|
Zone Transfer
DNS架構下常需透過更新的動作來更新Zone區域內的資料,DNS主機與主機間 Zone Date
(轄區資訊)是經常在進行比對與交換的,如此才能確保查詢到的資料為正確。除了主機間進行資料的傳送外,在進行人工除錯時,也常使用此方式將對方主機的轄區資料列出來,正常情況下,在一信任網域下,將資料列出是沒有問題的,若是能由外界進行查找時,那將為演變為具有危險的行為,試想,若有人能將您家中的擺設或是資訊都摸的一清二楚,是不是相當恐怖的感覺,因此,限制您的
Zone transfer 將是相當重要的設定。
Zone Transfer檢測方式
透過 nslookup 或是 dig 等工具您可以做到,以 Nslookup 為例,
首先進入交談模式
|
1. 設定對方NS為查詢用NS
2. 列出 Zone Data
ls -d <查詢的 domain
name >
3. 若能看到資訊則表示可以做查詢
備註:若您的主機位址在您DNS 伺服器所管轄的區域內,此動作是正確的;反之,若能由外部進行查詢,則請更正。
|
圖一、可以由外界進行查詢
圖二、有做限制,無法查詢
BIND 下設定限制 Zone Transfer
在unix或是linux等系統下,若您使用 ISC Bind 作為您DNS版本,您可以在其設定檔
" named.conf"底下進行設定。
BIND底下 Zone Transfer 選項是預設為全部開放的,若您未做任何限制,將很容易遭人由外部將您資訊取出。
如何設定?
|
您可以使用 options 選項進行設定,在您的 named.conf下加入
options {
allow-transfer { 1.2.3.4; };
}
設定後(注意分號) 重新啟動 DNS 服務即可
PS. 也可直接加在正解設定區內,此時無須options做標號
|
圖三、設定範例
Windows 2000 SERVER 設定
DNS
1 . 您可以在您DNS設定選項下選擇設定伺服器。
2. 選擇轉送程式,將其設定為有效,並輸入您允許轉送之主機。
3. 進階選項部分,請將保護快取以防侵害及不正確的區域資料載入失敗都選為開啟。
4. 設定後重新啟動DNS伺服器即可完成設定。
TWCERT/CC
|
