DNS-zonöverföringar med AXFR-protokollet är den enklaste mekanismen för att replikera DNS-poster över DNS-servrar. För att undvika behovet av att redigera information på flera DNS-servrar kan du redigera information på en server och använda AXFR för att kopiera information till andra servrar. Men om du inte skyddar dina servrar kan skadliga parter använda AXFR för att få information om alla dina värdar.

hur DNS fungerar

DNS (Domain Name System) är som en internettelefonbok. Det är ansvarigt för att lösa mänskliga läsbara värdnamn i maskinläsbara IP-adresser. Systemet innehåller auktoritativa DNS-servrar som tillhandahåller information och DNS-cachar som lagrar den informationen tillfälligt för klientuppslag. En typisk DNS-fråga är mycket enkel: en klient tillhandahåller ett mänskligt läsbart värdnamn och får som svar en IP-adress. Systemet antar dock att den frågande klienten känner till värdnamnet.

DNS-servrar värdzoner. En DNS-zon är en del av domännamnsutrymmet som betjänas av en DNS-server. Till exempel, exempel.com med alla dess underdomäner kan vara en zon. Men, second.example.com kan också vara en separat zon.

varför behövs DNS-zonöverföring

DNS är en kritisk tjänst. Om en DNS-server för en zon inte fungerar och cachad information har gått ut är domänen otillgänglig för alla tjänster (webb, e-post och mer). Därför bör varje zon ha minst två DNS-servrar. För mer kritiska zoner kan det finnas ännu fler.

en zon kan dock vara stor och kan kräva frekventa förändringar. Om du manuellt redigerar zondata på varje server separat tar det mycket tid och det finns mycket potential för ett misstag. Det är därför DNS-zonöverföring behövs.

Du kan använda olika mekanismer för DNS-zonöverföring men den enklaste är AXFR (tekniskt sett hänvisar AXFR till protokollet som används under en DNS-zonöverföring). Det är en klientinitierad begäran. Därför kan du redigera information på den primära DNS-servern och sedan använda AXFR från den sekundära DNS-servern för att ladda ner hela zonen.

hur man initierar en DNS-zonöverföring

initiera en AXFR-zon-överföringsbegäran från en sekundär server är lika enkel som att använda följandedig kommandon, där zonetransfer.me är domänen som vi vill initiera en zonöverföring för. Först måste vi hämta listan över DNS-servrar för domänen:

$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.

Nu kan vi få initiera en AXFR-begäran för att få en kopia av zonen från den primära servern:

$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)

AXFR sårbarhet och förebyggande

AXFR erbjuder ingen autentisering, så alla klienter kan be en DNS-server om en kopia av hela zonen. Detta innebär att om inte någon form av skydd införs kan en angripare få en lista över alla värdar för en domän, vilket ger dem många potentiella attackvektorer.

för att förhindra att denna sårbarhet uppstår bör DNS-servern konfigureras för att endast tillåta zonöverföringar från betrodda IP-adresser. Följande är ett exempel på hur detta kan åstadkommas i BIND DNS-servern.

# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};

Dessutom rekommenderas det också att använda transaktionssignaturer (TSIG) för zonöverföringar för att förhindra IP-förfalskningsförsök.

Vanliga frågor

få det senaste innehållet på webbsäkerhet
i din inkorg varje vecka.

dela det här inlägget

författaren

Tomasz Andrzej nidecki
technical content writer
LinkedIn

Tomasz Andrzej nidecki (även känd som TONID) är en teknisk innehållsförfattare som arbetar för Acunetix. En journalist, översättare och teknisk författare med 25 års IT-erfarenhet, Tomasz har varit chefredaktör för hakin9 IT Security magazine i sina tidiga år och brukade driva en stor teknisk blogg tillägnad e-postsäkerhet.