摘要:DNS區(qū)域傳送漏洞是阿里云云安全acp認(rèn)證第1章阿里云安全產(chǎn)品和技術(shù)的知識點之一,本文將DNS區(qū)域傳送漏洞這個知識點的內(nèi)容進行了整理,希望能幫助考生快速理解和掌握該知識點的內(nèi)容。
DNS區(qū)域傳送漏洞
DNS 區(qū)域傳送(DNS zone transfer)是指一臺備用 DNS 服務(wù)器使用來自主 DNS 服務(wù)器的數(shù)據(jù)刷新自己的域(zone)數(shù)據(jù)庫,從而避免主 DNS 服務(wù)器因意外故障影響到整個域名解析服務(wù)。
漏洞描述:
一般情況下,DNS 區(qū)域傳送只在網(wǎng)絡(luò)里存在備用 DNS 服務(wù)器時才會使用;但許多 DNS 服務(wù)器卻被錯誤地配置,只要有客戶機發(fā)出請求,就會向?qū)Ψ教峁┮粋€ zone 數(shù)據(jù)庫的詳細信息。因此,不受信任的因特網(wǎng)用戶也可以執(zhí)行 DNS 區(qū)域傳送(zone transfer)操作。
惡意用戶可以通過 DNS 區(qū)域傳送快速地判定出某個特定 zone 的所有主機,并收集域信息、選擇攻擊目標(biāo),進而找出未使用的 IP 地址,繞過基于網(wǎng)絡(luò)的訪問控制竊取信息。
漏洞修復(fù):
注意:建議您在修復(fù)前創(chuàng)建服務(wù)器快照,以免修復(fù)失敗造成損失。
區(qū)域傳送是 DNS 常用的功能,為保證使用安全,應(yīng)嚴(yán)格限制允許區(qū)域傳送的主機,例如一個主 DNS 服務(wù)器應(yīng)該只允許它的備用 DNS 服務(wù)器執(zhí)行區(qū)域傳送功能。
在相應(yīng)的 zone、options 中添加 allow-transfer,對執(zhí)行此操作的服務(wù)器進行限制。
如:
嚴(yán)格限制允許進行區(qū)域傳送的客戶端的 IP:
allow-transfer {1.1.1.1; 2.2.2.2;}
設(shè)置 TSIG key:
allow-transfer {key "dns1-slave1"; key "dns1-slave2";}。
點擊下方圖片可購買阿里云云安全acp認(rèn)證網(wǎng)絡(luò)課程,個性化服務(wù),為你的升職加薪之路助力?。?!
阿里云認(rèn)證備考資料免費領(lǐng)取
去領(lǐng)取
阿里云認(rèn)證