Eu nunca encontrei nenhuma referência a isso em exemplos de setups, incluindo aqueles do Bind ARM.
No entanto, percebi que meu servidor autoritativo recebia solicitações de transferência de IPs - não seus nomes - que faziam parte de um conjunto de servidores-raiz - a raiz do DNS.
Eu estava prestes a permitir essas transferências na minha configuração e pensei em verificar novamente.
Se eu estiver certo, a raiz só responderá pelos gTLDs e, depois, pelos TLDs apenas pelos respectivos domínios de nível seguinte - delegações.
Mas, se eu entendi o design hierárquico do DNS, cabe a cada servidor fornecer todas as informações que ele possui, em vez de fornecer o mínimo estrito e encaminhar o cliente para o processo iterativo. Então, por que não, um servidor raiz poderia querer responder sobre minhas zonas ... isso aliviaria meus próprios servidores.
Então, primeiro de tudo, por que um servidor raiz (parece) pede minhas zonas?
Isso pode realmente ser um ataque?
Ou, se estiver tudo bem, ainda existe o risco de que tal servidor ou TLDs - permitirão transferências para as zonas que ele manipula enquanto isso pode não ser nossa política - não confie nos peixes grandes para sempre gerenciar perfeitamente configurações.
Acho que podemos nos sentir diferentes dependendo se já autenticamos as zonas com DNSSEC, já que confiar na raiz das assinaturas DNSSEC não é apenas equivalente a confiar na raiz para todo o conteúdo da zona.
E, a propósito, se permitirmos as transferências, também enviaremos notificações sobre modificações.
* Eu sinto que essa pergunta também deve ter as tags *
AXFR, transferência de zona & root-servers
EDITAR (aqui está a pista):
Eu estava saindo das linhas de log como
20-Jan-2016 20:33:30.581 security: error: client 192.134.4.83#51264: zone transfer 'MyZone.info/AXFR/IN' denied
então
dig +noall +answer +authority -x 192.134.4.83 @a.in-addr-servers.arpa.
192.in-addr.arpa. 86400 IN NS y.arin.net.
[...]
dig +noall +answer +authority -x 192.134.4.83 @y.arin.net.
134.192.in-addr.arpa. 172800 IN NS ns3.nic.fr.
[...]
dig +noall +answer -x 192.134.4.83 @ns3.nic.fr.
83.4.134.192.in-addr.arpa. 172800 IN PTR zonemaster.rd.nic.fr.
dig +noall +authority SOA zonemaster.rd.nic.fr. @ns3.nic.fr.
rd.nic.fr. 3600 IN SOA ns2.rd.nic.fr. hostmaster.nic.fr. 2015111706 21600 3600 3600000 3600
E bem…
Eu fiz naquelas datas jogar com verificadores de DNS online, incluindo zonemaster.fr do TLD francês. Muito detalhado, a propósito.
Portanto, a solicitação do AXFR era apenas parte dos testes que eles executam. : -)
Meu erro.
Obrigado pelas suas respostas.