我們是否應該允許 DNS 區域傳輸到根伺服器和父區域 NS 伺服器?
我從未在範例設置中找到對此的任何引用,包括來自 Bind ARM 的設置。
儘管如此,我注意到我的權威伺服器收到了來自 IP 的傳輸請求——不是他們的名字——這實際上是一些根伺服器集的一部分——DNS 根。
我正準備在我的配置中允許這樣的傳輸,並考慮仔細檢查。
如果我是對的,根將只回答gTLD,然後TLD 只回答它們各自的下一級域— 授權。但是,如果我了解 DNS 的分層設計,則由每個伺服器來提供它所擁有的所有資訊,而不是提供嚴格的最小值並將客戶端引入迭代過程。那麼為什麼不呢,根伺服器可能希望能夠回答我的區域……這將減輕我自己的伺服器的負擔。
那麼,首先,為什麼根伺服器(似乎)要求我的區域?
這真的會是攻擊嗎?
或者,如果沒問題,仍然存在這樣的風險,即這樣的伺服器(根或 TLD 的)將允許對其處理的區域進行傳輸,而這可能不是我們的政策——不要相信大魚總是能完美地管理其設置。
我想我們可能會有不同的感覺,這取決於我們是否已經使用 DNSSEC 對區域進行了身份驗證,因為信任 DNSSEC 簽名的根不僅僅等同於信任整個區域內容的根。
順便說一句,如果我們允許轉移,我們還應該向他們發送修改通知。
*我覺得這個問題也應該有標籤 *
AXFR, zone-transfer & root-servers
編輯(這是線索):
我從日誌行開始
20-Jan-2016 20:33:30.581 security: error: client 192.134.4.83#51264: zone transfer 'MyZone.info/AXFR/IN' denied
所以
dig +noall +answer +authority -x 192.134.4.83 @a.in-addr-servers.arpa. 192.in-addr.arpa. 86400 IN NS y.arin.net. [...] dig +noall +answer +authority -x 192.134.4.83 @y.arin.net. 134.192.in-addr.arpa. 172800 IN NS ns3.nic.fr. [...] dig +noall +answer -x 192.134.4.83 @ns3.nic.fr. 83.4.134.192.in-addr.arpa. 172800 IN PTR zonemaster.rd.nic.fr. dig +noall +authority SOA zonemaster.rd.nic.fr. @ns3.nic.fr. rd.nic.fr. 3600 IN SOA ns2.rd.nic.fr. hostmaster.nic.fr. 2015111706 21600 3600 3600000 3600
好吧……
我在那些日子裡玩過線上 DNS 檢查器,包括法國 TLD 的zonemaster.fr。順便說一句,很詳細。
所以 AXFR 請求只是他們執行的測試的一部分。:-)
我的錯。
感謝您的回答。
在大多數情況下,雖然我同意不相信大魚總是管理他們的設置的觀點。由於執行 DNS 確實沒有(直接)利潤(讓我們忽略 OpenDNS/Google 等)。我一直認為,根域伺服器很可能是由非常精通 DNS 的極客執行的。僅僅因為如果這些伺服器管理不善,這將對整個網際網路造成災難性影響。我認為通常您可以信任核心網路的東西,因為管理遠離它!
話雖如此,根區域伺服器沒有理由從域的權威伺服器請求 AXFR。這些非常繁忙的機器(集群)可以想像隨機請求區域傳輸會帶來的額外壓力。發生這種情況根本沒有合乎邏輯的理由。因此,我幾乎可以肯定這是某種攻擊。
唯一需要 AXFR 訪問的伺服器是輔助區域伺服器,其他所有伺服器都可以使用標準 DNS 協議,就像它們的本意一樣!