DNS-soneoverføringer ved HJELP AV AXFR-protokollen er den enkleste mekanismen for å replikere DNS-poster på TVERS AV DNS-servere. FOR å unngå å måtte redigere informasjon på FLERE DNS-servere, kan du redigere informasjon på en server og bruke AXFR til å kopiere informasjon til andre servere. Men hvis du ikke beskytter serverne dine, kan ondsinnede parter bruke AXFR til å få informasjon om alle vertene dine.
HVORDAN DNS Fungerer
DNS (Domain Name System) er som En internett-telefonbok. Det er ansvarlig for å løse menneskelesbare vertsnavn til maskinlesbare IP-adresser. Systemet inneholder autoritative DNS-servere som gir informasjon og DNS-cacher som lagrer denne informasjonen midlertidig for klientoppslag. En TYPISK DNS-spørring er veldig enkel: en klient gir et lesbart vertsnavn og mottar som svar EN IP-adresse. Systemet forutsetter imidlertid at spørring klienten kjenner vertsnavnet.
DNS-servere er vert for soner. EN DNS-sone er en del av domenenavnområdet som betjenes AV EN DNS-server. For eksempel, eksempel.com med alle sine underdomener kan være en sone. Imidlertid second.example.com kan også være en egen sone.
HVORFOR ER DNS Soneoverføring Nødvendig
DNS ER en kritisk tjeneste. HVIS EN DNS-server for en sone ikke fungerer og bufret informasjon er utløpt, er domenet utilgjengelig for alle tjenester(web, e-post og mer). Derfor bør hver sone ha minst TO DNS-servere. For mer kritiske soner kan det være enda mer.
en sone kan imidlertid være stor og kan kreve hyppige endringer. Hvis du manuelt redigerer sonedata på hver server separat, tar det mye tid, og det er mye potensial for en feil. DET er DERFOR DNS-soneoverføring er nødvendig.
du kan bruke forskjellige mekanismer for DNS-soneoverføring, men DEN enkleste ER AXFR (TEKNISK sett refererer AXFR til protokollen som brukes under EN DNS-soneoverføring). Det er en klientinitiert forespørsel. Derfor kan du redigere informasjon på den primære DNS-serveren og deretter BRUKE AXFR fra den sekundære DNS-serveren til å laste ned hele sonen.
Slik Starter DU EN DNS-Soneoverføring
Starte EN AXFR-soneoverføringsforespørsel fra en sekundær server er like enkelt som å bruke følgendedig kommandoer, hvor zonetransfer.me er domenet som vi ønsker å starte en soneoverføring for. Først må vi få listen OVER DNS-servere for domenet:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.nå kan vi starte EN AXFR-forespørsel for å få en kopi av sonen fra den primære serveren:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)Axfr Sårbarhet og Forebygging
AXFR tilbyr ingen godkjenning, slik at enhver klient kan be EN DNS-server for en kopi av hele sonen. Dette betyr at med mindre noen form for beskyttelse er introdusert, kan en angriper få en liste over alle verter for et domene, noe som gir dem mange potensielle angrepsvektorer.
FOR å forhindre at dette sikkerhetsproblemet oppstår, BØR DNS-serveren konfigureres til å bare tillate soneoverføringer fra klarerte IP-adresser. Følgende er et eksempel på hvordan dette kan oppnås I BIND DNS-serveren.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};i Tillegg anbefales det også å bruke transaksjonssignaturer (TSIG) for soneoverføringer for å forhindre forsøk på ip-forfalskning.
Vanlige spørsmål
EN DNS-sone er et SETT MED DNS-poster for et gitt domene. Det er en enhet som BRUKES AV DNS-servere til å lagre DNS-informasjon.
Lær hvordan DNS fungerer.
EN DNS-soneoverføring er en prosedyre som lar TO DNS-servere utveksle sine soner. Dette er nødvendig for redundans. Det finnes flere soneoverføringsmetoder, men DEN vanligste bruker AXFR-protokollen.
Lær OM AXFR-protokollen.
HVIS DNS-soneoverføringer gjøres ved HJELP AV AXFR-protokollen, er det ingen kryptering og det er ingen godkjenning. Alle kan få hele sonen ved HJELP AV AXFR-protokollen. Ondsinnede hackere kan bruke informasjonen i soner for å utføre angrep.
Lær mer om angrep ved HJELP AV AXFR.
den enkleste måten å sikre soneoverføringer på er å begrense AXFR-forespørsler til klarerte IP-adresser. Du kan gjøre DET i DNS-serverkonfigurasjonen eller på brannmuren. Du kan i tillegg bruke transaksjonssignaturer.
Lær hvordan du bruker transaksjonssignaturer i BIND DNS-serveren.
Få det siste innholdet på web sikkerhet
i innboksen din hver uke.
DEL DETTE INNLEGGET
FORFATTEREN
tomasz andrzej nidecki (OGSÅ KJENT SOM TONID) er en teknisk innhold skribent som arbeider for acunetix. En journalist, oversetter Og teknisk forfatter Med 25 års IT-erfaring, Tomasz Har vært Administrerende Redaktør for hakin9 IT Security magazine i sine tidlige år og pleide å kjøre en stor teknisk blogg dedikert til e-postsikkerhet.