Mikä on DNS-vyöhykkeen siirto?
DNS-vyöhykesiirto, joka tunnetaan myös nimellä DNS-kyselytyyppi AXFR, on prosessi, jossa DNS-palvelin siirtää kopion osasta tietokantaansa toiselle DNS-palvelimelle. Kopioitua tietokannan osaa kutsutaan vyöhykkeeksi.
Vyöhykesiirrossa käytetään TCP-protokollaa (Transmission Control Protocol), ja se on muodoltaan asiakas-palvelin-transaktio.
Vyöhykesiirtoa pyytävä asiakas voi olla orjapalvelin tai toissijainen palvelin, joka pyytää tietoja pääpalvelimelta tai ensisijaiselta palvelimelta.
Milloin DNS-vyöhykkeen siirto yleensä tapahtuu?
Vyöhykkeen siirto tapahtuu yleensä silloin, kun otat uuden DNS-palvelimen käyttöön toissijaisena DNS-palvelimena.
Kokonaan kaikki vyöhyketiedot siirretään, jotta kyseisen vyöhykkeen jo olemassa olevat tietueet voidaan kopioida. Tämä on aikaa ja resursseja vievä prosessi. Niinpä kehitettiin inkrementaaliset DNS-siirrot.
Inkrementaalisessa siirrossa palvelin hakee vain ne resurssitietueet, jotka ovat muuttuneet vyöhykkeessä, jotta se pysyy synkronoituna ensisijaisen DNS-palvelimen kanssa.
Käyttäessä inkrementaalista siirtoa verrataan SOA-tietuetta, jotta nähdään, onko muutoksia tehty. Jos ensisijaisella nimipalvelimella on korkeampi SOA-versionumero kuin toissijaisella nimipalvelimella, vyöhykesiirto aloitetaan.
Jos SOA-tietueiden versionumero on sama, vyöhykesiirtoa ei aloiteta.
Kun vyöhyketiedostoon on tehty muutoksia ensisijaisella nimipalvelimella ja DNS-ilmoitusluettelo on olemassa, ensisijainen nimipalvelin ilmoittaa välittömästi toissijaiselle nimipalvelimelle, että vyöhyketiedostoa on muutettu. Sen jälkeen se kehottaa sitä aloittamaan vyöhykesiirron odottamatta päivitysvälin umpeutumista.
Ilmoitusluettelo on luettelo IP-osoitteista, jotka määrittävät, mitkä toissijaiset nimipalvelimet saavat käyttää ensisijaisen nimipalvelimen vyöhyketietoja vyöhykesiirtoa varten.
Tässä esimerkissä näytetään, miten DNS-vyöhykesiirto suoritetaan digin avulla:
Komento:
Tässä nimipalvelin on nsztm1.digi.ninja ja vyöhykesiirto.me on verkkotunnus.
Nämä DNS-tietueet selitetään tarkemmin alla.
SOA-tietue
DNS-vyöhykkeeseen tallennetut tiedot alkavat SOA (Start Of Authority) -tietueella.
Tämä tietue sisältää tietoja seuraavista:
-
palvelimen nimi
-
vyöhykkeen ylläpitäjän nimi
-
SOA-tietueen tämänhetkisestä versiosta
-
sekuntien määrästä, jonka toissijaisen nimipalvelimen on odotettava, ennen kuin se tarkastaa päivitykset
-
sekuntien määrä, joka on odotettava, ennen kuin epäonnistunutta vyöhykesiirtoa yritetään uudelleen
-
sekuntien enimmäismäärä, jonka toissijainen nimipalvelin voi käyttää tietoja, ennen kuin ne on joko päivitettävä tai vanhentuvat
-
sekunnin oletusarvo ajalleto-live (TTL) -tiedostolle resurssitietueissa.
.
Tässä:
-
zonetransfer.me on verkkotunnuksen nimi
-
nsztm1.digi.ninja.on ensisijainen nimipalvelin
-
robin.digi.ninja. edustaa verkkotunnuksen vastuuhenkilöä
-
sähköpostiosoite (swap first . @:n tilalle)
-
2014101601- Verkkotunnuksen nykyinen SOA-sarjanumero
-
172800- sekuntien määrä, jota toissijaisen nimipalvelimen pitäisi odottaa muutospyyntöjen tekemisen välillä
-
900- sekuntien määrä, jota ensisijaisen nimipalvelimen pitäisi odottaa, jos se ei päivity kunnolla
-
1209600- Niiden sekuntien määrä, jotka toissijainen nimipalvelin voi väittää, että sillä on arvovaltaista tietoa
-
3600- Minimi TTL
MX-tietue
Max-tietue (MX-rekisteröinti) määrittää sähköpostipalvelimen, joka on vastuussa sähköpostiviestien vastaanottamisesta verkkotunnuksen puolesta. Tässä uhri käyttää Googlen sähköpostipalvelua. Tämä on hyödyllistä tietoa, kun suoritetaan mahdollisia social engineering -hyökkäyksiä.
TXT-tietue
Tekstitietue (TXT-tietue) on DNS-verkkotunnusjärjestelmän (Domain Name System) eräänlainen resurssitietue, jota käytetään tarjoamaan mahdollisuus liittää isäntäkoneeseen tai -nimiin mielivaltaista tekstiä, kuten ihmiselle luettavissa olevia tietoja, verkko- ja datakeskustietoja tai muita kirjanpitotietoja.
TXT-tietueet voivat sisältyä arvokkaita tietoja. Tästä TXT-tietueesta saimme sähköpostitunnuksen ja puhelinnumeron.
SRV-tietue
SRV-tietue (Service) osoittaa SIP-palvelimen sijainnin, yksilöi palvelun näyttämällä protokollan, isännän ja portin, jolla se toimii.
Tämä osoittaa palvelimeen nimeltä _sip._tcp.zonetransfer.me, joka kuuntelee TCP-portissa 5060 SIP-protokollaa (Session Initiation Protocol), ja www.zonetransfer.me on palvelun tarjoava isäntä. Tässä annettu prioriteetti on 0, ja painoarvo on 0.
A-record
A-record kuvaa verkkotunnuksen nimeä vastaavaan IP-osoitteeseen. A-rekisteristä saimme kolme datakeskuksen IP-osoitetta ja kolme toimiston IP-osoitetta, mikä antaa yhteensä 6 kohdetta.
CNAME
Canonical Name (CNAME) -rekisteriä (CNAME-tietue) käytetään kartoittamaan alias yhdestä verkkotunnuksesta toiseen verkkotunnukseen. Tästä voidaan nähdä testaus- ja lavastuspalvelin.
DNS-vyöhykesiirron haavoittuvuuden vaikutus
DNS-vyöhykesiirto ei tarjoa todennusta. Niinpä kuka tahansa asiakas tai joku, joka esiintyy asiakkaana, voi pyytää DNS-palvelimelta kopiota koko vyöhykkeestä.
Tämä tarkoittaa, että ellei jonkinlaista suojausta oteta käyttöön, kuka tahansa pystyy saamaan luettelon kaikista tietyn verkkotunnuksen isännistä, mikä antaa heille paljon potentiaalisia hyökkäysvektoreita.
Miten DNS-vyöhykkeensiirron haavoittuvuus estetään?
- Lupaa vyöhykkeensiirto vain luotetuilta IP-osoitteilta. Seuraavassa on esimerkki siitä, miten tämä korjataan BIND DNS-palvelimessa.
Navigoi tiedostoon /etc/named.conf ja lisää nämä:
- Käytä Transaction SIGnatures (TSIG) vyöhykesiirtoja varten
identifioi haavoittuvuudet, ennen kuin hakkerit hyödyntävät niitä.