WikiDer > Перенос зоны DNS
Перенос зоны DNS, также иногда известный как вызывающий тип запроса DNS AXFR, это тип DNS сделка. Это один из многих механизмов, доступных администраторам для копировать Базы данных DNS в наборе DNS серверы.
Зональный перенос использует Протокол управления передачей (TCP) для транспорта и принимает форму клиент – сервер сделка. Клиент, запрашивающий перенос зоны, может быть вторичным сервером, запрашивающим данные у первичного сервера, исторически называемого мастер и раб.[1] Реплицируемая часть базы данных является зона.
Операция
Передача зоны состоит из преамбулы, за которой следует фактическая передача данных. Преамбула содержит поиск Начало полномочий (SOA) запись ресурса для «вершины зоны», узла пространства имен DNS, который находится наверху «зоны». Поля этой записи ресурса SOA, в частности «серийный номер», определяют, должна ли вообще происходить фактическая передача данных. Клиент сравнивает серийный номер записи ресурса SOA с серийным номером в последней имеющейся у него копии этой записи ресурса. Если порядковый номер передаваемой записи больше, считается, что данные в зоне «изменились» (некоторым образом), и вторичный сервер переходит к запросу фактической передачи данных зоны. Если серийные номера идентичны, считается, что данные в зоне «не изменились», и клиент может продолжать использовать копию базы данных, которая у него уже есть, если она у него есть.
Фактический процесс передачи данных начинается с того, что клиент отправляет запрос (код операции 0) со специальным типом запроса AXFR (значение 252) через TCP-соединение с сервером. Сервер отвечает серией ответных сообщений, содержащих все записи ресурсов для каждого доменного имени в «зоне». Первый ответ содержит запись ресурса SOA для вершины зоны. Остальные данные следуют в произвольном порядке. Окончание данных сигнализируется сервером, повторяющим ответ, содержащий запись ресурса SOA для вершины зоны.
Некоторые клиенты зональной передачи выполняют поиск преамбулы SOA, используя обычный механизм разрешения запросов DNS своей системы. Эти клиенты не открывают TCP-соединение с сервером, пока не определят, что им необходимо выполнить фактическую передачу данных. Однако, поскольку TCP может использоваться для обычных транзакций DNS, а также для зональной передачи, другие клиенты зональной передачи выполняют преамбулу поиска SOA через то же TCP-соединение, поскольку они затем (могут) выполнять фактическую передачу данных. Эти клиенты открывают TCP-соединение с сервером еще до того, как они выполнят преамбулу.
Предыдущее описывает полную передачу зоны. Инкрементальный перенос зоны отличается от передачи полной зоны по следующим параметрам:
- Клиент использует специальный QTYPE IXFR (значение 251) вместо AXFR QTYPE.
- Клиент отправляет запись ресурса SOA для вершины зоны, которая у него в настоящее время есть, если таковая имеется, в сообщении IXFR, давая серверу знать, какую версию «зоны» он считает текущей.
- Хотя сервер может ответить обычным способом AXFR с полными данными для зоны, он также может вместо этого ответить «инкрементной» передачей данных. Последний включает в себя список изменений данных зоны в порядке порядковых номеров зон между версией зоны, которую клиент сообщил серверу как имеющей, и версией зоны, текущей на сервере. Изменения включают два списка: один из удаляемых записей ресурсов и один из вставленных записей ресурсов. (Модификация записи ресурса представлена как удаление с последующей вставкой.)
Передача зоны полностью инициируется клиентом. Хотя серверы могут отправлять сообщение NOTIFY клиентам (о которых они были проинформированы) всякий раз, когда в данные зоны было внесено изменение, планирование передачи зон полностью находится под контролем клиентов. Клиенты планируют передачи зон сначала, когда их базы данных пусты, а затем через регулярные интервалы, в соответствии с шаблоном, который контролируется значениями в полях «обновить», «повторить» и «истечь» в записи ресурса SOA вершины зоны.
Ограничения
Хотя это стандартизовано, передача полной зоны описывается как один из возможных механизмов репликации базы данных в RFC 1034 и RFC 5936 (добавочный перенос зоны описан в RFC 1995), зонная передача является наиболее ограниченным из этих механизмов репликации базы данных. Зона передачи действует в условиях "формат провода"ресурсные записи, т.е. записи ресурсов по мере их передачи с использованием протокола DNS. Однако схема записей ресурсов формата проводов может не совпадать со схемой базы данных, используемой задние части самих DNS-серверов.
Операционные проблемы
Изменения серийного номера
В преамбуле зонного переноса используется серийный номер, и только серийный номер, чтобы определить, изменились ли данные зоны и, следовательно, требуется ли фактическая передача данных. Для некоторых пакетов DNS-серверов серийные номера записей ресурсов SOA хранятся администраторами вручную. Каждое редактирование базы данных включает в себя два изменения: одно - в изменяемую запись, а другое - в серийный номер зоны. Процесс требует аккуратности: администратор может забыть изменить серийный номер или изменить его некорректно (уменьшить). RFC 1912 (раздел 2.2 Записи SOA) рекомендует использовать значение YYYYMMDDnn в качестве числа (YYYY = год, MM = месяц, DD = день, nn = номер версии). Этого не произойдет до 4294 года.
В некоторых пакетах DNS-серверов эта проблема решена за счет автоматического построения серийного номера из метки времени последней модификации файла базы данных на диске. Это случай для djbdns, Например. Операционная система гарантирует, что отметка времени последнего изменения обновляется всякий раз, когда администратор редактирует файл базы данных, эффективно автоматически обновляя серийный номер и тем самым избавляя администраторов от необходимости делать два редактирования (в двух разных местах) для каждого отдельного изменения.
Кроме того, парадигма репликации базы данных, для которой разработана проверка серийного номера (и, собственно, передача самой зоны), которая включает в себя один центральный DNS-сервер, содержащий первичную версию базы данных, а все остальные DNS-серверы просто хранят копии, просто не соответствует что у многих современных пакетов DNS-серверов. Современные пакеты DNS-серверов со сложной серверной частью базы данных, такие как SQL серверы и Active Directory позволяют администраторам вносить обновления в базу данных в нескольких местах (такие системы используют репликация с несколькими мастерами), а собственный механизм репликации базы данных обрабатывает репликацию на все другие серверы. Эта парадигма просто не совпадает с парадигмой единственного центрального, монотонно увеличивающегося числа для записи изменений и, таким образом, в значительной степени несовместима с переносом зоны. Современные пакеты DNS-серверов со сложной серверной частью базы данных часто создают серийный номер «прокладки», имитируя существование единого центрального места, где производятся обновления, но это в лучшем случае несовершенно.
К счастью, по этой и нескольким причинам, описанным ниже, DNS-серверы, которые используют такие сложные серверные части базы данных, как правило, в первую очередь редко используют передачу зоны в качестве механизма репликации базы данных, и обычно вместо этого используют гораздо более совершенные механизмы распределенной репликации базы данных, которые используются в серверной части. сами обеспечиваем.
Сравнение серийных номеров
Сравнение серийных номеров предназначено для использования Арифметика серийных номеров как определено в RFC 1982. Однако это не было четко указано в RFC 1034, в результате чего не все клиенты выполняют проверку серийного номера в преамбуле одинаково. Некоторые клиенты просто проверяют, что серийный номер, предоставленный сервером, отличается от того, который известен клиенту, или не равен нулю. Другие клиенты проверяют, что серийный номер, предоставленный сервером, находится в заданном диапазоне серийного номера, уже известного клиенту. Тем не менее, другие клиенты по-прежнему выполняют последнюю проверку и дополнительно проверяют, не равен ли серийный номер, предоставленный сервером, нулю.
Множественные записи ресурсов
Первоначально при фактической передаче данных каждый набор записей ресурсов для одного доменного имени и типа передавался в отдельном ответном сообщении от сервера к клиенту. Однако это неэффективно, и некоторое программное обеспечение DNS-серверов реализовало оптимизацию, направленную на то, чтобы разрешить механизм сжатия ответов в протоколе DNS для снижения общих требований к пропускной способности для передачи данных, таких как:
- выполнение «дополнительной обработки раздела» для включения любых «связующих» наборов записей ресурсов в тот же ответ, что и набор записей ресурсов NS, SRV или MX
- сбор всех наборов записей ресурсов, относящихся к одному доменному имени, вместе и отправка их, если они подходят, в одном ответе
Некоторым клиентам было написано ожидать только исходный формат ответа и не смог бы выполнить передачу данных, если бы такая оптимизация использовалась. Таким образом, некоторые пакеты DNS-серверов имеют параметр конфигурации, позволяющий администраторам указывать использование ответов «в формате единого ответа» для тех клиентов, которым это необходимо.
Раскрытие данных
Данные, содержащиеся в зоне DNS, могут быть конфиденциальными с точки зрения операционной безопасности. Это связано с тем, что такая информация, как имена хостов серверов, может стать общедоступной, что может быть использовано для обнаружения информации об организации и даже для предоставления более крупных поверхность атаки. В июне 2017 года регистратор, ответственный за российские домены верхнего уровня, случайно включил передачу зон DNS через AXFR, что привело к случайному открытию 5,6 миллиона записей.[2]
В 2008 году суд в Северной Дакоте, США, постановил, что выполнение переноса зоны в качестве неавторизованного постороннего для получения информации, которая не была общедоступной, является нарушением закона Северной Дакоты.[3]
Смотрите также
использованная литература
- ^ Фудзивара, Кадзунори; Салливан, Эндрю; Хоффман, Пол. «Терминология DNS». tools.ietf.org. Получено 2020-06-21.
- ^ «Конфигурация неправильного связывания открывает в Интернете полный список российских TLD». Блог SecurityTrails. 2018-03-14. Получено 2018-04-10.
- ^ «Антиспамер оштрафован за доступ к DNS-записям частной сети». H. 18 января 2008 г.
- «Как работает протокол AXFR». Интернет-издание, D. J. Bernstein. Получено 15 февраля, 2005.
- «Понимание зон и зональный перенос». Документация по продукту Microsoft Windows Server 2003. Получено 2011-11-27.
- «Как работает поддержка DNS для Active Directory». Документация по продукту Microsoft Windows Server 2003. Получено 2011-11-27.
- «Репликация зоны DNS в Active Directory». Документация по продукту Microsoft Windows Server 2003. Получено 2011-11-27.
- МакКлюр, Стюарт; Скамбрей, Джоэл; Курц, Джордж (2009). Разоблачение взлома: секреты сетевой безопасности и решения (6-е изд.). Макгроу-Хилл. ISBN 978-0-07-161374-3.
внешние ссылки
Информация о стандартах безопасности
- Перенос зоны DNS CAPEC-291
- CVE-1999-0532 DNS-сервер разрешает передачу зон.
- Конфигурация CWE-16
- CWE-276 Неверные разрешения по умолчанию
Связанный запрос комментариев
- RFC 5936 Протокол передачи зоны DNS (определяет AXFR, обновляет RFC 1034 Доменные имена - концепции и возможности, и RFC 1035 Доменные имена - реализация и спецификация)
- RFC 1995 Инкрементальная передача зоны в DNS
- RFC 1996 Механизм быстрого уведомления об изменении зоны (DNS NOTIFY)
- draft-ietf-dnsext-axfr-Уточнить протокол передачи зоны DNS (AXFR) Интернет-проект