阿里云云安全acp認(rèn)證知識(shí)點(diǎn)精講之DNS區(qū)域傳送漏洞

DNS區(qū)域傳送漏洞

DNS 區(qū)域傳送（DNS zone transfer）是指一臺(tái)備用 DNS 服務(wù)器使用來自主 DNS 服務(wù)器的數(shù)據(jù)刷新自己的域（zone）數(shù)據(jù)庫，從而避免主 DNS 服務(wù)器因意外故障影響到整個(gè)域名解析服務(wù)。

漏洞描述：

一般情況下，DNS 區(qū)域傳送只在網(wǎng)絡(luò)里存在備用 DNS 服務(wù)器時(shí)才會(huì)使用；但許多 DNS 服務(wù)器卻被錯(cuò)誤地配置，只要有客戶機(jī)發(fā)出請(qǐng)求，就會(huì)向?qū)Ψ教峁┮粋€(gè) zone 數(shù)據(jù)庫的詳細(xì)信息。因此，不受信任的因特網(wǎng)用戶也可以執(zhí)行 DNS 區(qū)域傳送（zone transfer）操作。

惡意用戶可以通過 DNS 區(qū)域傳送快速地判定出某個(gè)特定 zone 的所有主機(jī)，并收集域信息、選擇攻擊目標(biāo)，進(jìn)而找出未使用的 IP 地址，繞過基于網(wǎng)絡(luò)的訪問控制竊取信息。

漏洞修復(fù)：

注意：建議您在修復(fù)前創(chuàng)建服務(wù)器快照，以免修復(fù)失敗造成損失。

區(qū)域傳送是 DNS 常用的功能，為保證使用安全，應(yīng)嚴(yán)格限制允許區(qū)域傳送的主機(jī)，例如一個(gè)主 DNS 服務(wù)器應(yīng)該只允許它的備用 DNS 服務(wù)器執(zhí)行區(qū)域傳送功能。

在相應(yīng)的 zone、options 中添加 allow-transfer，對(duì)執(zhí)行此操作的服務(wù)器進(jìn)行限制。

如：

嚴(yán)格限制允許進(jìn)行區(qū)域傳送的客戶端的 IP：

allow-transfer ｛1.1.1.1; 2.2.2.2;｝

設(shè)置 TSIG key：

allow-transfer ｛key "dns1-slave1"; key "dns1-slave2";｝。

點(diǎn)擊下方圖片可購(gòu)買阿里云云安全acp認(rèn)證網(wǎng)絡(luò)課程，個(gè)性化服務(wù)，為你的升職加薪之路助力?。?！