DNS Zone Transfer: 두 판 사이의 차이

IT위키
(새 문서: ; Master DNS와 Slave DNS 서버 간에 Zone 파일을 동기화하기 위한 프로토콜 Slave 서버는 주기적으로 Master 서버에 접속하여 Zone 파일을 비교하고,...)
 
 
(사용자 4명의 중간 판 6개는 보이지 않습니다)
6번째 줄: 6번째 줄:
* Zone 파일이 큰 곳은 Zone Transfer에 대한 부하가 크다
* Zone 파일이 큰 곳은 Zone Transfer에 대한 부하가 크다
* 스크립트나 다수의 호스트를 이용하여 Zone Transfer에 지속적으로 접근하면 [[서비스 거부 공격]]이 가능하다.
* 스크립트나 다수의 호스트를 이용하여 Zone Transfer에 지속적으로 접근하면 [[서비스 거부 공격]]이 가능하다.
* 사용하고 있는 IP대역, 방화벽 등 보안 장비의 IP정보 등이 노출될 수 있다.
* 공격예시
<pre class='shell'>
dig @192.168.206.111 axfr itwiki.kr    //192.168.206.111 DNS 서버의  itwiki.kr 영역에 있는 모든(axfr) 레코드 받아오기
</pre>


== 보안대책 ==
== 보안대책 ==
19번째 줄: 24번째 줄:
   allow-transfer {211.1.2.3};
   allow-transfer {211.1.2.3};
};
};
[[분류:보안]]
[[분류:보안 취약점]]
[[분류:정보보안기사]]

2020년 2월 15일 (토) 16:40 기준 최신판

Master DNS와 Slave DNS 서버 간에 Zone 파일을 동기화하기 위한 프로토콜

Slave 서버는 주기적으로 Master 서버에 접속하여 Zone 파일을 비교하고, 최신화한다.

취약점[편집 | 원본 편집]

  • Zone Transfer는 별도로 설정하지 않으면 모든 호스트에 열려있다.
  • Zone 파일이 큰 곳은 Zone Transfer에 대한 부하가 크다
  • 스크립트나 다수의 호스트를 이용하여 Zone Transfer에 지속적으로 접근하면 서비스 거부 공격이 가능하다.
  • 사용하고 있는 IP대역, 방화벽 등 보안 장비의 IP정보 등이 노출될 수 있다.
  • 공격예시
dig @192.168.206.111 axfr itwiki.kr    //192.168.206.111 DNS 서버의  itwiki.kr 영역에 있는 모든(axfr) 레코드 받아오기

보안대책[편집 | 원본 편집]

  • DNS를 Master/Slave로 운영하지 않는다면 Zone Transfer를 사용하지 않도록 설정한다.
options {
  allow-transfer {none};
};
  • Zone Transfer를 운영해야 할 경우 Slave를 특정하여 운영한다.
options {
  allow-transfer {211.1.2.3};
};