Co to jest DNS zone transfer?
Transfer strefy DNS, znany również jako zapytanie DNS typu AXFR, jest procesem, w którym serwer DNS przekazuje kopię części swojej bazy danych do innego serwera DNS. Część bazy danych, która jest replikowana, jest znana jako strefa.
Transfer strefy wykorzystuje protokół TCP (Transmission Control Protocol) i ma postać transakcji klient-serwer.
Klient żądający transferu strefy może być serwerem podrzędnym lub serwerem drugorzędnym, żądającym danych od serwera nadrzędnego lub serwera głównego.
Kiedy zwykle występuje transfer strefy DNS?
Transfer strefy zwykle występuje, gdy uruchamiasz nowy serwer DNS jako wtórny serwer DNS.
Pełny transfer wszystkich informacji o strefie będzie miał miejsce w celu replikacji już istniejących rekordów dla tej strefy. Jest to proces czasochłonny i wymagający dużych zasobów. Dlatego opracowano przyrostowe transfery DNS.
W transferze przyrostowym serwer pobiera tylko rekordy zasobów, które uległy zmianie w obrębie strefy, dzięki czemu pozostaje zsynchronizowany z podstawowym serwerem DNS.
Podczas korzystania z transferu przyrostowego porównywany jest rekord SOA, aby sprawdzić, czy nie zaszły jakieś zmiany. Jeśli podstawowy serwer nazw ma wyższy numer wersji rekordu SOA niż wtórny serwer nazw, wówczas zostanie zainicjowany transfer strefy.
Jeśli numery wersji rekordów SOA są takie same, transfer strefy nie zostanie zainicjowany.
Gdy zmiany zostały wprowadzone do pliku strefy na podstawowym serwerze nazw i istnieje lista DNS notify, podstawowy serwer nazw natychmiast powiadamia wtórny serwer nazw, że plik strefy został zmodyfikowany. Następnie instruuje go, aby zainicjował transfer strefy bez czekania na wygaśnięcie interwału odświeżania.
Lista notify to lista adresów IP określająca, które wtórne serwery nazw mają prawo dostępu do informacji o strefie na podstawowym serwerze nazw w celu transferu strefy.
Tutaj znajduje się przykład pokazujący, jak wykonać transfer strefy DNS przy użyciu dig:
Polecenie:
Tutaj nsztm1.digi.ninja jest serwerem nazw, a zonetransfer.me jest nazwą domeny.
Te rekordy DNS są dokładniej wyjaśnione poniżej.
Rekord SOA
Informacje przechowywane w strefie DNS zaczynają się od rekordu SOA (Start Of Authority).
Rekord ten zawiera informacje o:
-
nazwie serwera
-
nazwie administratora strefy
-
aktualnej wersji rekordu SOA
-
liczbie sekund, które powinien odczekać drugorzędny serwer nazw przed sprawdzeniem aktualizacji
-
liczba sekund, jaką należy odczekać przed ponowną próbą nieudanego transferu strefy
-
maksymalna liczba sekund, przez jaką wtórny serwer nazw może korzystać z danych, zanim zostaną one odświeżone lub wygasną
-
domyślna liczba sekund dla pliku time-to-live (TTL) na rekordach zasobów.
.
Tutaj:
-
zonetransfer.me jest nazwą domeny
-
nsztm1.digi.ninja.jest głównym serwerem nazw
-
robin.digi.ninja. reprezentuje osobę odpowiedzialną za domenę
-
adres e-mail (zamień pierwszą . Liczba sekund, po których wtórny serwer nazw może twierdzić, że posiada autorytatywne informacje
-
3600- Minimalny TTL
Rekord MX
Rekord Mail eXchange (rekord MX) określa serwer pocztowy odpowiedzialny za przyjmowanie wiadomości e-mail w imieniu nazwy domeny. W tym przypadku ofiara korzysta z usługi pocztowej Google. Jest to przydatna informacja przy przeprowadzaniu ataków socjotechnicznych.
Rekord TXT
Rekord tekstowy (TXT) jest rodzajem rekordu zasobu w systemie nazw domen (DNS) używanym do zapewnienia możliwości powiązania dowolnego tekstu z hostem lub nazwami, takimi jak informacje czytelne dla człowieka, sieć, centrum danych lub inne informacje księgowe.
Rekordy TXT mogą zawierać cenne informacje. Z tego rekordu TXT uzyskaliśmy identyfikator e-mail i numer telefonu.
Rekord SRV
Rekord SRV (Service) pokazuje lokalizację serwera SIP, identyfikuje usługę przez wskazanie protokołu, hosta i portu, na którym jest uruchomiona.
To wskazuje na serwer o nazwie _sip._tcp.zonetransfer.me nasłuchujący na porcie TCP 5060 dla protokołu SIP (Session Initiation Protocol), a www.zonetransfer.me jest hostem świadczącym usługę. Nadany priorytet wynosi 0, a waga 0.
Rekord A
Rekord A mapuje nazwę domeny na odpowiadający jej adres IP. Z rekordu A otrzymaliśmy trzy adresy IP centrum danych i trzy adresy IP biura, co daje w sumie 6 adresów docelowych.
CNAME
Rekord nazwy kanonicznej (CNAME) jest używany do mapowania aliasu z jednej nazwy domeny na inną nazwę domeny. Na tej podstawie możemy zobaczyć serwer testowy i inscenizacyjny.
Impact of DNS Zone Transfer Vulnerability
DNS zone transfer nie oferuje żadnego uwierzytelniania. Tak więc, każdy klient lub ktoś podszywający się pod klienta może poprosić serwer DNS o kopię całej strefy.
To oznacza, że jeśli nie zostanie wprowadzony jakiś rodzaj ochrony, każdy jest w stanie uzyskać listę wszystkich hostów dla danej domeny, co daje mu wiele potencjalnych wektorów ataku.
Jak zapobiec podatności DNS Zone Transfer Vulnerability?
- Wyłącznie zezwalaj na transfer strefy z zaufanych IP. Poniżej znajduje się przykład, jak to naprawić w serwerze BIND DNS.
Przejdź do /etc/named.conf i dodaj następujące elementy:
- Use Transaction SIGnatures (TSIG) for zone transfers
zidentyfikuj luki w zabezpieczeniach, zanim hakerzy je wykorzystają.
.