Zone Transfer چیست؟
DNS Zone Transfer (AXFR) مکانیزمی برای کپی کامل رکوردهای DNS از یک سرور به سرور دیگر است. این ویژگی برای همگامسازی DNS سرورهای Primary و Secondary طراحی شده، اما اگر بهدرستی محدود نشود، مهاجمان میتوانند تمام رکوردهای DNS دامنه شما (شامل سابدامینها و IPها) را دریافت کنند.
خطر Zone Transfer باز
مهاجم میتواند لیست کامل سابدامینها و IPهای سرور شما را ببیند. این اطلاعات برای حملات هدفمند، شناسایی سرورهای داخلی و نقشهبرداری زیرساخت استفاده میشود.
بررسی آسیبپذیری
dig AXFR domain.com @ns1.domain.comاگر لیست رکوردها نمایش داد، Zone Transfer باز است!
غیرفعال کردن
در BIND/Named
فایل /etc/named.conf:
options {
allow-transfer { none; };
};اگر DNS Secondary دارید:
options {
allow-transfer { SECONDARY_DNS_IP; };
};systemctl restart namedدر دایرکت ادمین
nano /etc/named.conf
# در بخش options:
allow-transfer { none; };
یا از CustomBuild:
cd /usr/local/directadmin/custombuild
./build named_confدر cPanel/WHM
از WHM: DNS Functions > Edit DNS Zone. در تنظیمات BIND: allow-transfer را محدود کنید.
بررسی مجدد
dig AXFR domain.com @ns1.domain.comباید پیام Transfer failed یا connection refused نشان دهد.
سایر تنظیمات امنیتی DNS
غیرفعال کردن Recursion برای IPهای غیرمجاز، فعالسازی DNSSEC، و محدود کردن Rate Limiting.
کانفیگ سرور شامل hardening DNS و امنیت سرور. سرور مجازی با DNS امن.