DNS區域傳送漏洞

區域傳送操做指的是一臺後備服務器使用來自主服務器的數據刷新本身的zone數據庫。這爲運行中的DNS服務提供了必定的冗餘度，其目的是爲了防止主域名服務器因意外故障變得不可用時影響到全局。通常來講，DNS區域傳送操做只在網絡裏真的有後備域名DNS服務器時纔有必要執行，但許多DNS服務器卻被錯誤地配置成只要有人發出請求，就會向對方提供一個zone數據庫的拷貝。若是所提供的信息只是與連到因特網上且具有有效主機名的系統相關，那麼這種錯誤配置不必定是壞事，儘管這使得***者發現潛在目標要容易得多。真正的問題發生在一個單位沒有使用公用/私用DNS機制來分割外部公用DNS信息和內部私用DNS信息的時候，此時內部主機名和IP地址都暴露給了***者。把內部IP地址信息提供給因特網上不受信任的用戶，就像是把一個單位的內部網絡完整藍圖或導航圖奉送給了別人。
在linux下檢查目標站點的區域傳送漏洞:
dig NS linux.com
dig @doman.com linux.com AXFR ——用 dig 查看 zone 數據傳輸
在windows下檢測目標站點的區域傳送漏洞：
nslookup
set type=soa  or set type=NS
linux.com
server doman.com
ls -d linux.com >linux.txt
view linux.txt
解決方案：區域傳送是DNS經常使用的功能，區域傳送的漏洞也不是沒有辦法解決的，嚴格限制容許區域傳送的主機便可，例如一個主DNS服務器應該只容許它的從DNS服務器執行區域傳送的功能。
針對於bind軟件，能夠經過allowe-transfer指令來控制，能夠做爲global選項或者zone選項的一個參數，咱們可使用地址列表以下allowe-transfer ｛192.168.1.1; 172.24.123.253;｝;
可是使用基於地址的訪問控制列表可能會被某些「意志堅決」***繞過，呵呵。最好的方法是使用TSIG key來嚴格定義區域傳送的關係，以下
allowe-transfer ｛key "dns1-slave1"; key "dns1-slave2";｝.
設置方式爲兩種：一種設置在options配置域；一種設置在zone配置域。優先級爲若是zone沒有進行配置，則遵照options的設置。若是zone進行了配置，則遵照zone的設置。
參考地址：
http://www.2cto.com/Article/201305/215013.html
http://www.2cto.com/Article/201304/200534.html
http://drops.wooyun.org/papers/64
http://www.2cto.com/Article/201202/118349.html
http://www.baike.com/wiki/dig%E5%91%BD%E4%BB%A4