DNS-Zonen und Zonentransfer
Eine DNS-Zone ist ein administrativer Bereich des DNS-Namensraums, für den ein autoritativer Nameserver zuständig ist. Die Zone-Datei (Zone File) enthält alle DNS-Einträge dieser Zone: A-Records, MX-Records, CNAME-Records und mehr. Verstehen, wie Zone Files aufgebaut sind, ist Voraussetzung für die praktische Konfiguration von Windows-DNS und BIND.
Der Zonentransfer ist der Mechanismus, mit dem Secondary-Nameserver ihre Kopie der Zone vom Primary-Server erhalten. Sicherheit ist dabei entscheidend: Ein offener Zonentransfer (AXFR zu beliebigen Clients) gibt Angreifern eine vollständige Liste aller Hostnamen – ein klassisches Reconnaissance-Ziel im OSINT.
1) Zone File – Aufbau und Syntax
mail wird zu mail.example.de., aber mail.example.de. bleibt unverändert. Das ist eine häufige Fehlerquelle in Zone Files.2) Zonentransfer: AXFR und IXFR
Secondary-Nameserver prüfen regelmäßig ob der Primary eine neue Zone-Version hat (Refresh-Intervall aus SOA-Record). Gibt es Änderungen (andere Seriennummer), wird ein Zonentransfer gestartet.
ns1.example.de
Seriennr.: 2024020102
ns2.example.de
Seriennr.: 2024020101
Zusammenfassung
| Konzept | Erklärung |
|---|---|
| Zone File | Textdatei mit allen DNS-Records einer Zone. Beginnt mit SOA-Record. |
| @ (Zone-Apex) | Steht für den Zonennamen selbst (z.B. example.de) |
| Trailing Dot | Abschließender Punkt bei vollständigen Domainnamen – Pflicht! |
| Seriennummer | Im SOA-Record, muss bei Änderungen erhöht werden |
| AXFR | Full Zone Transfer – überträgt gesamte Zone |
| IXFR | Incremental Zone Transfer – überträgt nur Änderungen |
| TSIG | Transaction Signature – Authentifizierung beim Zonentransfer |
| NOTIFY | Primary informiert Secondary proaktiv über Zonenänderungen |