跳至主要內容

安全加固

2025/7/1大约 2 分钟

安全加固

DNS区域传输漏洞

AXFR

AXFR(Zone Transfer)是DNS服务器之间进行区域传输的一种协议。在DNS中一个域名通常被分为若干个区域(Zone),每个区域都有一份DNS资源记录。当一个DNS服务器需要查询其他DNS服务器上的某个域名的信息时,如果它没有缓存相应的信息,就需要通过AXFR协议从其他DNS服务器上获取该域名所在的全部区域的DNS资源记录信息。

漏洞原理

DNS域传送漏洞的原因主要是因为DNS服务器的配置不当,通常情况下DNS服务器应该只允许授权的主机进行区域传输(AXFR)。如果没有限制,攻击者就可以利用DNS客户端向DNS服务器发出查询请求,并模拟AXFR的传输过程获取全部的DNS资源记录信息。

漏洞危害

DNS域传送漏洞是指攻击者利用DNS服务器的配置漏洞,获取该DNS服务器上的某一特定区域内全部的DNS资源记录信息的攻击行为。攻击者可以利用DNS域传送漏洞,获取目标域名系统的全部信息,包括所有主机名、IP地址、子域名等,这可能会给恶意攻击者提供非常重要的信息。

使用dig模拟漏洞

[root@ah-ipv6 ~]# dig -t axfr monap.cn @192.168.1.149

; <<>> DiG 9.16.23-RH <<>> -t axfr monap.cn @192.168.1.149
;; global options: +cmd
monap.cn.		86400	IN	SOA	ns1.monap.cn. polaris424.foxmail.com. 20250702 60 3600 604800 10800
monap.cn.		86400	IN	NS	ns1.monap.cn.
appsrv.monap.cn.	86400	IN	A	192.168.1.100
appsrv.monap.cn.	86400	IN	A	192.168.1.101
ns1.monap.cn.		86400	IN	A	192.168.1.2
srv.monap.cn.		86400	IN	CNAME	appsrv.monap.cn.
monap.cn.		86400	IN	SOA	ns1.monap.cn. polaris424.foxmail.com. 20250702 60 3600 604800 10800
;; Query time: 0 msec
;; SERVER: 192.168.1.149#53(192.168.1.149)
;; WHEN: Mon Jun 30 22:10:54 CST 2025
;; XFR size: 7 records (messages 1, bytes 250)

Bind权限控制

为了防止黑客利用该漏洞进行安全攻击,我们需要在Bind 每个DNS服务器上(主从都要加)进行权限控制

配置权限控制

主DNS服务器

options {
    // 只允许从DNS服务器进行区域传输
    allow-transfer { 192.168.1.11; };
}

从DNS服务器

options {
    // 从DNS服务器不允许任何人进行区域传输
    allow-transfer { none; };
}

此时再在其他机器上进行区域传输就不能成功了

[root@hello ~]# dig -t axfr monap.cn @192.168.1.149

; <<>> DiG 9.16.23-RH <<>> -t axfr monap.cn @192.168.1.149
;; global options: +cmd
; Transfer failed.