☠ Penetrationstest

DNS Zone Transfer deaktivieren

Zone Transfer (AXFR) ermoeglicht es, alle DNS-Eintraege einer Domain auf einmal auszulesen — inklusive interner Hostnamen.

Risiko: Angreifer erhalten eine komplette Karte Ihrer Infrastruktur (alle Subdomains, interne Server, etc.).

BIND

# /etc/bind/named.conf.options:
options {
    allow-transfer { none; };
};

# Oder nur bestimmte Slave-Server erlauben:
options {
    allow-transfer { 1.2.3.4; 5.6.7.8; };
};

Managed DNS (Registrar)

Bei den meisten Managed-DNS-Providern ist Zone Transfer standardmaessig deaktiviert. Pruefen Sie die DNS-Einstellungen Ihres Registrars.

# Testen:
dig @ns1.ihr-provider.com ihre-domain.de AXFR
# Sollte fehlschlagen: "; Transfer failed."

Referenzen & weiterführende Links

DNS Zone Transfer Explained