transfery stref DNS przy użyciu protokołu AXFR są najprostszym mechanizmem do replikowania rekordów DNS na serwerach DNS. Aby uniknąć konieczności edytowania informacji na wielu serwerach DNS, można edytować informacje na jednym serwerze i używać AXFR do kopiowania informacji na inne serwery. Jeśli jednak nie chronisz swoich serwerów, złośliwe podmioty mogą korzystać z AXFR, aby uzyskać informacje o wszystkich hostach.
jak działa DNS
DNS (Domain Name System) jest jak internetowa książka telefoniczna. Jest odpowiedzialny za rozdzielanie nazw hostów czytelnych dla człowieka na adresy IP czytelne dla komputera. System zawiera autorytatywne serwery DNS, które dostarczają informacji i pamięci podręczne DNS, które tymczasowo przechowują te informacje w celu wyszukiwania Klientów. Typowe zapytanie DNS jest bardzo proste: Klient podaje czytelną dla człowieka nazwę hosta, a w odpowiedzi otrzymuje adres IP. System zakłada jednak, że klient zapytujący zna nazwę hosta.
strefy hosta serwerów DNS. Strefa DNS to część przestrzeni nazw domen, która jest obsługiwana przez serwer DNS. Na przykład, przykład.com ze wszystkimi jego poddomenami może być strefą. Jednakże, second.example.com może być również oddzielną strefą.
dlaczego potrzebny jest Transfer strefy DNS
DNS jest usługą krytyczną. Jeśli serwer DNS dla strefy nie działa, a buforowane informacje wygasły, domena jest niedostępna dla wszystkich usług (sieci web, poczty i innych). Dlatego każda strefa powinna mieć co najmniej dwa serwery DNS. W przypadku bardziej krytycznych stref może być ich jeszcze więcej.
jednak strefa może być duża i może wymagać częstych zmian. Jeśli ręcznie edytujesz dane strefy na każdym serwerze osobno, zajmuje to dużo czasu i istnieje wiele możliwości popełnienia błędu. Dlatego potrzebny jest transfer strefy DNS.
Możesz użyć różnych mechanizmów transferu strefy DNS, ale najprostszym jest AXFR (technicznie rzecz biorąc, AXFR odnosi się do protokołu używanego podczas transferu strefy DNS). Jest to żądanie zainicjowane przez Klienta. Dlatego możesz edytować informacje na głównym serwerze DNS, a następnie użyć AXFR z dodatkowego serwera DNS, aby pobrać całą strefę.
jak zainicjować Transfer strefy DNS
inicjowanie żądania transferu strefy AXFR z serwera dodatkowego jest tak proste, jak użycie następujących poleceńdig
, gdzie zonetransfer.me jest domeną, dla której chcemy zainicjować transfer strefy. Najpierw musimy uzyskać listę serwerów DNS dla domeny:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.
teraz możemy uzyskać inicjację żądania AXFR, aby uzyskać kopię strefy z głównego serwera:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)
luka w zabezpieczeniach i zapobieganie zagrożeniom AXFR
AXFR nie oferuje uwierzytelniania, więc każdy klient może poprosić serwer DNS o kopię całej strefy. Oznacza to, że jeśli nie zostanie wprowadzony jakiś rodzaj ochrony, atakujący może uzyskać listę wszystkich hostów dla domeny, co daje mu wiele potencjalnych wektorów ataku.
aby zapobiec wystąpieniu tej luki, serwer DNS powinien być skonfigurowany tak, aby zezwalał tylko na transfery stref z zaufanych adresów IP. Poniżej znajduje się przykład tego, jak można to osiągnąć w serwerze BIND DNS.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};
dodatkowo zaleca się używanie podpisów transakcji (TSIG) do przesyłania stref, aby zapobiec próbom fałszowania adresów IP.
Często zadawane pytania
Strefa DNS to zbiór rekordów DNS dla danej domeny. Jest to jednostka używana przez serwery DNS do przechowywania informacji DNS.
Dowiedz się, jak działa DNS.
transfer strefy DNS jest procedurą, która pozwala dwóm serwerom DNS wymieniać swoje strefy. Jest to potrzebne do redundancji. Istnieje kilka metod transferu strefowego, ale najczęstsza z nich wykorzystuje protokół AXFR.
poznaj protokół AXFR.
Jeśli transfery strefy DNS są wykonywane przy użyciu protokołu AXFR, nie ma szyfrowania ani uwierzytelniania. Każdy może uzyskać całą strefę za pomocą protokołu AXFR. Złośliwi hakerzy mogą wykorzystywać informacje zawarte w strefach do przeprowadzania ataków.
Dowiedz się więcej o atakach za pomocą AXFR.
najprostszym sposobem na bezpieczne transfery strefowe jest ograniczenie żądań AXFR do zaufanych adresów IP. Możesz to zrobić w konfiguracji serwera DNS lub na zaporze. Dodatkowo można używać podpisów transakcji.
Dowiedz się, jak używać podpisów transakcji na serwerze BIND DNS.
Co tydzień Otrzymuj najnowsze treści dotyczące bezpieczeństwa w sieci
.
Udostępnij ten POST
autor
technical content writer
Tomasz Andrzej Nidecki (znany również jako tonid) jest autorem treści technicznych pracującym dla Acunetix. Dziennikarz, tłumacz i pisarz techniczny z 25-letnim doświadczeniem IT, Tomasz był redaktorem naczelnym hakin9 IT Security magazine w swoich wczesnych latach i prowadził duży blog techniczny poświęcony bezpieczeństwu poczty e-mail.