💭 Jeremys Brain

DNS-Zonetransfer-Angriff

2 min read

Zone Transfer Angriffe (DNS-Zonenübertragungen)

Ein Zone-Transfer-Angriff ist eine Technik, bei der ein Angreifer versucht, die DNS-Zoneninformationen einer Domain abzurufen. Diese Daten können sensible Informationen wie IP-Adressen, Subdomains und Netzwerkinfrastrukturen enthalten.

Was ist ein DNS-Zonenübertragungsangriff?

DNS-Zonenübertragung (AXFR) ist eine Funktion, mit der sekundäre DNS-Server die gesamte Zonendatei von einem primären DNS-Server abrufen. Wenn der primäre DNS-Server nicht korrekt konfiguriert ist, kann jeder Anfragen stellen und die Daten erhalten. Ein Angreifer könnte dies nutzen, um:

  • Netzwerkstrukturen auszuspionieren,
  • Hosts und Dienste zu identifizieren,
  • Schwachstellen zu finden.

Angriffsverfahren

1. Mit dig

dig (Domain Information Groper) ist ein leistungsstarkes DNS-Tool, das häufig verwendet wird, um Zonenübertragungen durchzuführen.

# Syntax:
dig @<DNS-Server> <Domain> AXFR
 
# Beispiel:
dig @ns1.example.com example.com AXFR

2. Mit host

Das host-Tool kann auch verwendet werden, um Zonendaten zu extrahieren.

# Syntax:
host -l <Domain> <DNS-Server>
 
# Beispiel:
host -l example.com ns1.example.com

3. Mit nslookup

nslookup ist ein älteres DNS-Diagnosetool, das ebenfalls genutzt werden kann.

# Schrittweise Befehle:
nslookup
> server <DNS-Server>
> ls -d <Domain>
 
# Beispiel:
nslookup
> server ns1.example.com
> ls -d example.com

4. Mit Kali-Linux-Tools

In Kali Linux gibt es spezialisierte Tools, um DNS-Zonenübertragungen durchzuführen:

  • dnsenum: Automatisiert die Erkennung von Subdomains und DNS-Zonenübertragungen.

    dnsenum --dnsserver <DNS-Server> <Domain>

  • fierce: Dient zur DNS-Rekonstruktion und Zone Transfer.

    fierce --domain <Domain> --dns-servers <DNS-Server>

  • dnsrecon: Ein weiteres Tool zur DNS-Aufklärung und Zonenübertragung.

    dnsrecon -d <Domain> -t axfr -n <DNS-Server>

Schutzmaßnahmen

  1. Einschränkung von Zonenübertragungen
    Konfigurieren Sie den DNS-Server so, dass Zonenübertragungen nur autorisierten Servern erlaubt sind. Bei BIND-DNS-Servern wird dies wie folgt konfiguriert:

    options {
    allow-transfer { <Erlaubte_IP_Adressen>; };
};

  2. DNSSEC verwenden
    Aktivieren Sie DNSSEC, um DNS-Daten zu signieren und die Integrität zu gewährleisten.

  3. Überwachung der DNS-Logs
    Stellen Sie sicher, dass DNS-Anfragen protokolliert werden und überwachen Sie verdächtige Aktivitäten.

  4. Firewall konfigurieren
    Beschränken Sie den Zugriff auf den Port 53 (DNS) nur für vertrauenswürdige Hosts.

Beispiel für eine unsichere Konfiguration

Ein DNS-Server, der Zonenübertragungen an jeden erlaubt, zeigt die gesamte Zonendatei:

dig @8.8.8.8 example.com AXFR

Network-Attacks-Overview

Tags

DNSZoneTransferCybersecurityKaliLinuxPenetrationTesting

Graph View