DNS zone transfers using the AXFR protocol are the simplest mechanism to replicate DNS records across DNS servers. Para evitar a necessidade de editar informações em vários servidores DNS, você pode editar informações em um servidor e usar AXFR para copiar informações para outros servidores. No entanto, se você não proteger seus servidores, as partes maliciosas podem usar AXFR para obter informações sobre todos os seus hosts.
How DNS Works
DNS (Domain Name System) is like an Internet phonebook. É responsável pela resolução de nomes de máquinas legíveis em endereços IP legíveis por máquina. O sistema inclui servidores DNS autorizados que fornecem informações e caches DNS que armazenam essas informações temporariamente para pesquisas de clientes. Uma consulta DNS típica é muito simples: um cliente fornece um hostname legível e em resposta recebe um endereço IP. No entanto, o sistema assume que o cliente inquiridor conhece o nome da máquina.
DNS servidores Host zones. Uma zona DNS é uma parte do espaço de nome de domínio que é servido por um servidor DNS. Por exemplo.comunicação com todos os seus subdomínios pode ser uma zona. No entanto, second.example.com pode também ser uma zona separada.
por que é necessária a transferência da zona DNS
DNS é um serviço crítico. Se um servidor de DNS para uma zona não estiver funcionando e a informação em cache tiver expirado, o domínio é inacessível a todos os serviços (web, mail, e muito mais). Portanto, cada zona deve ter pelo menos dois servidores DNS. Para zonas mais críticas, pode haver ainda mais.
no entanto, uma zona pode ser grande e pode exigir mudanças frequentes. Se você editar manualmente dados de zona em cada servidor separadamente, ele leva muito tempo e há um monte de potencial para um erro. É por isso que a transferência da zona DNS é necessária.
Você pode usar diferentes mecanismos para transferência de zona DNS, mas o mais simples é AXFR (tecnicamente falando, AXFR refere-se ao protocolo usado durante uma transferência de zona DNS). É um pedido iniciado por um cliente. Portanto, você pode editar informações no servidor DNS primário e, em seguida, usar AXFR do servidor DNS secundário para baixar toda a zona.
Como iniciar uma transferência de zona DNS
iniciar um pedido de transferência de zona AXFR de um servidor secundário é tão simples como usar os seguintes comandos dig
zonetransfer.me é o domínio para o qual queremos iniciar uma transferência de zona. Primeiro, precisamos obter a lista de servidores DNS para o domínio
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.
Agora, podemos obter iniciar um pedido AXFR para obter uma cópia da zona do servidor primário:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)
vulnerabilidade e prevenção AXFR
AXFR não oferece autenticação, de modo que qualquer cliente pode pedir a um servidor DNS uma cópia de toda a zona. Isto significa que a menos que algum tipo de proteção seja introduzida, um atacante pode obter uma lista de todos os hosts para um domínio, o que lhes dá um monte de vetores de ataque potenciais.
A fim de evitar que esta vulnerabilidade ocorra, o servidor DNS deve ser configurado para permitir apenas transferências de zona de endereços IP confiáveis. O seguinte é um exemplo de como isso pode ser realizado no servidor BIND DNS.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};
adicionalmente, também é recomendado usar assinaturas de transação (TSIG) para transferências de zona para evitar tentativas de spoofing IP.
Perguntas Mais Frequentes
uma zona DNS é um conjunto de Registos DNS para um dado domínio. É uma unidade usada por servidores DNS para armazenar informações DNS.
Saiba como o DNS funciona.
uma transferência de zona DNS é um procedimento que permite que dois servidores DNS troquem as suas zonas. Isto é necessário para a redundância. Existem vários métodos de transferência de zona, mas o mais comum usa o protocolo AXFR.
Aprenda sobre o protocolo AXFR.
Se as transferências da zona DNS forem feitas usando o protocolo AXFR, não há encriptação e não há autenticação. Qualquer um consegue toda a zona usando o protocolo AXFR. Hackers maliciosos podem usar as informações contidas em zonas para realizar ataques.
Saiba mais sobre ataques usando AXFR.
a forma mais simples de garantir as transferências de zonas é restringir os pedidos AXFR aos endereços IP de confiança. Pode fazê-lo na configuração do seu servidor DNS ou na sua firewall. Você também pode usar assinaturas de transação.
Aprenda como usar as assinaturas de transação no servidor de BIND DNS.
coloque o conteúdo mais recente na segurança da web
na sua caixa de entrada todas as semanas.
PARTILHAR ESTE POST
O AUTOR
Conteúdo técnico Escritor
Tomasz Andrzej Nidecki (também conhecido como tonid) é uma Técnica de Escritor de Conteúdo de trabalho para Acunetix. Jornalista, tradutor e escritor técnico com 25 anos de experiência em TI, Tomasz tem sido o Editor-chefe da revista de segurança de TI hakin9 em seus primeiros anos e usou para executar um grande blog técnico dedicado à segurança de E-mail.