گلوبل AXFR (Zone Transfer) سیکیورٹی چیکر
AXFR (Asynchronous Full Transfer Zone) ریکویسٹ وہ بنیادی طریقہ کار ہے جسے DNS سرورز نیٹ ورک کلسٹر میں پورے روٹنگ ڈیٹا بیس کی نقل (replicate) بنانے کے لیے استعمال کرتے ہیں۔ معیاری A یا MX لک اپس (lookups) کے برعکس، جو ایک ڈیٹا پوائنٹ لانے کے لیے ہلکے وزن والے، بے ریاست (stateless) UDP پیکٹس کا استعمال کرتے ہیں، AXFR ٹرانسفر سختی سے سرور ٹو سرور پروٹوکول ہے۔ چونکہ پورے ڈومین کے بنیادی ڈھانچے کو ڈاؤن لوڈ کرنے میں ممکنہ طور پر ہزاروں ریکارڈز کو منتقل کرنا شامل ہے، اس لیے RFC 5936 کا تقاضا ہے کہ AXFR درخواستیں مکمل پیکٹ کی ترسیل اور ڈیٹا کی سالمیت کی ضمانت کے لیے پورٹ 53 پر ایک اسٹیٹ فل، قابل اعتماد TCP کنکشن قائم کریں۔
SOA ٹریگرز اور IXFR آپٹیمائزیشن
نقل (replication) کے عمل کو فعال طور پر ڈومین کے SOA (Start of Authority) ریکارڈ کے ذریعے کنٹرول کیا جاتا ہے۔ سیکنڈری نیم سرورز باقاعدگی سے پرائمری ماسٹر سرور کو پول (poll) کرتے ہیں۔ اگر سیکنڈری سرور کو پتہ چلتا ہے کہ SOA سیریل نمبر میں اضافہ ہوا ہے، تو وہ ڈیٹا کو ہم آہنگ (synchronize) کرنے کے لیے ٹرانسفر شروع کرتا ہے۔ جبکہ AXFR زون فائل کو مکمل طور پر ڈاؤن لوڈ کرتا ہے، جدید آرکیٹیکچرز اکثر IXFR (Incremental Zone Transfer) کو ڈیفالٹ کرتے ہیں۔ IXFR ڈیلٹا—پرانے سیریل نمبر اور نئے کے درمیان قطعی فرق—کا حساب لگاتا ہے اور صرف ترمیم شدہ ریکارڈز کو منتقل کرتا ہے، جس سے بڑے انٹرپرائز زونز پر بینڈوتھ کے اوور ہیڈ اور پروسیسنگ کے بوجھ میں نمایاں کمی آتی ہے۔
Zone Walking اور سائبر سیکیورٹی کے خطرات
انفارمیشن سیکیورٹی کے نقطہ نظر سے، ایک غلط طریقے سے محفوظ کیا گیا AXFR اینڈ پوائنٹ ایک تباہ کن جاسوسی (reconnaissance) کمزوری ہے۔ اگر کوئی پرائمری نیم سرور کسی بھی من مانی پبلک IP ایڈریس سے AXFR درخواستوں کو قبول کرنے کے لیے غلط طریقے سے کنفیگر کیا گیا ہے، تو یہ غیر مجاز عناصر کو "Zone Walk" چلانے کی اجازت دیتا ہے۔ ایک ہی کمانڈ جاری کرنے سے (مثال کے طور پر، dig AXFR @ns.example.com example.com)، کوئی حملہ آور تنظیم کا پورا اندرونی روٹنگ نقشہ ڈاؤن لوڈ کر سکتا ہے۔ یہ فوری طور پر غیر منسلک (unlinked) اسٹیجنگ انوائرنمنٹس، بھولے ہوئے اندرونی VPN گیٹ ویز، قبضے (takeover) کا شکار متروک SaaS اینڈ پوائنٹس، اور ملکیتی سرور کے نام دینے کے طریقوں (naming conventions) کو بے نقاب کرتا ہے۔
TSIG اور ACLs کے ساتھ پیری میٹر کو محفوظ بنانا
کسی بھی کھلے AXFR خطرے کے خلاف اپنے پیری میٹر (perimeter) کی جانچ کرنا کسی بھی پینیٹریشن ٹیسٹ (penetration test) کی ایک بنیادی ضرورت ہے۔ مناسب طریقے سے سخت (hardened) نیم سرور کو IP پر مبنی سخت Access Control Lists (ACLs) کا استعمال کرتے ہوئے ٹرانسفر کیوریز (queries) کو جارحانہ طریقے سے محدود کرنا چاہیے، اس بات کو یقینی بناتے ہوئے کہ صرف مجاز سیکنڈری سرور IPs ہی ڈاؤن لوڈ شروع کر سکیں۔ جدید انٹرپرائز سیکیورٹی کے لیے، منتظمین TSIG (Transaction Signature) کا استعمال کرتے ہیں۔ TSIG پرائمری اور سیکنڈری سرورز کے درمیان مشترکہ، کرپٹوگرافک طور پر ہیش کی گئی (hashed) خفیہ کلید کا استعمال کرتا ہے۔ اگر آنے والی AXFR درخواست میں صحیح ریاضیاتی دستخط موجود نہیں ہیں، تو پرائمری سرور فوری طور پر TCP کنکشن کو چھوڑ دیتا ہے اور ایک مہلک REFUSED ایرر واپس کرتا ہے، جس سے نیٹ ورک ٹوپولوجی (topology) کو پبلک ایکسپوژر سے بچایا جاتا ہے۔