Domain-Name-System

我們是否應該允許 DNS 區域傳輸到根伺服器和父區域 NS 伺服器?

  • February 1, 2016

我從未在範例設置中找到對此的任何引用,包括來自 Bind ARM 的設置。

儘管如此,我注意到我的權威伺服器收到了來自 IP 的傳輸請求——不是他們的名字——這實際上是一些根伺服器集的一部分——DNS 根。

我正準備在我的配置中允許這樣的傳輸,並考慮仔細檢查。

如果我是對的,根將只回答gTLD,然後TLD 只回答它們各自的下一級域— 授權。但是,如果我了解 DNS 的分層設計,則由每個伺服器來提供它所擁有的所有資訊,而不是提供嚴格的最小值並將客戶端引入迭代過程。那麼為什麼不呢,根伺服器可能希望能夠回答我的區域……這將減輕我自己的伺服器的負擔。

那麼,首先,為什麼根伺服器(似乎)要求我的區域?

這真的會是攻擊嗎?

或者,如果沒問題,仍然存在這樣的風險,即這樣的伺服器(根或 TLD 的)將允許對其處理的區域進行傳輸,而這可能不是我們的政策——不要相信大魚總是能完美地管理其設置。

我想我們可能會有不同的感覺,這取決於我們是否已經使用 DNSSEC 對區域進行了身份驗證,因為信任 DNSSEC 簽名的根不僅僅等同於信任整個區域內容的根。

順便說一句,如果我們允許轉移,我們還應該向他們發送修改通知。

*我覺得這個問題也應該有標籤 *

AXFR, zone-transfer & root-servers

編輯(這是線索):

我從日誌行開始

20-Jan-2016 20:33:30.581 security: error: client 192.134.4.83#51264: zone transfer 'MyZone.info/AXFR/IN' denied

所以

dig +noall +answer +authority -x 192.134.4.83 @a.in-addr-servers.arpa.
192.in-addr.arpa.       86400   IN      NS      y.arin.net.
[...]

dig +noall +answer +authority -x 192.134.4.83 @y.arin.net.
134.192.in-addr.arpa.   172800  IN      NS      ns3.nic.fr.
[...]

dig +noall +answer -x 192.134.4.83 @ns3.nic.fr.
83.4.134.192.in-addr.arpa. 172800 IN    PTR     zonemaster.rd.nic.fr.

dig +noall +authority SOA zonemaster.rd.nic.fr. @ns3.nic.fr.
rd.nic.fr.              3600    IN      SOA     ns2.rd.nic.fr. hostmaster.nic.fr. 2015111706 21600 3600 3600000 3600

好吧……

我在那些日子裡玩過線上 DNS 檢查器,包括法國 TLD 的zonemaster.fr。順便說一句,很詳細。

所以 AXFR 請求只是他們執行的測試的一部分。:-)

我的錯。

感謝您的回答。

在大多數情況下,雖然我同意不相信大魚總是管理他們的設置的觀點。由於執行 DNS 確實沒有(直接)利潤(讓我們忽略 OpenDNS/Google 等)。我一直認為,根域伺服器很可能是由非常精通 DNS 的極客執行的。僅僅因為如果這些伺服器管理不善,這將對整個網際網路造成災難性影響。我認為通常您可以信任核心網路的東西,因為管理遠離它!

話雖如此,根區域伺服器沒有理由從域的權威伺服器請求 AXFR。這些非常繁忙的機器(集群)可以想像隨機請求區域傳輸會帶來的額外壓力。發生這種情況根本沒有合乎邏輯的理由。因此,我幾乎可以肯定這是某種攻擊。

唯一需要 AXFR 訪問的伺服器是輔助區域伺服器,其他所有伺服器都可以使用標準 DNS 協議,就像它們的本意一樣!

引用自:https://serverfault.com/questions/753071