DNS 域传送漏洞
图片展示现象
这里借用一张图片,现在DNS 域传送漏洞很不好找了!
原理
DNS 服务器配置不当,导致攻击者可以匿名获取该域内所有DNS信息:
DNS服务器有主备之分,在主备之间同步域解析信息,就用到了DNS域传送这个技术。确切指备机从主机同步数据更新自己的数据库。如果这台DNS配置不安全,攻击者可以获取该域名下所有子域名解析记录,暴露了很多重要信息,例如拓扑结构,解析记录等等。
检测
nslookup检查法
#nslookup
>server dns_server_domain
>ls -d domain
看一个截图的例子
dig检查法
#dig axfr @dnsserver domain @type
看一个截图的例子
修复
解决方案:限制允许区域传送的主机地址(例如一个主DNS服务器应该只允许它的从DNS服务器执行区域传送的功能)。
allowe-transfer {192.168.1.1; 172.24.123.253;};#基于地址
allowe-transfer {key "dns1-slave1"; key "dns1-slave2";}; #基于TSIG key