AXFR ist ein DNS-Zone-Transfer-Mechanismus – ein vollständiger Dump aller DNS-Einträge von einem primären Nameserver zu einem sekundären. Kurz für „Asynchronous Full Transfer".
Berechtigte Verwendung: Replikation von Zonen über Nameserver für Redundanz und Last-Balancing. Normale Operation erfordert Authentifizierung zwischen Servern.
Der Haken: Wenn dein Nameserver unauthentifizierte AXFR-Anfragen erlaubt, kann jeder im Internet einen vollständigen Zone-Dump anfordern. Das leckt deine gesamte DNS-Infrastruktur – jede Subdomain, jeden Mail-Server, jede IP-Adresse, interne Naming-Schemata. Ein Geschenk für Angreifer bei der Aufklärung.
Bunkerdomains-Winkel: Wenn du deinen eigenen Nameserver betreibst oder einen Edge-Provider nutzt, deaktiviere AXFR oder beschränke es auf explizite Sekundären nur. Überprüfe deine Zone-Transfer-Einstellungen regelmäßig. Einige Registrare und DNS-Hosts lassen das standardmäßig offen – schlampig. Wir empfehlen, deine autoritativen Nameserver-Logs und -Konfiguration zu überprüfen.
Verwandt: Zone-Dateien sind Gold für Angreifer. Ordentliches DNSSEC, restriktive ACLs und Monitoring sind wichtiger als die meisten Registranten realisieren.