阿里云云安全acp认证知识点精讲之DNS区域传送漏洞

DNS区域传送漏洞

DNS 区域传送（DNS zone transfer）是指一台备用 DNS 服务器使用来自主 DNS 服务器的数据刷新自己的域（zone）数据库，从而避免主 DNS 服务器因意外故障影响到整个域名解析服务。

漏洞描述：

一般情况下，DNS 区域传送只在网络里存在备用 DNS 服务器时才会使用；但许多 DNS 服务器却被错误地配置，只要有客户机发出请求，就会向对方提供一个 zone 数据库的详细信息。因此，不受信任的因特网用户也可以执行 DNS 区域传送（zone transfer）操作。

恶意用户可以通过 DNS 区域传送快速地判定出某个特定 zone 的所有主机，并收集域信息、选择攻击目标，进而找出未使用的 IP 地址，绕过基于网络的访问控制窃取信息。

漏洞修复：

注意：建议您在修复前创建服务器快照，以免修复失败造成损失。

区域传送是 DNS 常用的功能，为保证使用安全，应严格限制允许区域传送的主机，例如一个主 DNS 服务器应该只允许它的备用 DNS 服务器执行区域传送功能。

在相应的 zone、options 中添加 allow-transfer，对执行此操作的服务器进行限制。

如：

严格限制允许进行区域传送的客户端的 IP：

allow-transfer ｛1.1.1.1; 2.2.2.2;｝

设置 TSIG key：

allow-transfer ｛key "dns1-slave1"; key "dns1-slave2";｝。

点击下方图片可购买阿里云云安全acp认证网络课程，个性化服务，为你的升职加薪之路助力！！！