Dokumentation

Vad är en exponerad DNS Zone Transfer

Vad är en DNS zone transfer?

En DNS zone transfer (AXFR) är en mekanism som gör det möjligt för en DNS-server att replikera sin kompletta databas med poster till en annan DNS-server. Detta är en legitim och nödvändig funktion i infrastrukturer där en primär namnserver behöver hålla sekundära namnservrar synkroniserade.

Problemet uppstår när en namnserver är felkonfigurerad att svara på zone transfer-förfrågningar från vilken IP-adress som helst, snarare än endast från betrodda sekundära namnservrar. Detta kallas en öppen zone transfer och är en sårbarhet som läcker information.

Varför är det en risk?

Ett lyckat AXFR-svar ger en angripare en komplett karta över din domän:

  • Alla subdomäner (inklusive interna och staging-miljöer som du kanske inte vill göra publika)
  • Alla IP-adresser som dessa subdomäner pekar på
  • E-postserverposter, SPF- och DKIM-poster
  • Interna tjänstenamn och infrastrukturtopologi

Detta minskar dramatiskt det arbete en angripare behöver göra för att kartlägga din attackyta. Subdomäner som inte är publikt länkade — och som du kanske har glömt — avslöjas omedelbart. Gamla, opatchade servrar och bortglömda admingränssnitt blir synliga.

Vad du bör göra

Steg 1 — Kontrollera om dina namnservrar är sårbara

Testa var och en av dina auktoritativa namnservrar:

dig axfr dindomän.se @ns1.dindomän.se
dig axfr dindomän.se @ns2.dindomän.se

Om du får en komplett lista med DNS-poster i svaret tillåter din namnserver öppna zone transfers. Om du får Transfer failed eller REFUSED är du skyddad.

Steg 2 — Begränsa zone transfers på namnservernivå

BIND (named.conf):

zone "dindomän.se" {
    type master;
    file "/etc/bind/db.dindomän.se";
    allow-transfer { 192.0.2.53; };  // endast din sekundära namnserver-IP
};

Windows DNS Server:

I DNS Manager → högerklicka på zonen → Egenskaper → fliken Zone Transfers → aktivera "Endast till följande servrar" och lista dina sekundära namnservrar.

Molnbaserade DNS-leverantörer (Cloudflare, AWS Route 53, Google Cloud DNS):

Moderna managed DNS-leverantörer exponerar inte AXFR för publika klienter alls. Om du använder en managed leverantör och fortfarande ser att zone transfers lyckas, kontakta leverantörens support.

Steg 3 — Granska vad som exponerades

När problemet är åtgärdat, se över de poster som var (eller skulle ha kunnat vara) exponerade och identifiera eventuella subdomäner eller tjänster som inte bör vara publikt åtkomliga. Vidta åtgärder för att härda eller avveckla dessa tjänster.

Viktigt att notera

Att begränsa zone transfers döljer inte dina DNS-poster för en tålmodig angripare — de kan fortfarande lista subdomäner via brute-force eller passiva DNS-databaser. Men det tar bort möjligheten att göra det omedelbart och fullständigt, vilket avsevärt höjer kostnaden för rekognosering.

Senast uppdaterad: March 28, 2026