DNSゾーン転送(AXFR)とは

DNS

AXFRプロトコルを使用したDNSゾーン転送は、DNSサーバー間でDNSレコードを複製する最も簡単なメカニズムです。 複数のDNSサーバの情報を編集する必要がないようにするには、1つのサーバの情報を編集し、AXFRを使用して他のサーバに情報をコピーできます。 ただし、サーバーを保護しないと、悪意のある当事者がAXFRを使用してすべてのホストに関する情報を取得する可能性があります。

DNSの仕組み

DNS(ドメインネームシステム)は、インターネット電話帳のようなものです。 人間が可読なホスト名を機械が可読なIPアドレスに解決する役割を果たします。 システムには、情報を提供する権限のあるDNSサーバーと、クライアント検索のためにその情報を一時的に格納するDNSキャッシュが含まれています。 典型的なDNSクエリは非常に簡単です:クライアントは、人間が読めるホスト名を提供し、応答でIPアドレスを受信します。 ただし、システムはクエリクライアントがホスト名を知っていることを前提としています。

DNSサーバーはゾーンをホストします。 DNSゾーンは、DNSサーバーによって提供されるドメイン名空間の一部です。 例えば、例。すべてのサブドメインを持つcomはゾーンである可能性があります。 しかし、second.example.com また、別のゾーンであってもよいです。

DNSゾーン転送が必要な理由

DNSは重要なサービスです。 ゾーンのDNSサーバーが機能しておらず、キャッシュされた情報の有効期限が切れている場合、ドメインはすべてのサービス(web、メールなど)にアクセスできません。 したがって、各ゾーンには少なくとも二つのDNSサーバーが必要です。 より重要なゾーンについては、さらに多くのものがあるかもしれません。

ただし、ゾーンは大きく、頻繁な変更が必要な場合があります。 各サーバー上のゾーンデータを手動で個別に編集すると、多くの時間がかかり、間違いの可能性が高くなります。 これがDNSゾーン転送が必要な理由です。DNSゾーン転送にはさまざまなメカニズムを使用できますが、最も簡単なメカニズムはAXFRです(技術的に言えば、AXFRはDNSゾーン転送中に使用されるプロトコル これは、クライアントが開始する要求です。 したがって、プライマリDNSサーバーの情報を編集し、セカンダリDNSサーバーからAXFRを使用してゾーン全体をダウンロードできます。

DNSゾーン転送を開始する方法

セカンダリサーバーからAXFRゾーン転送要求を開始するのは、次のdigコマンドを使用するのと同じくらい簡zonetransfer.me ゾーン転送を開始するドメインです。 まず、ドメインのDNSサーバーのリストを取得する必要があります。

$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.

これで、AXFR要求を開始して、プライマリサーバーからゾーンのコピーを取得できます:

$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)

AXFRの脆弱性と防止

AXFRは認証を提供していないため、どのクライアントもDNSサーバーにゾーン全体のコピーを求めることができます。 これは、ある種の保護が導入されない限り、攻撃者はドメインのすべてのホストのリストを取得できることを意味し、多くの潜在的な攻撃ベクトルを

この脆弱性が発生しないようにするには、信頼できるIPアドレスからのゾーン転送のみを許可するようにDNSサーバーを構成する必要があります。 次に、BIND DNSサーバーでこれを実行する方法の例を示します。また、IPスプーフィングの試行を防ぐために、ゾーン転送にtransaction signatures(TSIG)を使用することもお勧めします。

よくある質問

DNSゾーンは、特定のドメインのDNSレコードのセットです。 これは、DNS情報を格納するためにDNSサーバーによって使用される単位です。

DNSがどのように機能するかを学びます。

DNSゾーン転送は、2つのDNSサーバーがゾーンを交換できるようにする手順です。 これは冗長性のために必要です。 いくつかのゾーン転送方法がありますが、最も一般的な方法はAXFRプロトコルを使用します。

AXFRプロトコルについて学びます。DNSゾーン転送がAXFRプロトコルを使用して行われている場合、暗号化は行われず、認証は行われません。 誰でもAXFRプロトコルを使用してゾーン全体を取得できます。 悪意のあるハッカーは、ゾーンに含まれる情報を使用して攻撃を行う可能性があります。AXFRを使用した攻撃の詳細については、

を参照してください。ゾーン転送を保護する最も簡単な方法は、AXFR要求を信頼できるIPアドレスに制限することです。 DNSサーバーの設定またはファイアウォールで実行できます。 さらに、トランザクション署名を使用できます。

BIND DNSサーバーでトランザクション署名を使用する方法について説明します。

webセキュリティに関する最新のコンテンツを毎週受信トレイに取得します。

この投稿を共有する
著者
Tomasz Andrzej Nidecki
テクニカルコンテンツライター
linkedin

tomasz andrzej nidecki(tonidとしても知られている)は、acunetixで働いているテクニカルコンテンツライターです。 25年のIT経験を持つジャーナリスト、翻訳者、テクニカルライターであるTomaszは、初期のhakin9ITセキュリティ誌の編集長を務め、電子メールセキュリティ専用の主要な技術ブログを運営していました。

admin

コメントを残す

メールアドレスが公開されることはありません。