AXFR—механизм передачи DNS-зоны, полный дамп всех DNS-записей с первичного nameserver на вторичный. Сокращение от «Asynchronous Full Transfer».
Легитное использование: репликация зон между nameservers для резервирования и балансировки нагрузки. Нормальная операция требует аутентификации между серверами.
Проблема: если твой nameserver допускает неаутентифицированные AXFR-запросы, любой в интернете может запросить полный дамп зоны. Это утекает всю твою DNS-инфраструктуру—каждый поддомен, почтовый сервер, IP-адрес, схемы внутреннего именования. Разведданные в подарок атакующим.
Позиция bunkerdomains: если ты запускаешь собственный nameserver или используешь edge-провайдера, отключи AXFR или ограничь его явными вторичными. Регулярно проверяй настройки передачи зоны. Некоторые регистраторы и DNS-хосты оставляют это открытым по умолчанию—халтура. Мы рекомендуем проверять логи авторитетного nameserver и конфигурацию.
Related: файлы зон—золото для атакующих. Правильный DNSSEC, ограничивающие ACL и мониторинг важнее, чем понимает большинство регистрантов.