全球 AXFR (區域傳輸) 安全檢查器
AXFR (Asynchronous Full Transfer Zone) 請求是 DNS 伺服器用來跨網路叢集 (cluster) 複製整個路由資料庫的基礎機制。與利用輕量級、無狀態 UDP 封包來獲取單一資料點的標準 A 或 MX 查詢不同,AXFR 傳輸嚴格來說是一種伺服器對伺服器 (server-to-server) 的協定。由於下載整個網域的基礎架構涉及傳輸可能數以千計的紀錄,RFC 5936 強制要求 AXFR 請求必須在連接埠 53 上建立有狀態、可靠的 TCP 連線,以保證封包的完整交付和資料完整性。
SOA 觸發器與 IXFR 最佳化
複製過程由網域的 SOA (Start of Authority) 紀錄主動管理。次要名稱伺服器會例行性地輪詢主要的主 (master) 伺服器。如果次要伺服器偵測到 SOA 序號已經遞增,它會啟動傳輸以同步資料。雖然 AXFR 會下載絕對完整的區域檔,但現代架構通常預設為 IXFR (Incremental Zone Transfer)。IXFR 會計算 delta(舊序號和新序號之間的確切差異)並僅傳輸修改過的紀錄,從而顯著降低大型企業區域的頻寬負擔 (overhead) 和處理負載。
區域漫步 (Zone Walking) 與網路安全威脅
從資訊安全的角度來看,未妥善保護的 AXFR 端點是一個災難性的偵察漏洞。如果主要名稱伺服器設定錯誤,接受來自任何任意公共 IP 位址的 AXFR 請求,就會允許未經授權的駭客執行「Zone Walk」。透過發出單一指令(例如 dig AXFR @ns.example.com example.com),攻擊者可以下載該組織的整個內部路由地圖。這會立即暴露出未連結的測試環境 (staging environments)、被遺忘的內部 VPN 閘道、易受接管攻擊的廢棄 SaaS 端點,以及專有的伺服器命名慣例。
使用 TSIG 和 ACL 保障邊界安全
測試您的邊界是否面臨開放的 AXFR 漏洞是任何滲透測試的基本要求。一個適當強化的名稱伺服器必須使用嚴格的、基於 IP 的存取控制清單 (ACL) 來積極限制傳輸查詢,確保只有授權的次要伺服器 IP 才能啟動下載。針對現代企業安全,管理員會部署 TSIG (Transaction Signature)。TSIG 在主要和次要伺服器之間使用一個共用、經過加密雜湊的私密金鑰 (secret key)。如果傳入的 AXFR 請求不具備正確的數學簽章,主要伺服器會立即丟棄 TCP 連線並回傳一個致命的 REFUSED 錯誤,保護網路拓撲免於公開暴露。