DNS区域传送漏洞

区域传送操做指的是一台后备服务器使用来自主服务器的数据刷新本身的zone数据库。这为运行中的DNS服务提供了必定的冗余度，其目的是为了防止主域名服务器因意外故障变得不可用时影响到全局。通常来讲，DNS区域传送操做只在网络里真的有后备域名DNS服务器时才有必要执行，但许多DNS服务器却被错误地配置成只要有人发出请求，就会向对方提供一个zone数据库的拷贝。若是所提供的信息只是与连到因特网上且具有有效主机名的系统相关，那么这种错误配置不必定是坏事，尽管这使得***者发现潜在目标要容易得多。真正的问题发生在一个单位没有使用公用/私用DNS机制来分割外部公用DNS信息和内部私用DNS信息的时候，此时内部主机名和IP地址都暴露给了***者。把内部IP地址信息提供给因特网上不受信任的用户，就像是把一个单位的内部网络完整蓝图或导航图奉送给了别人。
在linux下检查目标站点的区域传送漏洞:
dig NS linux.com
dig @doman.com linux.com AXFR ——用 dig 查看 zone 数据传输
在windows下检测目标站点的区域传送漏洞：
nslookup
set type=soa  or set type=NS
linux.com
server doman.com
ls -d linux.com >linux.txt
view linux.txt
解决方案：区域传送是DNS经常使用的功能，区域传送的漏洞也不是没有办法解决的，严格限制容许区域传送的主机便可，例如一个主DNS服务器应该只容许它的从DNS服务器执行区域传送的功能。
针对于bind软件，能够经过allowe-transfer指令来控制，能够做为global选项或者zone选项的一个参数，咱们可使用地址列表以下allowe-transfer ｛192.168.1.1; 172.24.123.253;｝;
可是使用基于地址的访问控制列表可能会被某些“意志坚决”***绕过，呵呵。最好的方法是使用TSIG key来严格定义区域传送的关系，以下
allowe-transfer ｛key "dns1-slave1"; key "dns1-slave2";｝.
设置方式为两种：一种设置在options配置域；一种设置在zone配置域。优先级为若是zone没有进行配置，则遵照options的设置。若是zone进行了配置，则遵照zone的设置。
参考地址：
http://www.2cto.com/Article/201305/215013.html
http://www.2cto.com/Article/201304/200534.html
http://drops.wooyun.org/papers/64
http://www.2cto.com/Article/201202/118349.html
http://www.baike.com/wiki/dig%E5%91%BD%E4%BB%A4