Глобальная проверка безопасности AXFR (Zone Transfer)
Запрос AXFR (Asynchronous Full Transfer Zone) — это фундаментальный механизм, используемый DNS-серверами для репликации целых баз данных маршрутизации через сетевой кластер. В отличие от стандартных поисков A или MX, в которых используются легковесные UDP-пакеты без состояния (stateless) для извлечения одной точки данных, передача AXFR — это строго протокол от сервера к серверу. Поскольку загрузка всей инфраструктуры домена включает передачу потенциально тысяч записей, RFC 5936 предписывает, чтобы запросы AXFR устанавливали надежное TCP-соединение с состоянием (stateful) на порту 53, чтобы гарантировать полную доставку пакетов и целостность данных.
Триггеры SOA и оптимизация IXFR
Процесс репликации активно регулируется записью SOA (Start of Authority) домена. Вторичные серверы имен регулярно опрашивают первичный мастер-сервер. Если вторичный сервер обнаруживает, что серийный номер SOA увеличился, он инициирует передачу для синхронизации данных. Хотя AXFR скачивает абсолютно всю зону целиком, современные архитектуры часто по умолчанию используют IXFR (Incremental Zone Transfer). IXFR вычисляет дельту — точные различия между старым серийным номером и новым — и передает только измененные записи, значительно снижая нагрузку на полосу пропускания и вычислительную нагрузку в массивных корпоративных зонах.
Zone Walking и угрозы кибербезопасности
С точки зрения информационной безопасности неправильно защищенный endpoint AXFR — это катастрофическая уязвимость для разведки (reconnaissance). Если первичный сервер имен настроен неправильно и принимает запросы AXFR с любого произвольного публичного IP-адреса, это позволяет неавторизованным участникам выполнить «Zone Walk». Введя одну команду (например, dig AXFR @ns.example.com example.com), злоумышленник может скачать всю внутреннюю карту маршрутизации организации. Это мгновенно раскрывает несвязанные стейджинг-среды (staging), забытые внутренние VPN-шлюзы, устаревшие SaaS-эндпоинты, уязвимые к захвату (takeovers), и проприетарные соглашения об именовании серверов.
Защита периметра с помощью TSIG и списков доступа (ACL)
Проверка вашего периметра на открытую уязвимость AXFR — фундаментальное требование любого теста на проникновение (penetration test). Правильно укрепленный (hardened) сервер имен должен агрессивно ограничивать запросы на передачу, используя строгие списки контроля доступа (ACL) на основе IP, гарантируя, что только IP-адреса авторизованных вторичных серверов могут инициировать загрузку. Для современной корпоративной безопасности администраторы используют TSIG (Transaction Signature). TSIG использует общий криптографически хэшированный секретный ключ между первичным и вторичным серверами. Если входящий запрос AXFR не содержит правильной математической подписи, первичный сервер мгновенно разрывает TCP-соединение и возвращает фатальную ошибку REFUSED, защищая топологию сети от публичного раскрытия.