Qualcuno può spiegare cos'è un attacco di trasferimento di zona DNS o fornire un collegamento, carta?
Ho già cercato su google, ma non ho trovato nulla di significativo.
Il trasferimento della zona DNS è il processo in cui un server DNS passa una copia di una parte del suo database (che viene chiamata "zona") a un altro server DNS. È come è possibile avere più di un server DNS in grado di rispondere a domande su una particolare zona; c'è un server DNS master e uno o più server DNS slave e gli slave chiedono al master una copia dei record per quella zona.
Un attacco di trasferimento di zona DNS di base non è molto elegante: fai finta di essere uno schiavo e chiedi al master una copia dei record di zona. E ti manda; Il DNS è uno di quei protocolli Internet realmente vecchia scuola che è stato progettato quando tutti su Internet conosceva letteralmente il nome e l'indirizzo di tutti gli altri , quindi i server si fidavano l'un l'altro in modo implicito.
Vale la pena bloccare gli attacchi al trasferimento di zona, in quanto una copia della tua zona DNS potrebbe rivelare molte informazioni topologiche sulla tua rete interna. In particolare, se qualcuno prevede di sovvertire il tuo DNS, avvelenandolo o spoofandolo, ad esempio, troverà molto utile avere una copia dei dati reali.
Quindi la migliore pratica è limitare i trasferimenti di zona. Al minimo, dici al maestro quali sono gli indirizzi IP degli schiavi e non a trasferirli a nessun altro. Nelle configurazioni più sofisticate, si firmano i trasferimenti. Quindi gli attacchi di trasferimento di zona più sofisticati cercano di aggirare questi controlli.
I SANS hanno un white paper che ne discute ulteriormente.
@GrahamHill ha già spiegato abbastanza bene un trasferimento di zona, ma proverò a aggiungerne altri.
Essendo in grado di interrogare tutti i record dal server DNS, l'utente malintenzionato può facilmente determinare quali macchine sono accessibili. Il trasferimento di zona può rivelare elementi di rete accessibili da Internet, ma che un motore di ricerca come Google (sito: .target. ) non rileva. Lezione qui è che non vuoi lasciare che i cattivi abbiano le informazioni gratis! Dovrebbero lavorare il più duramente possibile per questo ...
Un fatto interessante sui trasferimenti di zona DNS è che solitamente si basano sulla porta TCP 53 anziché sulla porta UDP 53. Se vedi la porta TCP 53 in uso, potrebbe dirti che qualcuno sta effettuando un trasferimento di zona.
Per completare effettivamente un trasferimento di zona su un server DNS vulnerabile, puoi impartire questi comandi:
Windows:
nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>
Unix (nslookup è deprecato su Unix):
dig -axfr @<DNS you are querying> <target>
DigiNinja ha un ottimo tutorial / spiegazione su come funzionano i trasferimenti di zona e perché dovrebbero essere limitati. Dai un'occhiata a zonetransferme .
Leggi altre domande sui tag dns dns-spoofing dnssec