DNS区域传送漏洞复现
区域传送,是指DNS主从服务器之间的数据同步,保证数据的一致性,传送会利用DNS域,所以就称为DNS区域传送
DNS区域传送有两种方式
* axfr:完全区域传送
* ixfr:增量区域传送
当一个新的DNS服务器添加到区域中并配置为从DNS服务器时,它则会执行完全区域传送,在主DNS服务器上获取完整的资源记录副本;同时,为了保证数据同步,主域名服务器有更新时也会及时通知辅助域名服务器从而进行更新(增量区域传送)
一、 DNS域传送漏洞检测
DNS服务器配置不当,可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的黑客,包括一些安全性较低的内部主机,如测试服务器。凭借这份网络蓝图,黑客可以节省很少的扫描时间。
1. nmap高级扫描脚本命令:
nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.80.103
2. dig解析:
dig @192.168.80.103 -t axfr vulhub.org
二、 修复建议:
区域传送是 DNS 常用的功能,为保证使用安全,应严格限制允许区域传送的主机,例如一个主 DNS 服务器应该只允许它的备用 DNS 服务器执行区域传送功能。
在相应的 zone、options 中添加 allow-transfer,对执行此操作的服务器进行限制。如:
1、严格限制允许进行区域传送的客户端的 IP:
allow-transfer {1.1.1.1; 2.2.2.2;}
2、设置
allow-transfer {key "dns1-slave1"; key "dns1-slave2";}
