Zranitelnost přenosu zóny DNS

14. července 2020
14. července 2020

Co je to přenos zóny DNS?

Přenos zóny DNS, známý také jako dotaz DNS typu AXFR, je proces, při kterém server DNS předává kopii části své databáze jinému serveru DNS. Část databáze, která je replikována, se nazývá zóna.

Přenos zóny využívá protokol TCP (Transmission Control Protocol) a má podobu transakce mezi klientem a serverem.

Klientem požadujícím přenos zóny může být podřízený nebo sekundární server, který požaduje data od hlavního nebo primárního serveru.

Kdy obvykle dochází k přenosu zóny DNS?

K přenosu zóny obvykle dochází při zprovoznění nového serveru DNS jako sekundárního serveru DNS.

Proběhne úplný přenos všech informací o zóně s cílem replikovat již existující záznamy pro danou zónu. Jedná se o časově a zdrojově náročný proces. Proto byly vyvinuty přírůstkové přenosy DNS.

Při přírůstkovém přenosu server načítá pouze záznamy o prostředcích, které se v zóně změnily, takže zůstává synchronizován s primárním serverem DNS.

Při použití přírůstkového přenosu se porovnává záznam SOA, aby se zjistilo, zda došlo k nějakým změnám. Pokud má primární jmenný server vyšší číslo verze záznamu SOA než sekundární jmenný server, bude zahájen přenos zóny.

Pokud je číslo verze záznamů SOA stejné, přenos zóny nebude zahájen.

Pokud byly v souboru zóny na primárním jmenném serveru provedeny změny a existuje seznam oznámení DNS, primární jmenný server okamžitě oznámí sekundárnímu jmennému serveru, že soubor zóny byl změněn. Poté mu dá pokyn, aby zahájil přenos zóny, aniž by čekal na vypršení intervalu obnovení.

Oznamovací seznam je seznam IP adres, které určují, které sekundární jmenné servery mají povolen přístup k informacím o zóně na primárním jmenném serveru pro účely přenosu zóny.

Tady je příklad, který ukazuje, jak provést přenos zóny DNS pomocí dig:

Příkaz:

 dig axfr @nsztm1.digi.ninja zonetransfer.me 

Tady je jmenný server nsztm1.digi.ninja a přenos zóny.me je název domény.

Tyto záznamy DNS jsou dále vysvětleny níže.

Záznam SOA

Informace uložené v zóně DNS začínají záznamem SOA (Start Of Authority).

Tento záznam obsahuje informace o:

  1. jméno serveru

  2. jméno správce zóny

  3. aktuální verzi záznamu SOA

  4. počet sekund, které by měl sekundární nameserver počkat, než zkontroluje případné aktualizace

  5. .

  6. počet sekund, které se mají čekat před opakováním neúspěšného přenosu zóny

  7. maximální počet sekund, po které může sekundární jmenný server používat data, než musí být buď obnovena, nebo vyprší jejich platnost

  8. přednastavený počet sekund pro čas-to-live (TTL) u záznamů o prostředcích.

Tady:

  1. zonetransfer.me je název domény

  2. nsztm1.digi.ninja.je primární jmenný server

  3. robin.digi.ninja. představuje osobu odpovědnou za doménu

  4. e-mailová adresa (vyměňte první . za @)

  5. 2014101601- aktuální sériové číslo SOA pro doménu

  6. 172800- počet sekund, které by měl sekundární jmenný server čekat mezi požadavky na změny

  7. 900- počet sekund, které by měl primární jmenný server čekat, pokud se mu nepodaří správně obnovit

  8. 1209600- Počet sekund, po které může sekundární jmenný server prohlásit, že má autoritativní informace

  9. 3600- Minimální TTL

Záznam MX

Záznam o výměně pošty (MX záznam) určuje poštovní server odpovědný za přijímání e-mailových zpráv jménem názvu domény. Zde oběť používá poštovní službu společnosti Google. To je užitečná informace při provádění jakýchkoli útoků sociálního inženýrství.

Záznam TXT

Záznam TXT (Text) je typ záznamu o prostředku v systému DNS (Domain Name System), který se používá k poskytnutí možnosti přiřadit libovolný text k hostiteli nebo jménům, například lidsky čitelné informace, síť, datové centrum nebo jiné účetní informace.

Záznamy TXT mohou obsahovat cenné informace. Z tohoto záznamu TXT jsme získali e-mailové ID a telefonní číslo.

Záznam SRV

Záznam SRV (Service) ukazuje umístění serveru SIP, identifikuje službu uvedením protokolu, hostitele a portu, na kterém běží.

Tento záznam ukazuje na server s názvem _sip._tcp.zonetransfer.me naslouchající na portu TCP 5060 pro protokol SIP (Session Initiation Protocol) a www.zonetransfer.me je hostitel poskytující službu. Zde je uvedena priorita 0 a váha 0.

Záznam A

Záznam mapuje název domény na odpovídající adresu IP. Ze záznamu A jsme získali tři IP adresy datového centra a tři IP adresy kanceláře, což dává celkem 6 cílů.

CNAME

Záznam CNAME (Canonical Name) se používá k mapování aliasu jednoho doménového jména na jiné doménové jméno. Z toho je patrný testovací a staging server.

Dopad zranitelnosti přenosu zóny DNS

Přenos zóny DNS nenabízí žádné ověření. Každý klient nebo někdo, kdo se za klienta vydává, tak může server DNS požádat o kopii celé zóny.

To znamená, že pokud není zavedena nějaká ochrana, je kdokoli schopen získat seznam všech hostitelů pro danou doménu, což mu poskytuje spoustu potenciálních vektorů útoku.

Jak zabránit zranitelnosti přenosu zóny DNS?

  • Povolte přenos zóny pouze z důvěryhodných IP. Následující příklad ukazuje, jak tuto chybu odstranit v serveru DNS BIND.

Přejděte do souboru /etc/named.conf a přidejte následující:

 ACL trusted-servers { 173.88.21.10; // ns1 184.144.221.82; // ns2 }; zone securitytrails.com { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-servers; }; }; 
  • Používejte transakční signály (TSIG) pro přenosy zón
Zkontrolujte zabezpečení svých webových stránek ještě dnes a

identifikujte zranitelnosti dříve, než je zneužijí hackeři.

ZAČNĚTE

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.