AXFR DNS Zone Transfer

Das Domain Name System (DNS) ist für Angreifer seit jeher eine besonders interessante Informationsquelle. Über Subdomains werden häufig produktive, administrative oder technisch sensible Systeme betrieben, deren Existenz keineswegs immer beabsichtigt öffentlich kommuniziert wird. Da DNS grundsätzlich kein vertrauliches System ist, lassen sich daraus wertvolle Hinweise auf interne Strukturen gewinnen. Für Angreifer ist es daher besonders attraktiv, diese Systeme systematisch zu identifizieren. In diesem Zusammenhang haben wir untersucht, auf welche Weise und in welchem Umfang Zonentransfers (AXFR) bei .ch-Domains möglich sind und wie häufig entsprechende Fehlkonfigurationen in der Praxis auftreten.

Was ist AXFR?

AXFR (Asynchronous Full Zone Transfer) ist ein DNS-Mechanismus, mit dem ein Nameserver die vollständige DNS-Zone – inklusive aller Subdomains und Einträge – von einem anderen Nameserver abruft. Er ist für die Synchronisation zwischen autoritativen DNS-Servern gedacht, stellt aber ein Sicherheitsrisiko dar, wenn er unbeabsichtigt öffentlich erlaubt ist, da Angreifer so die komplette Struktur einer Domain auslesen können.

Welche AXFR-Möglichkeiten gibt es?

Wir haben verschiedene Möglichkeiten untersucht, ob ein DNS-Server einen kompletten Zone-Transfer ermöglicht. Dabei kann es sein, dass die eine Art funktioniert, die anderen jedoch nicht. Hängt ganz von der Konfiguration der DNS-Server ab.

AXFR via:

• IPv4, TCP
• IPv4, UDP
• IPv6, TCP
• IPv6, UDP
• Anycast, TCP
• Anycast, UDP

Resultate

Wir haben bei 2’606’397 .ch-Domains untersucht, ob AXFR auf eine oder mehrere Arten möglich ist.

Bei 24’898 (0.96%) Domains ist AXFR möglich.

Unsere Untersuchung zeigte, dass nur die folgenden drei Möglichkeiten funktionierten:

• IPv4, UDP mit 24’825 Domains
• IPv4, TCP mit 24’712 Domains
• IPv6, TCP mit 2’006 Domains

Bei den erfolgreichen Zone-Transfers fanden wir folgende Records-Typen:

• A: 461’774
• AAAA: 190
• TXT: 162’875
• MX: 60’765
• NSEC: 14’934
• NSEC3: 10’815
• CNAME: 131’523
• SRV: 51’206

Fazit

Die Daten in öffentlichen DNS sind nicht geheim. Für jedes System, welches man dort einträgt, muss man sich bewusst sein, ist öffentlich. Ob man nun AXFR zulassen will oder nicht, muss jeder DNS-Betreiber selbst entscheiden. Was man sich aber bewusst sein muss, es gibt verschiedene Möglichkeiten einen Zone-Transfer anzufragen. Somit muss man alle diese Möglichkeiten bei der Konfiguration berücksichtigen.