私は、DNSサーバーとしてDebianストレッチとバインド9.10.3を使用しています。
今日、ログファイルに次のエントリが表示されました。
Apr 17 23:04:22 ns named[111]: client 45.83.65.112#48974 (localhost): transfer of 'localhost/IN': AXFR started (serial 2)
Apr 17 23:04:22 ns named[111]: client 45.83.65.112#48974 (localhost): transfer of 'localhost/IN': AXFR ended
IPアドレスはゾーンdns-ops.arin.net.
に属し、whoisはINTERNET-RESEARCH-NET
を指します。
(*)私の設定は主にデフォルトのDebianの設定です。重要なのは、ストックnamed.conf.default-zones
ファイルを変更していないことです。つまり、転送は一切許可されません。
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
これはあなたの男です: https://www.alphastrike.io/
彼ら自身の言葉で:
Alpha Strike Labsは、産業セキュリティと高度なセキュリティ評価を専門とするセキュリティコンサルティング会社です。ベルリンとウィーンに拠点を置き、サイバーセキュリティのさまざまな分野でハイエンドのプロフェッショナルサービスを提供することに誇りを持っています。
心配する必要がありますか?
つまり、いいえ。しかし、現在、ほとんどのDNSサーバーはゾーン転送を拒否するように構成されています。これは、インフラストラクチャの照合が少し簡単になるためです。一方、これは秘密の情報ではありません。ゾーンの適切なチャンクは、IP範囲のスキャンやリバースDNSの実行などの間接的な方法から再構築できます。
なぜlocalhostゾーンを転送するのですか?
一般的に言って:
ゾーンを列挙できるエンティティは、宣言したすべてのホストを把握できます。これには正当な理由があります:research。インターネットセキュリティ会社など、多くの企業が調査と統計の目的でインターネットを調査しています。非常に一般的な例は、Webサーバーやメールサーバーなどのインターネットソフトウェアベンダーの市場シェアの測定です。それも検索エンジンだったかもしれない。彼らは、さもなければ気付かれないであろう新しいホストを発見し、クロールし、インデックスを付けるためにあらゆるトリックを使わなければなりません。結論:インターネット上で公開されているマシンは常に調査され、すべての調査が悪意があるとは限りません。
しかし、ここでの興味深い質問は次のとおりです:なぜlocalhostゾーンを具体的に転送するのですか?通常、ゾーンはこのような:
localhost。 604800 IN SOA localhost。root.localhost。2 604800 86400 2419200 604800 localhost。604800 IN NS localhost。 localhost 。604800 IN A 127.0.0.1 localhost。604800 IN AAAA :: 1 localhost。604800 IN SOA localhost。root.localhost。2 604800 86400 2419200 604800
だから私は彼らがどのような種類のジューシーな詳細(内部ホスト名?)をここで見つけることを期待しているのかわかりません。あなたは彼らに直接連絡して尋ねることができます。正当な企業が、なぜ、どのようにシステムを調査しているのかを恥じてはいけません。
この転送が成功するのはなぜですか? (*)
私の知る限り、これはBindではデフォルトで許可されています。ゾーンごとまたはグローバルにAXFRを拒否できます。これをグローバルに無効にするには、次のエントリを追加します:allow-transfer {"none";};
named.conf
。 AXFRを使用してマスターと同期するスレーブネームサーバーがある場合は、それらのIPアドレスまたは範囲をホワイトリストに登録します。それ以外の場合は、ゾーンを全世界に公開する理由がないため、ゾーン転送を安全に無効にできます。
allow-transfer を参照してください