أداة فحص الأمان لـ AXFR (نقل المنطقة) العالمية
طلب AXFR (النقل الكامل المتزامن للمنطقة) هو الآلية الأساسية التي تستخدمها خوادم DNS لنسخ قواعد بيانات التوجيه بالكامل عبر مجموعة (Cluster) شبكة. على عكس عمليات بحث A أو MX القياسية، والتي تستخدم حزم UDP خفيفة الوزن وعديمة الحالة لجلب نقطة بيانات واحدة، فإن نقل AXFR هو بروتوكول صارم من خادم إلى خادم. نظراً لأن تنزيل البنية التحتية للنطاق بالكامل يتضمن نقل آلاف السجلات المحتملة، يفرض RFC 5936 أن تنشئ طلبات AXFR اتصال TCP موثوقاً وذا حالة (Stateful) على المنفذ 53 لضمان تسليم الحزمة بالكامل وسلامة البيانات.
مشغلات SOA وتحسين IXFR
يتم التحكم في عملية النسخ المتماثل (Replication) بشكل نشط بواسطة سجل SOA (بدء التفويض) الخاص بالنطاق. تقوم خوادم الأسماء الثانوية باستطلاع الخادم الرئيسي الأساسي بانتظام. إذا اكتشف الخادم الثانوي أن الرقم التسلسلي لـ SOA قد زاد، فإنه يبدأ نقلاً لمزامنة البيانات. بينما يقوم AXFR بتنزيل المنطقة بأكملها على الإطلاق، غالباً ما تتجه البنى الحديثة افتراضياً إلى IXFR (النقل المتزايد للمنطقة). يحسب IXFR الدلتا - الاختلافات الدقيقة بين الرقم التسلسلي القديم والجديد - وينقل فقط السجلات المعدلة، مما يقلل بشكل كبير من استهلاك النطاق الترددي (Bandwidth Overhead) وحمل المعالجة على مناطق المؤسسات الضخمة.
Zone Walking وتهديدات الأمن السيبراني
من منظور أمن المعلومات، تعد نقطة نهاية AXFR غير الآمنة بشكل صحيح ثغرة استطلاع (Reconnaissance) كارثية. إذا تم تكوين خادم الأسماء الأساسي بشكل خاطئ لقبول طلبات AXFR من أي عنوان IP عام عشوائي، فإنه يسمح للجهات غير المصرح لها بتنفيذ "مشي المنطقة" (Zone Walk). من خلال إصدار أمر واحد (مثل dig AXFR @ns.example.com example.com)، يمكن للمهاجم تنزيل خريطة التوجيه الداخلية للمؤسسة بالكامل. يكشف هذا على الفور عن بيئات الاختبار غير المرتبطة (Staging Environments)، وبوابات VPN الداخلية المنسية، ونقاط نهاية SaaS المهملة المعرضة للاستيلاء، واتفاقيات التسمية الخاصة بالخوادم.
تأمين المحيط باستخدام TSIG و ACLs
يعد اختبار محيطك (Perimeter) مقابل ثغرة AXFR مفتوحة مطلباً أساسياً لأي اختبار اختراق (Penetration Test). يجب أن يقوم خادم الأسماء المحصن بشكل صحيح بتقييد استعلامات النقل بقوة باستخدام قوائم التحكم في الوصول (ACLs) الصارمة القائمة على IP، مما يضمن أن عناوين IP الخاصة بالخوادم الثانوية المصرح لها فقط هي التي يمكنها بدء التنزيل. بالنسبة لأمن المؤسسات الحديثة، يقوم المسؤولون بنشر TSIG (توقيع المعاملة). يستخدم TSIG مفتاحاً سرياً مشتركاً ومشفراً بين الخوادم الأساسية والثانوية. إذا لم يكن طلب AXFR الوارد يمتلك التوقيع الرياضي الصحيح، يقوم الخادم الأساسي بإسقاط اتصال TCP على الفور ويعيد خطأ REFUSED مميتاً، مما يحمي طوبولوجيا الشبكة من الانكشاف العام.