グローバルAXFR (ゾーン転送) セキュリティチェッカー
AXFR (Asynchronous Full Transfer Zone) リクエストは、DNSサーバーがネットワーククラスター全体にルーティングデータベース全体を複製するために使用する基礎的なメカニズムです。単一のデータポイントを取得するために軽量でステートレスなUDPパケットを利用する標準のAまたはMXルックアップとは異なり、AXFR転送は厳密なサーバー間 (Server-to-Server) プロトコルです。ドメインインフラストラクチャ全体のダウンロードには、潜在的に何千ものレコードの送信が伴うため、RFC 5936では、パケットの完全な配信とデータの完全性を保証するために、AXFRリクエストがポート53でステートフルで信頼性の高いTCP接続を確立することを義務付けています。
SOAトリガーとIXFR最適化
レプリケーションプロセスは、ドメインのSOA (Start of Authority) レコードによってアクティブに管理されます。セカンダリネームサーバーは、プライマリマスターサーバーを定期的にポーリングします。セカンダリサーバーがSOAのシリアル番号の増加を検出した場合、データを同期するための転送を開始します。AXFRはゾーンファイル全体をダウンロードしますが、最新のアーキテクチャではデフォルトでIXFR (Incremental Zone Transfer) が設定されることがよくあります。IXFRはデルタ (古いシリアル番号と新しいシリアル番号の正確な差分) を計算し、変更されたレコードのみを送信することで、大規模なエンタープライズゾーンでの帯域幅のオーバーヘッドと処理負荷を大幅に削減します。
ゾーンウォーキング (Zone Walking) とサイバーセキュリティの脅威
情報セキュリティの観点から見ると、不適切に保護されたAXFRエンドポイントは破滅的な偵察 (Reconnaissance) の脆弱性となります。プライマリネームサーバーが任意のパブリックIPアドレスからのAXFRリクエストを受け入れるように誤って設定されている場合、権限のない攻撃者が「ゾーンウォーク (Zone Walk)」を実行することが可能になります。単一のコマンド (例: dig AXFR @ns.example.com example.com) を発行するだけで、攻撃者は組織の内部ルーティングマップ全体をダウンロードできます。これにより、リンクされていないステージング環境、忘れられた内部VPNゲートウェイ、テイクオーバーに対して脆弱な非推奨のSaaSエンドポイント、独自のサーバー命名規則などが瞬時に露呈します。
TSIGとACLによる境界 (Perimeter) の保護
オープンなAXFR脆弱性に対して自社の境界をテストすることは、ペネトレーションテストにおける基本的な要件です。適切に強化 (Hardened) されたネームサーバーは、厳格なIPベースのアクセス制御リスト (ACL) を利用して転送クエリを強力に制限し、認可されたセカンダリサーバーのIPのみがダウンロードを開始できるようにする必要があります。最新のエンタープライズセキュリティでは、管理者はTSIG (Transaction Signature) をデプロイします。TSIGは、プライマリサーバーとセカンダリサーバー間で、暗号化ハッシュ化された共有シークレットキーを利用します。受信したAXFRリクエストが正しい数学的署名を持っていない場合、プライマリサーバーは即座にTCP接続を切断し、致命的なREFUSEDエラーを返して、ネットワークトポロジーをパブリックな露呈から保護します。