A Zona DNS é a delimitação administrativa de um domínio dentro da árvore hierárquica do DNS. Toda zona é definida por um Arquivo de Zona que contém todos os registros de recursos daquele domínio.

1. O Arquivo de Zona

Um arquivo de zona é um arquivo de texto plano (geralmente gerado pelo software BIND) que contém os registros DNS.
- O primeiro registro do arquivo deve ser o SOA (Start of Authority).
- O SOA contém o Número de Serial da zona. Sempre que o administrador faz uma alteração, o serial é incrementado.

Exemplo de SOA:

@   IN  SOA ns1.empresa.com. admin.empresa.com. (
                2024040501  ; Serial (YYYYMMDDNN)
                3600        ; Refresh (1 hora)
                600         ; Retry (10 min)
                1209600     ; Expire (2 semanas)
                300         ; Minimum TTL
)

2. Transferência de Zona (AXFR / IXFR)

Este é o mecanismo que os servidores Secundários usam para se manter sincronizados com o Primário.

• AXFR (Full Zone Transfer): O servidor secundário solicita e recebe o arquivo de zona inteiro. Usado na primeira sincronização.
• IXFR (Incremental Zone Transfer): O servidor secundário solicita apenas as alterações feitas desde o último número de serial que ele conhece. Muito mais eficiente para zonas grandes.

3. Segurança na Transferência de Zona

Como um arquivo de zona contém todos os nomes de hosts internos (ex: dev-servidor.empresa.com), ele é uma fonte valiosa de informações para atacantes (Reconnaissance).
- Boa Prática: Configurar o servidor primário para permitir transferências de zona apenas para endereços IP específicos dos servidores secundários conhecidos.
- TSIG (Transaction Signature): Uma extensão que usa chaves criptográficas compartilhadas para autenticar a transferência de zona entre servidores.

[!WARNING]
Testar a transferência de zona é um passo padrão de testes de intrusão. O comando dig @ns1.alvo.com alvo.com axfr tentará baixar toda a zona. Se o comando funcionar, a empresa tem uma séria falha de configuração de DNS.