it-swarm-eu.dev

Attacco al trasferimento di zona DNS

Qualcuno può spiegare che cosa è l'attacco di trasferimento di zona DNS o fornire qualsiasi collegamento, carta?

Ho già cercato su Google, ma non sono riuscito a trovare nulla di significativo.

30
user6809

Il trasferimento di zona DNS è il processo in cui un server DNS passa una copia di parte del suo database (che viene chiamato "zona") a un altro server DNS. È così che puoi avere più di un server DNS in grado di rispondere alle domande su una particolare zona; esiste un server DNS master e uno o più server DNS slave e gli slave chiedono al master una copia dei record per quella zona.

Un attacco di trasferimento di zona DNS di base non è molto elaborato: fai semplicemente finta di essere uno schiavo e chiedi al master una copia dei record di zona. E ti manda loro; Il DNS è uno di quei protocolli Internet di vecchia scuola che sono stati progettati quando tutti su Internet letteralmente conoscevano il nome e l'indirizzo di tutti gli altri , e quindi i server si fidavano reciprocamente implicitamente.

Vale la pena fermare gli attacchi al trasferimento di zona, poiché una copia della zona DNS potrebbe rivelare molte informazioni topologiche sulla rete interna. In particolare, se qualcuno ha intenzione di sovvertire il tuo DNS, avvelenandolo o falsificandolo, ad esempio, troveranno molto utile avere una copia dei dati reali.

Quindi la migliore pratica è limitare i trasferimenti di zona. Come minimo, dici al master quali sono gli indirizzi IP degli slave e non trasferirli a nessun altro. In allestimenti più sofisticati, firmi i trasferimenti. Quindi gli attacchi di trasferimento di zona più sofisticati cercano di aggirare questi controlli.

I SANS hanno n white paper che ne discute ulteriormente.

49
Graham Hill

@GrahamHill ha già spiegato abbastanza bene un trasferimento di zona, ma proverò a riempire un po 'di più.

Potendo eseguire una query per tutti i record dal server DNS, l'utente malintenzionato può facilmente determinare quali macchine sono accessibili. Il trasferimento di zona può rivelare elementi di rete accessibili da Internet, ma che un motore di ricerca come Google (sito: . Target. ) non risponde . La lezione qui è che non vuoi lasciare che i cattivi abbiano le informazioni gratis! Dovrebbero lavorare il più duramente possibile per questo ...

Un fatto interessante sui trasferimenti di zona DNS è che di solito si basano su TCP 53 invece della porta UDP 53. Se vedi TCP 53 in uso, potrebbe dirti che qualcuno sta effettuando un trasferimento di zona.

Per completare effettivamente un trasferimento di zona su un server DNS vulnerabile è possibile emettere questi comandi:

Finestre:

nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>

Unix (nslookup è deprecato su Unix):

Dig -axfr @<DNS you are querying> <target>

DigiNinja ha un ottimo tutorial/spiegazione su come funzionano i trasferimenti di zona e perché dovrebbero essere limitati. Dai un'occhiata a zonetransferme .

18
Chris Dale