ZoneTransfer.me
在培训和与客户交流时,我经常需要解释DNS区域传输相关的安全问题。演示过程中最大的困难在于:既要找到启用区域传输的域名,又要确保该功能持续开启。为了解决这个问题,我注册了zonetransfer.me域名——这个易记的域名将始终保持区域传输功能开启。
域名:zonetransfer.me 名称服务器:nsztm1.digi.ninja 和 nsztm2.digi.ninja 欢迎在培训和客户交流中使用此域名,希望能帮助大家理解为什么公共DNS服务器在绝大多数情况下都应该禁用区域传输。
技术解析
首先使用dig命令执行完整的区域传输:
|
|
输出结果包含47条记录,以下是关键信息分析:
SOA记录分析
|
|
- 主名称服务器:nsztm1.digi.ninja
- 管理员邮箱:robin@digi.ninja(将第一个点替换为@)
- 序列号:2014101601(基于日期的变更标识)
- 刷新间隔:172800秒(48小时)
- 重试时间:900秒(15分钟)
- 过期时间:1209600秒(14天)
- 最小TTL:3600秒(1小时)
安全影响:管理员邮箱可用于社会工程学攻击,序列号变更可能暗示公司活动。
NS记录
|
|
安全建议:检查所有可用名称服务器的区域传输配置,经常出现单台服务器意外启用该功能的情况。
MX记录
显示使用Google邮件服务器,表明公司使用Gmail或Google Apps处理邮件,这意味着存在基本的垃圾邮件和病毒检查。
LOC记录
|
|
转换为十进制坐标:53.349044, -1.642646(可在Google地图查看)。这泄露了灾难恢复站点的实际位置。
TXT记录
包含多种敏感信息:
- 系统管理员联系方式(电话+44 123 4567890,邮箱pippa@zonetransfer.me)
- Google站点验证信息
- GoDaddy SSL证书验证字符串
- 项目说明信息
CNAME记录
|
|
测试站点通常安全性较低,是更好的攻击向量。暂存服务器也应作为潜在目标。
PTR记录
|
|
将IP地址映射回域名。
SRV记录
|
|
服务记录显示SIP over TCP服务运行在5060端口,主机为www.zonetransfer.me。
A记录分析
多个A记录泄露了关键基础设施信息:
- 主网站(空白和www记录)
- VPN服务器(可能绕过IDS/IPS)
- OWA服务器(Outlook Web Access,可能与Google邮件服务集成)
- 办公室IP地址(主办公室在英国,分办公室在Canberra和DC)
攻击策略:办公室通常比数据中心防御薄弱,可根据地理位置信息选择最佳攻击时机(如周五下班后或长假期间)。
安全总结
通过简单的DNS区域传输,攻击者可以获取:
- 邮件系统配置(Google + 可能的内网Exchange)
- 灾难恢复站点精确位置
- 系统管理员联系方式(可用于社会工程学攻击)
- SIP系统网关IP和端口
- 6个潜在目标IP(3个数据中心 + 3个办公室)
- 测试和暂存服务器信息
- SSL证书提供商(GoDaddy)和域名管理平台(Google Apps)
所有这些信息都因配置错误而泄露。希望通过这个实际案例,能够说服学生和客户永远不要在公共DNS服务器上启用区域传输功能。