网络安全攻防演练,是指在一定的攻击规则下,通过多种持续渗透和攻击手段对重点单位和企业的关键信息系统进行集中攻击,攻击关键信息资产,获取服务器权限,而目标单位做为防守方对攻击进行防御拦截。

在攻防演练中,DNS域名系统是最容易被忽视且突破方式中防守能力较为薄弱的环节,作为网络服务的入口和必要路径,极易被攻击和利用,作为跳板实现网络渗透,最终攻击内网关键服务获取敏感数据。

三大攻击环节考验DNS防护能力

利用DNS实现信息收集

攻击测试第一步就是信息收集,主要是查看企业对外开放哪些服务。DNS域名服务器可以提供大量的关键信息,如:应用关系、业务地址等,攻击者通过利用dnsenum相关工具,就可以快速收集到攻击目标的相关信息。

DNS漏洞探测和利用

攻击者通过dig追踪可以轻松查询到域名服务器版本信息,比如BIND版本信息,对比官方发布的漏洞信息,实现快速利用,完成对域名服务器的入侵、提权和控制。

利用DNS实现持续渗透

在完成对DNS服务器控制后,以DNS为跳板进一步对内网持续渗透并获取关键数据,由于传统安全设备对DNS隧道进行数据窃取的检测和防护中能力几乎为0,攻击者利用DNS隧道与远控进行通信、数据回传,实现数据窃取的目的。

据互联网应急中心统计,通过从国内近90万台的服务器监测和扫描中发现,57%的重要信息系统存在域名解析风险,其中11.8%的域名处于较高风险状态。

而作为互联网上普遍使用的DNS服务软件ISC BIND,平均每版本漏洞超过100个,中高危漏洞超过70%。同样MS DNS也存在大量的安全漏洞。如果漏洞修复不及时,DNS存在的风险和安全隐患极易被攻击者利用。

当前企业DNS服务安全隐患巨大

(国家信息安全漏洞共享平台)

攻防演练的最终目的在于“以攻促防”,互联网域名系统国家地方联合工程研究中心(以下简称“域名国家工程研究中心”,英文缩写“ZDNS”)结合多年DNS专项保障工作及实网攻防演练经验,在阻止采集信息、控制访问入口、控制传播扩散等方面有着丰富的经验,建议在攻防演练中大力加强对DNS系统的防护和策略部署。防止攻击方利用DNS域名系统实现入侵。

ZDNS三大手段保证DNS域名系统安全

阻止信息探测

开启相应防护策略,避免攻击方窥探DNS漏洞信息、数据信息和缓存信息等。

控制访问入口

通过对DNS系统加固和启用网络层、系统层、应用层访问控制,避免漏洞利用和跳板提权。

控制传播扩散

DNS与各应用系统进行安全隔离,重要系统的访问控制策略独立设置限制访问来源、端口、账户权限,控制渗透范围。

声明:本文来自域名工程中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。