it-swarm-eu.dev

DNS-Zonenübertragungsangriff

Kann jemand erklären, was ein DNS-Zonenübertragungsangriff ist, oder einen Link oder ein Papier geben?

Ich habe bereits gegoogelt, konnte aber nichts Sinnvolles finden.

30
user6809

Bei der DNS-Zonenübertragung wird ein DNS-Server eine Kopie eines Teils seiner Datenbank (die als "Zone" bezeichnet wird) an einen anderen DNS-Server übergeben. Auf diese Weise können mehrere DNS-Server Anfragen zu einer bestimmten Zone beantworten. Es gibt einen Master-DNS-Server und einen oder mehrere Slave-DNS-Server, und die Slaves bitten den Master um eine Kopie der Einträge für diese Zone.

Ein grundlegender DNS-Zonenübertragungsangriff ist nicht besonders ausgefallen: Sie geben nur vor, ein Sklave zu sein, und bitten den Master um eine Kopie der Zonendatensätze. Und es schickt sie ihnen; DNS ist eines dieser wirklich altmodischen Internetprotokolle, das entwickelt wurde, als jeder im Internet kannte buchstäblich den Namen und die Adresse aller anderen , und daher vertrauten sich die Server implizit gegenseitig.

Es lohnt sich, Zonenübertragungsangriffe zu stoppen, da eine Kopie Ihrer DNS-Zone möglicherweise viele topologische Informationen zu Ihrem internen Netzwerk enthält. Insbesondere wenn jemand vorhat, Ihr DNS zu untergraben, indem er es beispielsweise vergiftet oder gefälscht hat, wird es für ihn sehr nützlich sein, eine Kopie der realen Daten zu haben.

Daher empfiehlt es sich, Zonentransfers einzuschränken. Sie teilen dem Master mindestens mit, wie die IP-Adressen der Slaves lauten, und dürfen diese nicht an Dritte weitergeben. In komplexeren Einstellungen unterschreiben Sie die Überweisungen. Die komplexeren Zonenübertragungsangriffe versuchen also, diese Steuerelemente zu umgehen.

SANS haben ein Whitepaper , das dies weiter diskutiert.

49
Graham Hill

@GrahamHill hat bereits einen Zonentransfer ziemlich gut erklärt, aber ich werde versuchen, noch mehr auszufüllen.

Durch die Abfrage aller Einträge vom DNS-Server kann der Angreifer leicht feststellen, auf welche Computer zugegriffen werden kann. Bei der Zonenübertragung werden möglicherweise Netzwerkelemente angezeigt, auf die über das Internet zugegriffen werden kann, die jedoch von einer Suchmaschine wie Google (Site: . Target. ) nicht erfasst werden . Die Lektion hier ist, dass Sie nicht wollen, dass die Bösen die Informationen kostenlos haben! Sie sollten so hart wie möglich dafür arbeiten müssen ...

Eine interessante Tatsache bei DNS-Zonenübertragungen ist, dass sie normalerweise auf TCP Port 53 anstelle von UDP-Port 53) basieren. Wenn Sie sehen, dass TCP Port 53 verwendet wird, ist dies der Fall könnte Ihnen sagen, dass jemand eine Zonenübertragung durchführt.

Um eine Zonenübertragung auf einem anfälligen DNS-Server tatsächlich abzuschließen, können Sie folgende Befehle ausführen:

Windows:

nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>

Unix (nslookup ist unter Unix veraltet):

Dig -axfr @<DNS you are querying> <target>

DigiNinja hat ein sehr gutes Tutorial/eine Erklärung, wie Zonentransfers funktionieren und warum sie eingeschränkt werden sollten. Check out zonetransferme .

18
Chris Dale