it-swarm-id.com

Serangan transfer zona DNS

Adakah yang bisa menjelaskan apa itu serangan transfer zona DNS atau memberikan tautan, kertas?

Saya sudah googled, tetapi tidak dapat menemukan sesuatu yang bermakna.

30
user6809

Transfer Zona DNS adalah proses di mana server DNS melewati salinan bagian dari database itu (yang disebut "zona") ke server DNS lain. Begitulah cara Anda dapat memiliki lebih dari satu server DNS yang dapat menjawab pertanyaan tentang zona tertentu; ada server Master DNS, dan satu atau lebih server DNS Slave, dan para budak meminta master untuk salinan catatan untuk zona itu.

Serangan Transfer Zona DNS dasar tidak terlalu mewah: Anda hanya berpura-pura menjadi budak dan meminta master untuk salinan catatan zona. Dan itu mengirim Anda mereka; DNS adalah salah satu protokol Internet yang benar-benar kuno yang dirancang ketika semua orang di Internet secara harfiah tahu nama dan alamat orang lain , dan karenanya server saling mempercayai satu sama lain secara implisit.

Sebaiknya hentikan serangan transfer zona, karena salinan zona DNS Anda dapat mengungkapkan banyak informasi topologi tentang jaringan internal Anda. Secara khusus, jika seseorang berencana untuk menumbangkan DNS Anda, dengan meracuni atau menipu, misalnya, mereka akan merasa memiliki salinan data nyata sangat berguna.

Jadi praktik terbaik adalah membatasi transfer Zone. Minimal, Anda memberi tahu master apa alamat IP dari budak itu dan tidak mentransfer ke orang lain. Dalam pengaturan yang lebih canggih, Anda menandatangani transfer. Jadi serangan transfer zona yang lebih canggih mencoba dan mengatasi kontrol ini.

SANS memiliki kertas putih yang membahas ini lebih lanjut.

49
Graham Hill

@GrahamHill sudah menjelaskan transfer zona sudah cukup bagus, tapi saya akan mencoba untuk mengisinya lagi.

Dengan dapat meminta semua catatan dari server DNS, penyerang dapat dengan mudah menentukan mesin mana yang dapat diakses. Transfer zona dapat mengungkapkan elemen jaringan yang dapat diakses dari Internet, tetapi mesin pencari seperti Google (situs: . Target. ) tidak mengambil . Pelajaran di sini adalah Anda tidak ingin membiarkan orang jahat mendapatkan informasi secara gratis! Mereka harus bekerja sekeras mungkin untuk itu ...

Fakta menarik tentang transfer zona DNS adalah bahwa mereka biasanya bergantung pada TCP port 53 bukan port UDP 53. Jika Anda melihat TCP port 53 digunakan, itu dapat memberi tahu Anda bahwa seseorang sedang melakukan transfer zona.

Untuk benar-benar menyelesaikan transfer zona pada server DNS yang rentan, Anda dapat mengeluarkan perintah ini:

Windows:

nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>

Unix (nslookup sudah tidak digunakan lagi di Unix):

Dig -axfr @<DNS you are querying> <target>

DigiNinja memiliki tutorial/penjelasan yang sangat bagus tentang cara kerja transfer zona dan mengapa mereka harus dibatasi. Lihat zonetransferme .

18
Chris Dale