官方解释:

    将区域文件复制到多个 DNS 服务器的过程称为区域转移。 可以通过将区域文件从一个 DNS 服务器复制到另一个 DNS 服务器来实现区域转移。 在传输期间,主 DNS 服务器是区域信息的来源。 主 DNS 服务器可以是主要 DNS 服务器,也可以是辅助 DNS 服务器。 如果主 DNS 服务器是主要 DNS 服务器,则区域传输直接来自托管主要区域的 DNS 服务器。 如果主服务器是辅助 DNS 服务器,则通过区域传输方式从主 DNS 服务器接收的区域文件为只读辅助区域文件的副本。

    域名系统 (DNS) 最初设计为一个开放协议,因此很容易受到攻击。 默认情况下,DNS 服务器服务仅允许区域信息转移到区域的名称服务器 (NS) 资源记录中列出的服务器。 这是一个安全配置,但为了提高安全性,此设置应更改为允许区域转移到指定 IP 地址的选项。 如果将此设置更改为允许区域转移到任何服务器,这可能会将你的 DNS 数据暴露给试图占用你的网络的攻击者。

    占用是这样一个过程:攻击者通过获取 DNS 区域数据来获取敏感网络资源的 DNS 域名、计算机名和 IP 地址。 攻击者通常使用此 DNS 数据图解或占用网络以便开始攻击。 DNS 域和计算机名通常表明域或计算机的功能或位置,以便有助于用户更轻松地记住和识别域和计算机。 攻击者利用相同的 DNS 原则了解网络中域和计算机的功能和位置。

    从安全角度查看区域转移配置的下列指南:

    • 低级安全性:所有 DNS 区域允许区域传输到任何服务器。
    • 中级安全性:所有 DNS 区域限制区域传输到其区域中名称服务器 (NS) 资源记录中列出的服务器。
    • 高级安全性:所有 DNS 区域限制区域传输到指定 IP 地址。