Возможность раскрытия полной информации о зоне корневых DNS-серверов

21.10.2002 | 15:27
Сообщается о том, что DNS-сервера верхнего уровня (Top Level Domain - TLD DNS-servers) могут быть использованы для получения полной информации о всей зоне, за которой ответственен данный DNS-сервер.

Подобная возможность основана на т.н. механизме AXFR (спецификация передачи полной зонной информации). Данный механизм описан подробно в RFC 1034/1035 и предназначен для обмена информацией между корневыми DNS-серверами. Отсутствие ограничений в передаче информации может быть использовано в целях получения информации для массовой рассылки флуда, проведения распределенных DoS-атак и т.д. (обнаружение открытых релэев-почты, прокси-серверов, серверов с определёнными типами ОС).

Записи некоторых корневых DNS-серверов содержат сотни тысяч записей о серверах в их зоне ответственности. Сформировав соответствующий AXFR-запрос к DNS-серверу, получить эту информацию может любой пользователь. Совершенно очевидно, что в настоящий момент существует довольно большое количество инструментов, при помощи которых возможно получить эту информацию. Кроме того, сформировав большое количество соответствующих запросов, можно провести атаку типа DoS на соответствующие сервера. Довольно легко себе представить, что произойдет при отказе какого-нибудь из подобных серверов.

Как временное решение проблемы, советуется использовать механизм ограничения передачи AXFR при помощи опции allow-transfer в BIND версий 8,9.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код