Globaler AXFR (Zonentransfer) Security Checker
Ein AXFR-Request (Asynchronous Full Transfer Zone) ist der grundlegende Mechanismus, den DNS-Server verwenden, um komplette Routing-Datenbanken über einen Netzwerk-Cluster zu replizieren. Im Gegensatz zu standardmäßigen A- oder MX-Lookups, die leichtgewichtige, zustandslose UDP-Pakete nutzen, um einen einzelnen Datenpunkt abzurufen, ist ein AXFR-Transfer strikt ein Server-zu-Server-Protokoll. Da das Herunterladen der Infrastruktur einer gesamten Domain die Übertragung von potenziell Tausenden von Records erfordert, schreibt RFC 5936 vor, dass AXFR-Requests eine zustandsbehaftete, zuverlässige TCP-Verbindung auf Port 53 aufbauen, um eine vollständige Paketzustellung und Datenintegrität zu gewährleisten.
SOA-Trigger und IXFR-Optimierung
Der Replikationsprozess wird aktiv durch den SOA-Record (Start of Authority) der Domain gesteuert. Sekundäre Nameserver fragen routinemäßig den primären Master-Server ab. Erkennt der sekundäre Server, dass die SOA-Seriennummer inkrementiert wurde, initiiert er einen Transfer zur Synchronisierung der Daten. Während AXFR die absolute Gesamtheit der Zonendatei herunterlädt, nutzen moderne Architekturen standardmäßig oft IXFR (Incremental Zone Transfer). IXFR berechnet das Delta – die exakten Unterschiede zwischen der alten und der neuen Seriennummer – und überträgt nur die geänderten Records, was den Bandbreiten-Overhead und die Verarbeitungslast in massiven Enterprise-Zonen erheblich reduziert.
Zone Walking und Cybersicherheitsbedrohungen
Aus Perspektive der Informationssicherheit ist ein unzureichend abgesicherter AXFR-Endpunkt eine katastrophale Schwachstelle bei der Reconnaissance (Aufklärung). Wenn ein primärer Nameserver so fehlerhaft konfiguriert ist, dass er AXFR-Requests von jeder beliebigen öffentlichen IP-Adresse akzeptiert, ermöglicht er unautorisierten Akteuren einen sogenannten "Zone Walk". Durch Ausführung eines einzigen Befehls (z. B. dig AXFR @ns.example.com example.com) kann ein Angreifer die gesamte interne Routing-Map der Organisation herunterladen. Dies legt sofort nicht verlinkte Staging-Umgebungen, vergessene interne VPN-Gateways, veraltete und für Takeover anfällige SaaS-Endpunkte sowie proprietäre Server-Namenskonventionen offen.
Absicherung des Perimeters mit TSIG und ACLs
Das Testen Ihres Perimeters gegen eine offene AXFR-Schwachstelle ist eine grundlegende Anforderung bei jedem Penetrationstest. Ein ordnungsgemäß gehärteter Nameserver muss Transferanfragen aggressiv einschränken, indem er strikte IP-basierte Access Control Lists (ACLs) verwendet und so sicherstellt, dass nur autorisierte sekundäre Server-IPs den Download initiieren können. Für moderne Enterprise-Sicherheit deployen Administratoren TSIG (Transaction Signature). TSIG verwendet einen gemeinsam genutzten, kryptografisch gehashten Secret Key zwischen primären und sekundären Servern. Besitzt der eingehende AXFR-Request nicht die korrekte mathematische Signatur, bricht der primäre Server die TCP-Verbindung sofort ab und gibt einen fatalen REFUSED-Fehler zurück, wodurch die Netzwerktopologie vor öffentlicher Offenlegung geschützt wird.