为什么考虑这种情况
如果区域转移设置配置为允许区域转移到任何服务器,则可以将域名系统 (DNS) 区域数据发送到未授权的 DNS 服务器。 这种公开的 DNS 区域数据可能会使网络更容易受到攻击,因为网络攻击者会使用此 DNS 区域数据帮助他们从敏感网络资源的域名、计算机名称及 IP 地址等方面绘制你的网络。
观看客户工程师解释问题
上下文和最佳做法
将区域文件复制到多个 DNS 服务器的过程称为区域转移。 可以通过将区域文件从一个 DNS 服务器复制到另一个 DNS 服务器来实现区域转移。 在传输期间,主 DNS 服务器是区域信息的来源。 主 DNS 服务器可以是主要 DNS 服务器,也可以是辅助 DNS 服务器。 如果主 DNS 服务器是主要 DNS 服务器,则区域传输直接来自托管主要区域的 DNS 服务器。 如果主服务器是辅助 DNS 服务器,则通过区域传输方式从主 DNS 服务器接收的区域文件为只读辅助区域文件的副本。
域名系统 (DNS) 最初设计为开放协议,因此很容易受到攻击。 默认情况下,DNS 服务器服务仅允许区域信息转移到区域的名称服务器 (NS) 资源记录中列出的服务器。 这是一个安全配置,但为了提高安全性,此设置应更改为允许区域转移到指定 IP 地址的选项。 如果将此设置更改为允许区域传输到任何服务器,这可能会将 DNS 数据暴露给试图入侵你网络的攻击者。
占用是这样一个过程:网络攻击者获取 DNS 区域数据,以向其提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。 网络攻击者通常使用此 DNS 数据绘制网络图或占用网络,以便发起网络攻击。 DNS 域和计算机名通常表明域或计算机的功能或位置,有助于用户更轻松地记住和识别域和计算机。 网络攻击者利用相同的 DNS 原理了解网络中域和计算机的功能或位置。
从安全角度查看区域转移配置的下列指南:
- 低级安全性:所有 DNS 区域允许区域传输到任何服务器。
- 中级安全性:所有 DNS 区域限制区域传输到其区域中名称服务器 (NS) 资源记录中列出的服务器。
- 高级安全性:所有 DNS 区域限制区域传输到指定 IP 地址。
建议措施
若要针对安全区域转移配置 DNS 区域,请将区域转移设置更改为允许区域转移到特定 IP 地址的选项,操作如下:
- 在 DNS 管理器中,右键单击 DNS 区域的名称,然后选择“属性”。
- 在“区域传输”选项卡上,选择“允许区域传输”。
- 选择“只允许传输到下列服务器”。
- 选择“编辑”,然后在“辅助服务器的 IP 地址”列表中,输入要指定的服务器 IP 地址。
- 输入所需的所有 IP 地址后,选择“确定”。
也可以使用 �dnscmd� 命令行获得相同的结果。
- 打开提升的命令提示符。
- 在命令提示符处,键入以下命令并按 Enter 键:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
例如:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
了解详情
有关了解区域转移工作原理的详细信息,请参阅 https://technet.microsoft.com/library/cc781340(WS.10).aspx 中的 "了解区域和区域转移"。
有关如何配置区域转移的详细信息,请参阅 https://technet.microsoft.com/library/cc771652.aspx 上的 "修改区域转移设置"。