Global AXFR (Zone Transfer) Security Checker
Request AXFR (Asynchronous Full Transfer Zone) là cơ chế nền tảng được các DNS server sử dụng để replicate toàn bộ cơ sở dữ liệu định tuyến qua một mạng cluster. Khác với các bản ghi A hay MX lookup thông thường, vốn sử dụng các gói tin UDP stateless và gọn nhẹ để lấy về một điểm dữ liệu duy nhất, quá trình AXFR transfer hoàn toàn là một giao thức từ server-đến-server (server-to-server). Bởi vì thao tác download toàn bộ hạ tầng của domain có thể đòi hỏi việc truyền gửi hàng nghìn bản ghi, RFC 5936 bắt buộc rằng các request AXFR phải thiết lập một kết nối TCP tin cậy, stateful trên port 53 để đảm bảo gói tin được chuyển đi trọn vẹn và đảm bảo tính toàn vẹn dữ liệu.
SOA Triggers và tối ưu hoá IXFR
Quá trình replicate được quản lý trực tiếp bởi bản ghi SOA (Start of Authority) của domain. Các secondary nameserver sẽ liên tục poll primary master server theo định kỳ. Nếu secondary server nhận thấy Serial Number trong SOA đã tăng lên (incremented), nó sẽ khởi tạo quy trình transfer để đồng bộ dữ liệu. Mặc dù AXFR sẽ tải về toàn bộ nội dung của zone file một cách tuyệt đối, các kiến trúc mạng hiện đại thường lấy IXFR (Incremental Zone Transfer) làm chuẩn. IXFR sẽ tính toán sự chênh lệch (delta) — chỉ nhắm vào những điểm thay đổi chính xác giữa serial number cũ và mới — và chỉ truyền tải các bản ghi đã được cập nhật, từ đó giảm đáng kể mức chiếm dụng băng thông (bandwidth overhead) cũng như khối lượng xử lý cho các vùng mạng doanh nghiệp quy mô lớn.
Zone Walking và các mối đe dọa an ninh mạng
Từ góc nhìn của bảo mật thông tin, một endpoint AXFR không được bảo mật đúng cách chính là một lỗ hổng dò quét (reconnaissance) nguy hiểm thảm khốc. Nếu một primary nameserver bị cấu hình sai khiến nó chấp nhận các yêu cầu AXFR từ bất kỳ IP công cộng ngẫu nhiên nào, nó vô tình cho phép những kẻ xấu không có quyền thực hiện một đợt "Zone Walk". Chỉ cần chạy một câu lệnh duy nhất (ví dụ, dig AXFR @ns.example.com example.com), hacker có thể download toàn bộ sơ đồ định tuyến nội bộ của cả công ty. Điều này ngay lập tức làm rò rỉ các môi trường staging ẩn, các cổng VPN nội bộ đã bị lãng quên, các endpoint SaaS không còn sử dụng nhưng dễ bị takeover, và cả những quy tắc đặt tên (naming convention) riêng của server.
Bảo mật hệ thống với TSIG và ACLs
Việc test hệ thống phòng thủ của bạn để tìm ra các lỗ hổng AXFR bị mở là một yêu cầu tối thiểu trong bất kỳ bài kiểm tra xâm nhập (penetration test) nào. Một nameserver được hard-core đúng chuẩn phải siết chặt gắt gao đối với các truy vấn transfer bằng cách dùng Danh sách kiểm soát truy cập (ACL) theo IP thật nghiêm ngặt, đảm bảo rằng chỉ có những IP của secondary server đã được cấp quyền mới có thể khởi tạo bản download. Đối với an ninh doanh nghiệp ngày nay, admin thường áp dụng TSIG (Transaction Signature). TSIG hoạt động bằng cách sử dụng một secret key được băm bằng mã hóa (cryptographically hashed) và chia sẻ giữa primary và secondary server. Nếu request AXFR gửi đến không sở hữu đúng chữ ký toán học, primary server sẽ drop kết nối TCP đó lập tức và trả về một lỗi từ chối REFUSED chí mạng, đóng vai trò như một tấm khiên chắn bảo vệ cấu trúc mạng khỏi việc bị phơi bày ra bên ngoài.