¿Alguien puede explicar qué es un ataque de transferencia de zona DNS o dar un enlace, papel?
Ya he buscado en Google, pero no he podido encontrar nada significativo.
La transferencia de la zona DNS es el proceso por el cual un servidor DNS pasa una copia de parte de su base de datos (que se denomina "zona") a otro servidor DNS. Es cómo puede tener más de un servidor DNS capaz de responder consultas sobre una zona en particular; hay un servidor DNS maestro y uno o más servidores DNS esclavos, y los esclavos le piden al maestro una copia de los registros para esa zona.
Un ataque de transferencia de zona DNS básico no es muy sofisticado: solo finges que eres un esclavo y le pides al maestro una copia de los registros de la zona. Y te las envía; DNS es uno de esos protocolos de Internet de la vieja escuela que se diseñó cuando todos en Internet literalmente conocía el nombre y la dirección de todos los demás , y los servidores confiaban entre sí de manera implícita.
Vale la pena detener los ataques de transferencia de zona, ya que una copia de su zona DNS puede revelar mucha información topológica sobre su red interna. En particular, si alguien planea subvertir su DNS, por envenenamiento o suplantación de identidad, por ejemplo, les resultará muy útil tener una copia de los datos reales.
Así que la mejor práctica es restringir las transferencias de Zona. Como mínimo, le dice al maestro qué son las direcciones IP de los esclavos y que no debe transferirlos a nadie más. En configuraciones más sofisticadas, usted firma las transferencias. Por lo tanto, los ataques de transferencia de zona más sofisticados intentan sortear estos controles.
SANS tiene un informe técnico que lo discute más a fondo.
@GrahamHill ya explicó una transferencia de zona bastante buena ya, pero intentaré completar algo más.
Al poder consultar todos los registros del servidor DNS, el atacante puede determinar fácilmente qué máquinas son accesibles. La transferencia de zona puede revelar elementos de red a los que se puede acceder desde Internet, pero que un motor de búsqueda como Google (sitio: .target. ) no responde. ¡La lección aquí es que no quieres que los malos tengan la información gratis! Deberían tener que trabajar lo más posible para ello ...
Un hecho interesante acerca de las transferencias de zona DNS es que generalmente dependen del puerto TCP 53 en lugar del puerto 53 UDP. Si ves que el puerto 53 está en uso, podría decirte que alguien está realizando una transferencia de zona.
Para completar una transferencia de zona en un servidor DNS vulnerable, puede ejecutar estos comandos:
Windows:
nslookup
> server <DNS you are querying>
> set type=any
> ls -d <target>
Unix (nslookup está en desuso en Unix):
dig -axfr @<DNS you are querying> <target>
DigiNinja tiene un excelente tutorial / explicación sobre cómo funcionan las transferencias de zona y por qué deberían estar restringidas. Visite zonetransferme .
Lea otras preguntas en las etiquetas dns dns-spoofing dnssec