攻防演练DNS域名系统不容有失

网络安全攻防演练，是指在一定的攻击规则下，通过多种持续渗透和攻击手段对重点单位和企业的关键信息系统进行集中攻击，攻击关键信息资产，获取服务器权限，而目标单位做为防守方对攻击进行防御拦截。

在攻防演练中，DNS域名系统是很容易被忽视且突破方式中防守能力较为薄弱的环节，作为网络服务的入口和必要路径，极易被攻击和利用，作为跳板实现网络渗透，最终攻击内网关键服务获取敏感数据。

三大攻击环节考验DNS防护能力

1、利用DNS实现信息收集

攻击测试第一步就是信息收集，主要是查看企业对外开放哪些服务。DNS域名服务器可以提供大量的关键信息，如：应用关系、业务地址等，攻击者通过利用dnsenum一类的工具，就可以快速收集到攻击目标的相关信息。

2、DNS漏洞探测和利用

攻击者通过dig追踪可以轻松查询到域名服务器版本信息，比如BIND版本信息，对比官方发布的漏洞信息，实现快速利用，完成对域名服务器的入侵、提权和控制。

3、利用DNS实现持续渗透

在完成对DNS服务器控制后，以DNS为跳板进一步对内网持续渗透并获取关键数据，由于传统安全设备对DNS隧道进行数据窃取的检测和防护能力几乎为0，攻击者利用DNS隧道与远控进行通信、数据回传，实现数据窃取的目的。

当前企业DNS服务安全隐患巨大

据互联网应急中心统计，通过从国内近90万台的服务器监测和扫描中发现，57%的重要信息系统存在域名解析风险，其中11.8%的域名处于较高风险状态。

而作为互联网上普遍使用的DNS服务软件ISC BIND，平均每版本漏洞超过100个，中高危漏洞超过70%。同样MS DNS也存在大量的安全漏洞。如果漏洞修复不及时，DNS存在的风险和安全隐患极易被攻击者利用。

（国家信息安全漏洞共享平台）

攻防演练的目的在于“以攻促防”，互联网域名系统国家地方联合工程研究中心（以下简称“域名国家工程研究中心”，英文缩写“ZDNS”）结合多年DNS专项保障工作及实网攻防演练经验，在阻止采集信息、控制访问入口、控制传播扩散等方面有着丰富的经验，建议在攻防演练中大力加强对DNS系统的防护和策略部署。防止攻击方利用DNS域名系统实现入侵。

ZDNS三大手段保证DNS域名系统安全

1、阻止信息探测

开启相应防护策略，避免攻击方窥探DNS漏洞信息、数据信息和缓存信息等；

2、控制访问入口

通过对DNS系统加固和启用网络层、系统层、应用层访问控制，避免漏洞利用和跳板提权；

3、控制传播扩散

DNS与各应用系统进行安全隔离，重要系统的访问控制策略独立设置限制访问来源、端口、账户权限，控制渗透范围；

丰富经验

域名国家工程研究中心近几年多次承担域名安全保障工作。尤其在“十九大”网上安保工作保障 、“一带一路”国际合作高峰论坛保障、“金砖国家领导人会晤”网络安全保障等多项安全保障工作中因经验丰富，圆满完成任务多次受到表彰及相关单位的感谢信。

附：ZDNS承担安全保障任务

•2016年9月：G20峰会安全网络保障

•2016年11月：世界互联网大会护航

•2016年12月-1月：12306春运保障

•2016年11月、2017年11月、2018年11月：苏宁易购双11狂欢节

•2017年3月：全国“两会”护航

•2017年5月：“一带一路”安全保障

•2017年8月：天津全运会安全保障

•2017年10月：“十九大”安全保障

•2018年3月、2019年3月：全国“两会”护航

•2018年12月：中国银联双12购物节安全保障

•2019年4月：第二届“一带一路”高峰合作论坛安全保障