AXFR es un mecanismo de transferencia de zona DNS—un volcado completo de todos los registros DNS de un servidor de nombres primario a uno secundario. Abreviatura de "Asynchronous Full Transfer" (Transferencia Completa Asincrónica).
Uso legítimo: replicar zonas entre servidores de nombres para redundancia y balanceo de carga. La operación normal requiere autenticación entre servidores.
El problema: si tu servidor de nombres permite consultas AXFR no autenticadas, cualquiera en internet puede solicitar un volcado completo de zona. Esto filtra toda tu infraestructura DNS—cada subdominio, servidor de correo, dirección IP, esquemas de nombres internos. Regalo de reconocimiento para atacantes.
Ángulo de bunkerdomains: si ejecutas tu propio servidor de nombres o usas un proveedor edge, desactiva AXFR o restringe a secundarios explícitos únicamente. Verifica regularmente tu configuración de transferencia de zona. Algunos registradores y hosts DNS dejan esto abierto por defecto—descuidado. Recomendamos verificar regularmente tus registros de servidor de nombres autoritativo y configuración.
Relacionado: los archivos de zona son oro para atacantes. DNSSEC adecuado, ACL restrictivas y monitoreo importan más de lo que la mayoría de registrantes comprenden.