje DNS

DNS (Domain Name System) je jako internetový telefonní seznam. Je zodpovědný za řešení lidsky čitelných názvů hostitelů do strojově čitelných IP adres. Systém obsahuje autoritativní servery DNS, které poskytují informace, a mezipaměti DNS, které tyto informace dočasně ukládají pro vyhledávání klientů. Typický dotaz DNS je velmi jednoduchý: klient poskytuje jméno hostitele čitelné pro člověka a v odpovědi obdrží IP adresu. Systém však předpokládá, že dotazující klient zná název hostitele.

hostitelské zóny serverů DNS. DNS zóna je část prostoru pro doménové jméno, která je obsluhována serverem DNS. Například příklad.com se všemi jeho subdoménami může být zóna. Nicméně, second.example.com může být také samostatná zóna.

proč je potřeba DNS Zone Transfer

DNS je kritická služba. Pokud server DNS pro zónu nefunguje a informace uložené v mezipaměti vypršely, doména je nepřístupná pro všechny služby (web, pošta a další). Každá zóna by proto měla mít alespoň dva servery DNS. U kritičtějších zón může být ještě více.

zóna však může být velká a může vyžadovat časté změny. Pokud ručně upravujete data zón na každém serveru zvlášť, trvá to hodně času a existuje velký potenciál pro chybu. Proto je nutný přenos zóny DNS.

můžete použít různé mechanismy pro přenos zóny DNS, ale nejjednodušší je AXFR (technicky řečeno, AXFR odkazuje na protokol používaný během přenosu zóny DNS). Jedná se o požadavek iniciovaný klientem. Proto můžete upravit informace na primárním serveru DNS a poté pomocí AXFR ze sekundárního serveru DNS stáhnout celou zónu.

Jak Zahájit Přenos Zóny DNS

Zahájení AXFR zóny-žádost o přeložení ze sekundárního serveru je stejně jednoduché jako pomocí následujícího dig příkazy, kde zonetransfer.mě je doména, která chceme zahájit přenos zóny. Za prvé, potřebujeme získat seznam serverů DNS pro domény:

$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.

Nyní, můžeme iniciovat AXFR žádost dostat kopii zóny z primárního serveru:

$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)

Axfr zranitelnost a prevence

AXFR nenabízí žádnou autentizaci, takže každý klient může požádat server DNS o kopii celé zóny. To znamená, že pokud není zavedena nějaká ochrana, útočník může získat seznam všech hostitelů pro doménu, což jim dává mnoho potenciálních útočných vektorů.

aby se zabránilo výskytu této chyby zabezpečení, měl by být server DNS nakonfigurován tak, aby umožňoval pouze přenosy zón z důvěryhodných IP adres. Následuje příklad toho, jak toho lze dosáhnout na serveru BIND DNS.

# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};

kromě toho je také doporučeno použít signatury transakcí (TSIG) pro přenosy zón, aby se zabránilo pokusům o spoofing IP.

Nejčastější dotazy

Získejte nejnovější obsah na web security
ve vaší doručené poště každý týden.

SDÍLET TENTO PŘÍSPĚVEK

AUTOR

Tomasz Andrzej Nidecki
Technický Obsah Spisovatel
LinkedIn

Tomasz Andrzej Nidecki (také známý jako tonid) je Technický Obsah Spisovatel pracující pro Acunetix. Novinář, překladatel a technické spisovatel s 25 let zkušeností, Tomasz byl šéfredaktorem hakin9, IT Security magazine v jeho raných létech, a slouží ke spuštění hlavní technické blog věnovaný zabezpečení e-mailů.