transferurile de zone DNS folosind protocolul AXFR sunt cel mai simplu mecanism de reproducere a înregistrărilor DNS pe serverele DNS. Pentru a evita necesitatea de a edita informații pe mai multe servere DNS, puteți edita informații pe un server și puteți utiliza AXFR pentru a copia informații pe alte servere. Cu toate acestea, dacă nu vă protejați serverele, părțile rău intenționate pot utiliza AXFR pentru a obține informații despre toate gazdele dvs.
cum funcționează DNS
DNS (Domain Name System) este ca o agendă telefonică pe Internet. Este responsabil pentru rezolvarea numelor de gazdă care pot fi citite de om în adrese IP care pot fi citite de mașină. Sistemul include servere DNS autoritare care furnizează informații și cache-uri DNS care stochează temporar aceste informații pentru căutările clienților. O interogare DNS tipică este foarte simplă: un client oferă un nume de gazdă care poate fi citit de om și, ca răspuns, primește o adresă IP. Cu toate acestea, sistemul presupune că clientul de interogare cunoaște numele gazdei.
servere DNS Zone gazdă. O zonă DNS este o porțiune a spațiului de nume de domeniu care este deservită de un server DNS. De exemplu, exemplu.com Cu toate subdomeniile sale poate fi o zonă. Cu toate acestea, second.example.com poate fi, de asemenea, o zonă separată.
De ce este necesar transferul zonei DNS
DNS este un serviciu critic. Dacă un server DNS pentru o zonă nu funcționează și informațiile din cache au expirat, domeniul este inaccesibil pentru toate serviciile (web, mail și multe altele). Prin urmare, fiecare zonă ar trebui să aibă cel puțin două servere DNS. Pentru zonele mai critice, pot exista și mai multe.
cu toate acestea, o zonă poate fi mare și poate necesita modificări frecvente. Dacă editați manual datele zonei pe fiecare server separat, este nevoie de mult timp și există mult potențial pentru o greșeală. Acesta este motivul pentru care este necesar transferul zonei DNS.
puteți utiliza diferite mecanisme pentru transferul de zone DNS, dar cel mai simplu este AXFR (tehnic vorbind, AXFR se referă la protocolul utilizat în timpul unui transfer de zone DNS). Este o cerere inițiată de client. Prin urmare, puteți edita informații pe serverul DNS primar și apoi utilizați AXFR de pe serverul DNS secundar pentru a descărca întreaga zonă.
cum se inițiază un transfer de zonă DNS
inițierea unei cereri de transfer de zonă AXFR de la un server secundar este la fel de simplă ca utilizarea următoarelor comenzi dig, unde zonetransfer.me este domeniul pentru care dorim să inițiem un transfer de zonă. În primul rând, avem nevoie pentru a obține lista de servere DNS pentru domeniu:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.acum, putem obține iniția o solicitare AXFR pentru a obține o copie a zonei de la serverul primar:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)vulnerabilitatea și prevenirea AXFR
AXFR nu oferă autentificare, astfel încât orice client poate solicita unui server DNS o copie a întregii zone. Aceasta înseamnă că, dacă nu este introdus un fel de protecție, un atacator poate obține o listă a tuturor gazdelor pentru un domeniu, ceea ce le oferă o mulțime de potențiali vectori de atac.
pentru a preveni apariția acestei vulnerabilități, serverul DNS ar trebui să fie configurat pentru a permite doar transferuri de zone de la adrese IP de încredere. Următorul este un exemplu al modului în care acest lucru poate fi realizat în serverul DNS BIND.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};În plus, se recomandă utilizarea semnăturilor de tranzacție (TSIG) pentru transferurile de zone pentru a preveni încercările de falsificare IP.
Întrebări frecvente
o zonă DNS este un set de înregistrări DNS pentru un anumit domeniu. Este o unitate utilizată de serverele DNS pentru a stoca informații DNS.
Aflați cum funcționează DNS.
un transfer de zone DNS este o procedură care permite două servere DNS să-și schimbe zonele. Acest lucru este necesar pentru redundanță. Există mai multe metode de transfer de zone, dar cea mai comună folosește protocolul AXFR.
Aflați mai multe despre protocolul AXFR.
dacă transferurile de zone DNS se fac folosind protocolul AXFR, nu există criptare și nu există autentificare. Oricine poate obține întreaga zonă folosind protocolul AXFR. Hackerii rău intenționați pot utiliza informațiile conținute în zone pentru a efectua atacuri.
Aflați mai multe despre atacuri folosind AXFR.
cel mai simplu mod de a securiza transferurile de zone este de a restricționa cererile AXFR la adrese IP de încredere. Puteți face acest lucru în configurația serverului DNS sau pe firewall. În plus, puteți utiliza semnături de tranzacție.
Aflați cum să utilizați semnăturile tranzacției în serverul DNS BIND.
Obțineți cel mai recent conținut despre securitatea web
în căsuța de e-mail în fiecare săptămână.
partajați acest POST
autorul
scriitor de conținut tehnic
Tomasz Andrzej nidecki (cunoscut și sub numele de tonid) este un scriitor de conținut tehnic care lucrează pentru acunetix. Jurnalist, traducător și scriitor tehnic cu 25 de ani de experiență IT, Tomasz a fost editorul șef al revistei HAKIN9 IT Security în primii ani și a condus un blog tehnic important dedicat securității e-mailurilor.