it-swarm-vi.com

Tấn công chuyển vùng DNS

Bất cứ ai cũng có thể giải thích cuộc tấn công chuyển vùng DNS là gì hoặc đưa ra bất kỳ liên kết, giấy tờ nào?

Tôi đã googled, nhưng không thể tìm thấy bất cứ điều gì có ý nghĩa.

30
user6809

Chuyển vùng DNS là quá trình máy chủ DNS chuyển một bản sao của một phần cơ sở dữ liệu của nó (được gọi là "vùng") sang máy chủ DNS khác. Đó là cách bạn có thể có nhiều máy chủ DNS có thể trả lời các truy vấn về một vùng cụ thể; có một máy chủ DNS chính và một hoặc nhiều máy chủ DNS nô lệ và nô lệ yêu cầu chủ cung cấp một bản sao các bản ghi cho vùng đó.

Một cuộc tấn công chuyển vùng DNS cơ bản không được ưa thích lắm: bạn chỉ giả vờ rằng mình là nô lệ và yêu cầu chủ nhân cho một bản sao của các bản ghi khu vực. Và nó gửi cho bạn chúng; DNS là một trong những giao thức Internet trường học thực sự cũ được thiết kế khi mọi người trên Internet nghĩa đen biết tên và địa chỉ của mọi người khác , và do đó các máy chủ tin tưởng lẫn nhau.

Thật đáng để dừng các cuộc tấn công chuyển vùng, vì một bản sao của vùng DNS của bạn có thể tiết lộ nhiều thông tin tô pô về mạng nội bộ của bạn. Cụ thể, nếu ai đó có kế hoạch phá hủy DNS của bạn, bằng cách đầu độc hoặc giả mạo nó, chẳng hạn, họ sẽ thấy việc có một bản sao của dữ liệu thực rất hữu ích.

Vì vậy, thực hành tốt nhất là hạn chế chuyển vùng. Ở mức tối thiểu, bạn nói với chủ về địa chỉ IP của nô lệ là gì và không chuyển cho bất kỳ ai khác. Trong các thiết lập tinh vi hơn, bạn ký chuyển khoản. Vì vậy, các cuộc tấn công chuyển vùng phức tạp hơn hãy thử và có được các điều khiển này.

Sans có một tờ giấy trắng mà thảo luận thêm về điều này.

49
Graham Hill

@GrahamHill đã giải thích về việc chuyển vùng khá tốt rồi, nhưng tôi sẽ cố gắng điền thêm một số.

Bằng cách có thể truy vấn tất cả các bản ghi từ máy chủ DNS, kẻ tấn công có thể dễ dàng xác định máy nào có thể truy cập được. Việc chuyển vùng có thể tiết lộ các thành phần mạng có thể truy cập từ Internet, nhưng công cụ tìm kiếm như Google (trang web: . Target. ) không nhận . Bài học ở đây là bạn không muốn để kẻ xấu có thông tin miễn phí! Họ phải làm việc hết sức có thể cho nó ...

Một sự thật thú vị về việc chuyển vùng DNS là họ thường dựa vào TCP cổng 53 thay vì cổng UDP 53. Nếu bạn thấy TCP cổng 53 đang sử dụng, thì đó là có thể cho bạn biết rằng ai đó đang thực hiện chuyển nhượng khu vực.

Để thực sự hoàn thành việc chuyển vùng trên máy chủ DNS dễ bị tổn thương, bạn có thể đưa ra các lệnh sau:

Các cửa sổ:

nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>

Unix (nslookup không dùng nữa trên Unix):

Dig -axfr @<DNS you are querying> <target>

DigiNinja có một hướng dẫn/giải thích rất hay về cách chuyển vùng hoạt động và lý do tại sao chúng nên được hạn chế. Hãy xem zonetransferme .

18
Chris Dale