Attaque par transfert de zone DNS
Quelqu'un peut-il expliquer ce qu'est une attaque par transfert de zone DNS ou donner un lien, du papier?
J'ai déjà googlé, mais je n'ai rien trouvé de significatif.
Le transfert de zone DNS est le processus par lequel un serveur DNS transmet une copie d'une partie de sa base de données (qui est appelée une "zone") à un autre serveur DNS. C'est ainsi que vous pouvez avoir plus d'un serveur DNS capable de répondre aux requêtes sur une zone particulière; il existe un serveur DNS maître et un ou plusieurs serveurs DNS esclaves, et les esclaves demandent au maître une copie des enregistrements de cette zone.
Une attaque de transfert de zone DNS de base n'est pas très compliquée: vous prétendez simplement que vous êtes un esclave et demandez au maître une copie des enregistrements de la zone. Et il vous les envoie; Le DNS est l'un de ces protocoles Internet vraiment old-school qui a été conçu lorsque tout le monde sur Internet connaissait littéralement le nom et l'adresse de tous les autres , et donc les serveurs se faisaient mutuellement confiance.
Il vaut la peine d'arrêter les attaques de transfert de zone, car une copie de votre zone DNS peut révéler de nombreuses informations topologiques sur votre réseau interne. En particulier, si quelqu'un prévoit de subvertir votre DNS, en l'empoisonnant ou en le falsifiant, par exemple, il trouvera très utile d'avoir une copie des données réelles.
La meilleure pratique consiste donc à restreindre les transferts de zone. Au strict minimum, vous dites au maître quelles sont les adresses IP des esclaves et ne les transférez à personne d'autre. Dans des configurations plus sophistiquées, vous signez les transferts. Ainsi, les attaques de transfert de zone plus sophistiquées tentent de contourner ces contrôles.
Les SANS ont n livre blanc qui en discute davantage.
@GrahamHill a déjà expliqué un transfert de zone assez bien déjà, mais je vais essayer d'en compléter un peu plus.
En pouvant interroger tous les enregistrements du serveur DNS, l'attaquant peut facilement déterminer quelles machines sont accessibles. Le transfert de zone peut révéler des éléments de réseau accessibles depuis Internet, mais qu'un moteur de recherche comme Google (site: . Target. ) ne prend pas . La leçon ici est que vous ne voulez pas laisser les méchants avoir les informations gratuitement! Ils devraient travailler aussi dur que possible pour cela ...
Un fait intéressant à propos des transferts de zone DNS est qu'ils reposent généralement sur TCP port 53 au lieu du port UDP 53. Si vous voyez TCP port 53 en cours d'utilisation, il pourrait vous dire que quelqu'un effectue un transfert de zone.
Pour réellement effectuer un transfert de zone sur un serveur DNS vulnérable, vous pouvez émettre ces commandes:
Les fenêtres:
nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>
Unix (nslookup est déconseillé sur Unix):
Dig -axfr @<DNS you are querying> <target>
DigiNinja a un très bon tutoriel/explication sur le fonctionnement des transferts de zone et pourquoi ils devraient être limités. Découvrez zonetransferme .