DNS – AXFR (Asynchronous Full Transfer Zone)

AXFR (Asynchronous Full Transfer Zone) je DNS protokol sloužící k přenosu celé DNS zóny z primárního DNS serveru na sekundární. Když je povolen odchozí AXFR, znamená to, že primární DNS server může odesílat zónové záznamy jinému serveru.

Konkrétně:

• Odchozí AXFR znamená, že tento server poskytne kopii celé DNS zóny jinému serveru, který o to požádá.
• Typicky je to pro synchronizaci sekundárních DNS serverů, aby měly aktuální kopii zóny (např. example.com).

Bezpečnostní rizika

Povolení odchozího AXFR pro kohokoli (bez omezení IP) je bezpečnostní riziko, protože:

• Kdokoli může získat kompletní seznam doménových záznamů (např. e-maily, subdomény, IP adresy).
• Může to být využito k průzkumu infrastruktury před útokem (tzv. reconnaissance).

Proto se běžně:

• Povoluje AXFR pouze na konkrétní IP adresy sekundárních DNS serverů.
• Nebo se AXFR úplně zakazuje a používají se modernější replikace (např. IXFR nebo DNSSEC).

Shrnutí

Povolený odchozí AXFR znamená, že DNS server umožňuje jiným DNS serverům získat kopii celé DNS zóny. Je to nutné pro DNS replikaci, ale zároveň potenciální bezpečnostní riziko, pokud není správně omezen.