阿里云云安全acp認證知識點精講之DNS區(qū)域傳送漏洞

DNS區(qū)域傳送漏洞

DNS 區(qū)域傳送（DNS zone transfer）是指一臺備用 DNS 服務器使用來自主 DNS 服務器的數(shù)據(jù)刷新自己的域（zone）數(shù)據(jù)庫，從而避免主 DNS 服務器因意外故障影響到整個域名解析服務。

漏洞描述：

一般情況下，DNS 區(qū)域傳送只在網(wǎng)絡里存在備用 DNS 服務器時才會使用；但許多 DNS 服務器卻被錯誤地配置，只要有客戶機發(fā)出請求，就會向?qū)Ψ教峁┮粋€ zone 數(shù)據(jù)庫的詳細信息。因此，不受信任的因特網(wǎng)用戶也可以執(zhí)行 DNS 區(qū)域傳送（zone transfer）操作。

惡意用戶可以通過 DNS 區(qū)域傳送快速地判定出某個特定 zone 的所有主機，并收集域信息、選擇攻擊目標，進而找出未使用的 IP 地址，繞過基于網(wǎng)絡的訪問控制竊取信息。

漏洞修復：

注意：建議您在修復前創(chuàng)建服務器快照，以免修復失敗造成損失。

區(qū)域傳送是 DNS 常用的功能，為保證使用安全，應嚴格限制允許區(qū)域傳送的主機，例如一個主 DNS 服務器應該只允許它的備用 DNS 服務器執(zhí)行區(qū)域傳送功能。

在相應的 zone、options 中添加 allow-transfer，對執(zhí)行此操作的服務器進行限制。

如：

嚴格限制允許進行區(qū)域傳送的客戶端的 IP：

allow-transfer ｛1.1.1.1; 2.2.2.2;｝

設置 TSIG key：

allow-transfer ｛key "dns1-slave1"; key "dns1-slave2";｝。

點擊下方圖片可購買阿里云云安全acp認證網(wǎng)絡課程，個性化服務，為你的升職加薪之路助力?。?！