配置漏洞之DNS域传送

DNS域传送漏洞

windows利用方式：

nslookup

server=ns.vul.com

ls vul.com

Linux利用方式：

dig axfr @ns.vul.com vul.com

wooyun事例：

漏洞出现的原因：

DNS区域传送（DNS zone transfer）指的是一台备用服务器使用来自主服务器的数据刷新自己的域（zone）数据库，目的是为了做冗余备份，防止主服务器出现故障时dns解析不可用。然而主服务器对来请求的备用服务器未作访问控制，验证身份就做出相应故而出现这个漏洞。

如何修复（以bind9为例）：

修改dns服务器的配置，设置允许域传送服务器的白名单。EXP：针对bind的服务器，可以编辑/etc/named.conf文件，设置allow-transfer项的参数。

TSIG key生成与配置：

工具：dnssec-keygen