What is a DNS zone transfer?

A DNS zone transfer (AXFR) copies the entire DNS zone file from one nameserver to another. It is meant for replicating DNS data between primary and secondary servers. If not properly restricted, anyone can download all your DNS records.

Why is an open zone transfer dangerous?

An open zone transfer exposes your entire DNS structure: all subdomains, internal hostnames, IP addresses, mail servers, and other records. Attackers use this information for reconnaissance, mapping your infrastructure before launching attacks.

How do I disable public zone transfers?

Configure your DNS server to only allow zone transfers to specific IPs (your secondary nameservers). In BIND: allow-transfer { secondary_ip; }; In Windows DNS: Right-click zone > Properties > Zone Transfers > Only allow specific servers.

Zone Transfer Test (AXFR) - DNS Beveiligingscontrole

Wat is een DNS Zone Transfer?

Een zone transfer (AXFR) is een mechanisme om DNS-databases over servers te repliceren. Hoewel essentieel voor DNS-redundantie, stelt het toestaan van ongeautoriseerde zone transfers uw volledige DNS-structuur bloot.

Beveiligingsrisico's van Open Zone Transfers

Informatie-onthulling: Onthult alle subdomeinen en interne hostnamen Reveals all subdomains and internal hostnames
Aanvalsoppervlak in kaart brengen: Helpt aanvallers doelen te identificeren Helps attackers identify targets
Netwerktopologie blootstelling: Toont interne IP-adressen Shows internal IP addresses
Nalevingsproblemen: Kan in strijd zijn met beveiligingsbeleid May violate security policies

Hoe Zone Transfers te Beveiligen

Beperk AXFR alleen tot geautoriseerde secundaire nameservers
Gebruik TSIG (Transaction Signatures) voor authenticatie
Configureer firewallregels om poort 53 TCP te blokkeren voor ongeautoriseerde IP's
Audit regelmatig DNS-serverconfiguraties

Veelgestelde Vragen

Is zone transfer altijd slecht?

Nee, zone transfers tussen uw eigen geautoriseerde servers zijn noodzakelijk voor DNS-redundantie. Alleen ongeautoriseerde transfers zijn een beveiligingsrisico.

Wat als mijn test "kwetsbaar" toont?

Configureer uw nameserver om AXFR-verzoeken te beperken tot specifieke IP-adressen of gebruik TSIG-authenticatie.

⚠️ Zone Transfer Test

Wat is een DNS Zone Transfer?

Beveiligingsrisico's van Open Zone Transfers

Hoe Zone Transfers te Beveiligen

Veelgestelde Vragen

Key Facts

Frequently Asked Questions

⚠️ Zone Transfer Test

Wat is een DNS Zone Transfer?

Beveiligingsrisico's van Open Zone Transfers

Hoe Zone Transfers te Beveiligen

Veelgestelde Vragen

Key Facts

Frequently Asked Questions

Gerelateerde DNS-tools