任意要求者へのゾーン転送を許可しない設定
BIND採用が進むDNSサーバー,ただし多くが攻撃されやすい誤設定 | 日経 xTECH(クロステック)
一番簡単な対策としては/etc/named.confのoptionsディレクティブに
allow-transfer{ none; };
を追加する。デフォルトでは、
allow-transfer{ any; };
となっているので、dig @nameserver domain.name afxrで管理サブドメインまで閲覧可能になってしまう。上記設定でもIPスプーフィングによって攻撃することはできる。DNSの場合、IPは知られているので。それで、TSIGという秘密鍵を使う。