it-swarm-tr.com

DNS bölge aktarım saldırısı

Herkes DNS bölge aktarım saldırısının ne olduğunu açıklayabilir veya herhangi bir bağlantı, kağıt verebilir mi?

Google'ı zaten aradım, ancak anlamlı bir şey bulamadım.

30
user6809

DNS Bölge aktarımı, bir DNS sunucusunun veritabanının bir kısmının ("bölge" olarak adlandırılır) bir kopyasını başka bir DNS sunucusuna geçirdiği işlemdir. Belirli bir bölge hakkındaki sorguları yanıtlayabilen birden fazla DNS sunucunuzun bu şekilde olmasını sağlar; bir Ana DNS sunucusu ve bir veya daha fazla Slave DNS sunucusu vardır ve köleler ana bilgisayardan o bölge için kayıtların bir kopyasını ister.

Temel bir DNS Bölge Aktarım Saldırısı çok süslü değildir: sadece bir köle gibi davranırsınız ve master'dan bölge kayıtlarının bir kopyasını istersiniz. Ve size gönderir; DNS, İnternet'teki herkes kelimenin tam anlamıyla herkesin adını ve adresini biliyord olduğunda tasarlanan gerçekten eski okul İnternet protokollerinden biridir ve böylece sunucular birbirine dolaylı olarak güvendi.

DNS bölgenizin bir kopyası dahili ağınız hakkında çok sayıda topolojik bilgi açığa çıkarabileceğinden bölge aktarım saldırılarını durdurmaya değer. Özellikle, birisi DNS'inizi zehirlemeyi veya sahtekarlığı kullanarak bozmayı planlıyorsa, gerçek verilerin bir kopyasına sahip olmanın çok yararlı olduğunu görürler.

Bu yüzden en iyi uygulama Bölge aktarımlarını kısıtlamaktır. Çıplak minimumda, efendiye kölelerin IP adreslerinin ne olduğunu ve kimseye aktarmamayı söylersiniz. Daha sofistike kurulumlarda, transferleri imzalarsınız. Böylece, daha karmaşık bölge aktarım saldırıları bu kontrolleri tamamlamaya çalışır.

SANS bunu daha ayrıntılı olarak ele alan bir teknik inceleme değerine sahiptir.

49
Graham Hill

@GrahamHill zaten bir bölge transferini zaten çok iyi açıkladı, ama biraz daha doldurmaya çalışacağım.

Saldırgan, DNS sunucusundaki tüm kayıtları sorgulayabildiğinde, hangi makinelerin erişilebilir olduğunu kolayca belirleyebilir. Bölge aktarımı, İnternet'ten erişilebilen ancak Google gibi bir arama motorunun (site: . Hedef. ) alınmadığı ağ öğelerini gösterebilir. . Burada ders, kötü adamların bilgileri ücretsiz almasına izin vermek istememenizdir! Bunun için olabildiğince çok çalışmak zorundalar ...

DNS bölge aktarımları hakkında ilginç bir gerçek, genellikle UDP bağlantı noktası 53 yerine TCP bağlantı noktası 53) kullanmasıdır. TCP bağlantı noktası 53 kullanımda ise, birisinin bölge transferi yaptığını söyleyebilir.

Güvenlik açığından etkilenen bir DNS sunucusunda bölge aktarımını tamamlamak için şu komutları verebilirsiniz:

Pencereler:

nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>

Unix (nslookup, Unix'te kullanımdan kaldırılmıştır):

Dig -axfr @<DNS you are querying> <target>

DigiNinja, bölge transferlerinin nasıl çalıştığı ve neden kısıtlanması gerektiği konusunda çok iyi bir öğreticiye/açıklamaya sahiptir. Check out zonetransferme .

18
Chris Dale