DNS-områdeoverførsler ved hjælp af AKSFR-protokollen er den enkleste mekanisme til at replikere DNS-poster på tværs af DNS-servere. For at undgå behovet for at redigere oplysninger på flere DNS-servere kan du redigere oplysninger på en server og bruge ACFR til at kopiere oplysninger til andre servere. Men hvis du ikke beskytter dine servere, kan ondsindede parter bruge
Sådan fungerer DNS
DNS (Domain Name System) er som en internettelefonbog. Det er ansvarligt for at løse menneskelæsbare værtsnavne til maskinlæsbare IP-adresser. Systemet inkluderer autoritative DNS-servere, der leverer information og DNS-cacher, der gemmer disse oplysninger midlertidigt til klientopslag. En typisk DNS-forespørgsel er meget enkel: en klient giver et menneskeligt læsbart værtsnavn og modtager som svar en IP-adresse. Systemet antager dog, at forespørgselsklienten kender værtsnavnet.
DNS-servere værtsområder. Et DNS-område er en del af domænenavnsområdet, der betjenes af en DNS-server. For eksempel, eksempel.com med alle dens underdomæner kan være et område. Imidlertid, second.example.com kan også være et særskilt område.
hvorfor er DNS-overførsel nødvendig
DNS er en kritisk tjeneste. Hvis en DNS-server for et område ikke fungerer, og cachelagrede oplysninger er udløbet, er domænet utilgængeligt for alle tjenester (Internet, mail og mere). Derfor skal hvert område have mindst to DNS-servere. For mere kritiske områder kan der være endnu mere.
et område kan dog være stort og kan kræve hyppige ændringer. Hvis du manuelt redigerer områdedata på hver server separat, tager det meget tid, og der er meget potentiale for en fejl. Derfor er det nødvendigt at overføre DNS.
Du kan bruge forskellige mekanismer til DNS-områdeoverførsel, men den enkleste er AKSFR (teknisk set henviser AKSFR til den protokol, der bruges under en DNS-områdeoverførsel). Det er en klientinitieret anmodning. Derfor kan du redigere oplysninger på den primære DNS-server og derefter bruge ACSFR fra den sekundære DNS-server til at hente hele området.
Sådan starter du en DNS-overførsel
det er så simpelt at starte en anmodning om overførsel fra en sekundær server som at bruge følgendedig kommandoer, hvor zonetransfer.me er det domæne, Vi ønsker at starte en områdeoverførsel til. For det første skal vi få listen over DNS-servere til domænet:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.nu kan vi starte en AKSFR-anmodning om at få en kopi af området fra den primære server:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)Aksfr sårbarhed og forebyggelse
AKSFR tilbyder ingen godkendelse, så enhver klient kan bede en DNS-server om en kopi af hele området. Dette betyder, at medmindre der indføres en form for beskyttelse, kan en angriber få en liste over alle værter for et domæne, hvilket giver dem en masse potentielle angrebsvektorer.
for at forhindre, at denne sårbarhed opstår, skal DNS-serveren konfigureres til kun at tillade områdeoverførsler fra pålidelige IP-adresser. Følgende er et eksempel på, hvordan dette kan opnås i BIND DNS-serveren.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};Derudover anbefales det også at bruge TRANSAKTIONSSIGNATURER (TSIG) til områdeoverførsler for at forhindre IP-spoofingforsøg.
ofte stillede spørgsmål
et DNS-område er et sæt DNS-poster for et givet domæne. Det er en enhed, der bruges af DNS-servere til at gemme DNS-oplysninger.
Lær hvordan DNS fungerer.
en DNS-overførsel er en procedure, der lader to DNS-servere udveksle deres områder. Dette er nødvendigt for redundans. Der er flere overførselsmetoder, men den mest almindelige bruger AKSFR-protokollen.
Lær om AKSFR-protokollen.
Hvis DNS-overførsler udføres ved hjælp af AKSFR-protokollen, er der ingen kryptering, og der er ingen godkendelse. Alle kan få hele området ved hjælp af AKSFR-protokollen. Ondsindede hackere kan bruge oplysningerne i områder til at udføre angreb.
Læs mere om angreb ved hjælp af AKSFR.
den enkleste måde at sikre områdeoverførsler på er at begrænse AKSFR-anmodninger til pålidelige IP-adresser. Du kan gøre det i din DNS-serverkonfiguration eller på din brandvæg. Du kan desuden bruge transaktionssignaturer.
Lær, hvordan du bruger transaktionssignaturer i BIND DNS-serveren.
få det nyeste indhold på internetsikkerhed
i din indbakke hver uge.
Del dette indlæg
forfatteren
teknisk indholdsforfatter
Tomas Andrej nidecki (også kendt som tonid) er en teknisk indholdsforfatter, der arbejder for acunetics. En journalist, oversætter, og teknisk forfatter med 25 års IT-erfaring, Tomas har været administrerende redaktør for hakin9 it-sikkerhedsmagasinet i sine tidlige år og plejede at køre en større teknisk blog dedikeret til e-mail-sikkerhed.