it-swarm-eu.dev

Útok přenosu zóny DNS

Může někdo vysvětlit, co je útok na přenos zón DNS, nebo dát nějaký odkaz, papír?

Už jsem googlil, ale nemohl jsem najít nic smysluplného.

30
user6809

Přenos zóny DNS je proces, kdy server DNS předává kopii části své databáze (která se nazývá „zóna“) na jiný server DNS. Takto můžete mít více než jeden server DNS schopný odpovídat na dotazy týkající se konkrétní zóny; existuje hlavní server DNS a jeden nebo více slave DNS serverů a slave požádají master o kopii záznamů pro tuto zónu.

Základní útok na přenos zóny DNS není moc vymyšlený: jen předstíráte, že jste otrok a požádejte pána o kopii záznamů zón. A pošle ti je; DNS je jeden z těch opravdu starých školních internetových protokolů, který byl navržen, když všichni na internetu doslova znali jméno a adresu všech ostatních , a tak si servery implicitně navzájem důvěřovaly.

Stojí za to zastavit útoky na přenos zóny, protože kopie vaší zóny DNS může odhalit mnoho topologických informací o vaší vnitřní síti. Zejména, pokud někdo plánuje podvracení vašeho DNS, například otravou nebo spoofingem, zjistí, že má kopii skutečných dat velmi užitečnou.

Nejlepší postup je tedy omezit přenosy zóny. Holým minimem řeknete masteru, jaké jsou IP adresy slave a nepřenášet nikomu jinému. V sofistikovanějších nastaveních podepisujete převody. Takže sofistikovanější útoky na přenos zón se snaží tyto ovládací prvky obejít.

SANS mají bílá kniha , která o tom dále diskutuje.

49
Graham Hill

@GrahamHill již vysvětlil přenos zóny docela dobře, ale pokusím se vyplnit další.

Útočník může pomocí dotazu na všechny záznamy ze serveru DNS snadno určit, které počítače jsou přístupné. Přenos zóny může odhalit síťové prvky, které jsou přístupné z Internetu, ale že vyhledávací stroj, jako je Google (site: . Target. ), se nezachytí. . Lekce je, že nechcete nechat padouchy informace zdarma! Měli by za to pracovat tak tvrdě, jak je to možné ...

Zajímavým faktem o přenosech zóny DNS je to, že se obvykle spoléhají na TCP port 53 namísto portu UDP 53. Pokud vidíte TCP port 53 v použití), vám může říct, že někdo provádí přenos zóny.

Chcete-li skutečně dokončit přenos zóny na zranitelném serveru DNS, můžete vydat tyto příkazy:

Okna:

nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>

Unix (nslookup je v Unixu zastaralý):

Dig -axfr @<DNS you are querying> <target>

DigiNinja má velmi dobrý návod/vysvětlení toho, jak fungují přenosy zón a proč by měly být omezeny. Podívejte se zonetransferme .

18
Chris Dale