隔壁粗事了!朝鲜顶级域.kp域名DNS数据配置可被转移

9月20日上午10点左右,朝鲜的一台顶级域名服务器ns2.kptc.kp不小心配置允许全球DNS区域转移,任何人都可以向这台域名服务器发出区域转移请求,获取到一份朝鲜的顶级DNS数据拷贝。朝鲜泄漏的DNS数据显示,它的互联网/局域网规模确实非常小,域名寥寥无几。

DNS数据披露了28个可访问的.KP域名:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
airkoryo.com.kp.
cooks.org.kp.
friend.com.kp.
gnu.rep.kp.
kass.org.kp.
kcna.kp.
kiyctc.com.kp.
knic.com.kp.
koredufund.org.kp.
korelcfund.org.kp.
korfilm.com.kp.
ma.gov.kp.
masikryong.com.kp.
naenara.com.kp.
nta.gov.kp.
portal.net.kp.
rcc.net.kp.
rep.kp.
rodong.rep.kp.
ryongnamsan.edu.kp.
sdprk.org.kp.
silibank.net.kp.
star-co.net.kp.
star-di.net.kp.
star.co.kp.
star.edu.kp.
star.net.kp.
vok.rep.kp.

嗯,三胖家的域名果然有够少。(至于他们国家的那些“机密信息”,本宝宝着实不感兴趣

各位一定要警惕DNS数据安全,配置的严谨性不能忽视。


下面分享一点相关知识。

关于DNS区域传送(DNS zone transfer)

它指的是一台备用服务器使用来自主服务器的数据刷新自己的域(zone)数据库。

这为运行中的DNS服务提供了一定的冗余度,其目的是为了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。

一般来说,DNS区域传送操作只在网络里真的有备用域名DNS服务器时才有必要用到,但许多DNS服务器却被错误地配置成只要有client发出请求,就会向对方提供一个zone数据库的详细信息,所以说允许不受信任的因特网用户执行DNS区域传送(zone transfer)操作是后果最为严重的错误配置之一

区域传送漏洞的危害:

黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,黑客可以绕过基于网络的访问控制。

DNS zone transfer 的正确配置

要知道,区域传送是DNS常用的功能,只有正确的配置才将发挥有利的作用。

为避免被利用该漏洞,一般常用两种方法:

方法一:严格限制允许区域传送(zone transfer)的主机IP

针对bind,可以在 Global 选项或 zone 选项中增加allow-transfer参数来控制

例如:

1
allow-transfer {192.168.1.1; 202.103.24.68;};

方法二:使用 TSIG key 来严格定义区域传送的关系

使用基于IP地址的访问控制列表可能会被某些“意志坚定”黑客绕过,最好加上 TSIG key 的配置

例如:

1
allow-transfer {key "dns1-slave1"; key "dns1-slave2";};

结语

每次事件都是一次学习的机会,我有所学习,相信其他人也是。

文章目录
  1. 1. 关于DNS区域传送(DNS zone transfer)
  2. 2. DNS zone transfer 的正确配置
    1. 2.1. 方法一:严格限制允许区域传送(zone transfer)的主机IP
    2. 2.2. 方法二:使用 TSIG key 来严格定义区域传送的关系
  3. 3. 结语