Vad är en DNS-zonöverföring?
En zonöverföring (AXFR) är en mekanism för att replikera DNS-databaser mellan servrar. Även om det är nödvändigt för DNS-redundans, exponerar obehöriga zonöverföringar hela din DNS-struktur.
Säkerhetsrisker med öppna zonöverföringar
- Informationsavslöjande: Avslöjar alla subdomäner och interna värdnamn Reveals all subdomains and internal hostnames
- Attackytemappning: Hjälper angripare att identifiera mål Helps attackers identify targets
- Exponering av nätverkstopologi: Visar interna IP-adresser Shows internal IP addresses
- Efterlevnadsproblem: Kan bryta mot säkerhetspolicyer May violate security policies
Hur man säkrar zonöverföringar
- Begränsa AXFR till endast auktoriserade sekundära namnservrar
- Använd TSIG (Transaction Signatures) för autentisering
- Konfigurera brandväggsregler för att blockera port 53 TCP från obehöriga IP-adresser
- Granska DNS-serverkonfigurationer regelbundet
Vanliga frågor
Är zonöverföring alltid dåligt?
Nej, zonöverföringar mellan dina egna auktoriserade servrar är nödvändiga för DNS-redundans. Endast obehöriga överföringar är en säkerhetsrisk.
Vad händer om mitt test visar "sårbart"?
Konfigurera din namnserver för att begränsa AXFR-begäranden till specifika IP-adresser eller använd TSIG-autentisering.