فحص الأمان لـ AXFR (نقل المنطقة) العالمي
طلب AXFR (النقل الكامل المتزامن للمنطقة) هو الآلية الأساسية اللي بتستخدمها سيرفرات الـ DNS عشان تعمل نسخة (Replicate) لقواعد بيانات الـ Routing بالكامل عبر Network Cluster. على عكس استعلامات A أو MX القياسية، اللي بتستخدم حزم UDP خفيفة و Stateless عشان تجيب نقطة بيانات واحدة، نقل الـ AXFR هو بروتوكول من سيرفر لسيرفر (Server-to-server) حصرياً. عشان تنزيل بنية دومين بالكامل بيتضمن نقل آلاف السجلات المحتملة، معيار RFC 5936 بيلزم إن طلبات AXFR تبني اتصال TCP موثوق و Stateful على بورت 53 عشان يضمن توصيل الحزمة بالكامل وسلامة البيانات.
مشغلات SOA وتحسين IXFR
عملية النسخ دي بيتحكم فيها بشكل مباشر سجل SOA (Start of Authority) بتاع الدومين. السيرفرات الثانوية (Secondary Nameservers) بتسأل السيرفر الرئيسي (Primary Master) بشكل دوري. لو السيرفر الثانوي لقى إن الـ Serial Number بتاع الـ SOA زاد، بيبدأ عملية Transfer عشان يعمل Sync للبيانات. في حين إن AXFR بينزل الـ Zone File بالكامل من الألف للياء، المعماريات الحديثة غالباً بتعتمد بشكل افتراضي على IXFR (النقل المتزايد للمنطقة). الـ IXFR بيحسب الـ Delta — الفروق الدقيقة بين السيريال القديم والجديد — وبينقل السجلات اللي اتعدلت بس، وده بيقلل بشكل كبير من استهلاك الباندويث (Bandwidth Overhead) وضغط المعالجة على مناطق الشركات الضخمة.
مشي المنطقة (Zone Walking) وتهديدات الأمن السيبراني
من منظور أمن المعلومات، أي Endpoint لـ AXFR متأمن بشكل غلط بيعتبر ثغرة استطلاع (Reconnaissance) كارثية. لو الـ Primary Nameserver متبرمج غلط وإنه يقبل طلبات AXFR من أي IP عام عشوائي، ده بيسمح لأي جهات مش مصرح ليها إنها تنفذ "Zone Walk". من خلال أمر واحد بس (زي dig AXFR @ns.example.com example.com)، الهاكر يقدر ينزل خريطة الـ Routing الداخلية للشركة بالكامل. ده بيكشف فوراً عن بيئات الـ Staging اللي مش مربوطة، بوابات الـ VPN الداخلية المنسية، نقاط الـ SaaS المهجورة والمعرضة للسرقة، وقواعد تسمية السيرفرات (Naming Conventions) الخاصة بالشركة.
تأمين المحيط (Perimeter) بـ TSIG والـ ACLs
اختبار المحيط بتاعك ضد ثغرة AXFR مفتوحة هو متطلب أساسي في أي اختبار اختراق (Penetration Test). الـ Nameserver المتأمن صح لازم يقيد بشراسة طلبات النقل باستخدام قوائم التحكم في الوصول (ACLs) الصارمة المعتمدة على الـ IP، عشان يتأكد إن الـ IPs بتاعت السيرفرات الثانوية المسموح ليها بس هي اللي تقدر تبدأ التنزيل. في أمان الشركات الحديثة، الـ Admins بيستخدموا TSIG (توقيع المعاملة). الـ TSIG بيستخدم مفتاح سري مشترك (Secret Key) ومشفر بين السيرفر الرئيسي والثانوي. لو طلب الـ AXFR اللي جاي مش جواه التوقيع الرياضي المظبوط، السيرفر الرئيسي بيوقع اتصال الـ TCP فوراً وبيرجع خطأ REFUSED قاتل، وده بيحمي هيكلية الشبكة من إنها تتفضح للعلن.