DNS服务器是AD环境中不可或缺的一部分。使用DNS服务器可以完成一些简单但关键的活动,如身份验证、查找计算机和识别域控制器。
DSN
但攻击者知道DNS中存在许多可以利用的漏洞。而且,他们通常已经了解了这些漏洞。在本博客中,您将了解到攻击者如何滥用以下内容:
DNS缓存
DNS区域传输协议
一、通过滥用DNS缓存攻击AD
DNS缓存是客户端使用的DNS查询的本地存储库。当客户端请求资源时,比如example.com,DNS服务器会通过名称解析器的帮助将请求的域名解析为其相应的IP地址。DNS缓存通过将解析后的值存储在内存中以进行快速检索来加速此过程。对于重复的查询,DNS服务器将搜索并返回缓存中存储的IP地址值,从而减少了响应时间。
AD域攻击
攻击者经常尝试操纵DNS缓存记录,以将合法的IP地址替换为恶意IP地址,以获取敏感信息的访问权限。
即使是初学者也可以在十分钟内发起缓存污染攻击。如何做到的?在这个点播研讨会中,一个网站在几分钟内伪造并解析为恶意站点。
执行此攻击所需的攻击向量:
1)伪造合法站点
2)使用Kali Linux及其工具箱执行ARP缓存污染以伪造DNS
如果您观看了研讨会,您会发现DNS欺骗已经存在很长时间了。但是,我们可以主动采取行动。为了防止DNS攻击、检测恶意DNS活动并确保AD基础设施的安全性,SIEM解决方案可以提供帮助。
SIEM工具可以帮助跟踪和监视DNS更改。它还可以在DNS层面实时通知您有关恶意活动,以帮助您应对这些威胁,或者至少限制攻击造成的损害。
SIEM
二、DNS的区域传输漏洞
DNS中针对DNS的最简单但危险的攻击之一是利用AXFR协议。DNS中用于从一个DNS服务器复制记录到另一个DNS服务器的区域传输机制使用AXFR协议。复制DNS区域的原因是即使主DNS服务器发生故障,也要确保业务连续性。
AXFR协议的DNS记录查询是一个简单的、单行的dig命令:
$ dig axfr zonetransfer.me @
AXFR协议不需要身份验证。如果您的DNS服务器未正确配置,任何客户端都可以滥用区域传输协议,并创建整个区域的副本。为防止这种情况发生,关键是将您的DNS服务器配置为只信任知名IP地址。您可以列出受信任的名称服务器的IP地址,以仅允许这些IP地址进行DNS复制。
以下是如何将受信任的名称服务器输入DNS服务器的方法:
acl trusted-nameservers {
;
;
};
以下是如何为受信任的名称服务器允许DNS区域复制的方法:
zone zonetransfer.me {
type ;
file “zones/zonetransfer.me”;
allow-transfer { trusted-nameservers; };
};
Log360
如果客户端篡改了区域传输协议,您可以使用SIEM解决方案检测到它。SIEM工具可以帮助跟踪DNS区域更改和权限更改。了解ManageEngine Log360,这是一个全面的SIEM解决方案,可帮助您监视DNS活动并全面保护您的基础设施。
