网络安全攻防演练,是指在一定的攻击规则下,通过多种持续渗透和攻击手段对重点单位和企业的关键信息系统进行集中攻击,攻击关键信息资产,获取服务器权限,而目标单位做为防守方对攻击进行防御拦截。
在攻防演练中,DNS域名系统作为网络服务的入口和必要路径,是各种突破方式中防守能力较为薄弱的环节,极易被攻击和利用,作为跳板实现网络渗透,最终攻击内网关键服务获取敏感数据。
 

三大攻击环节考验DNS防护能力
 

攻击测试第一步就是信息收集,主要是查看企业对外开放哪些服务。DNS域名服务器可以提供大量的关键信息,如:应用关系、业务地址等,攻击者通过利用dnsenum一类的工具,就可以快速收集到攻击目标的相关信息。

利用DNS实现信息收集

DNS漏洞探测和利用

利用DNS实现持续渗透

据互联网应急中心统计,通过从国内近90万台的服务器监测和扫描中发现,57%的重要信息系统存在域名解析风险,其中11.8%的域名处于较高风险状态”。
而作为互联网上普遍使用的DNS服务软件ISC BIND,平均每版本漏洞超过100个,中高危漏洞超过70%。同样MS DNS也存在大量的安全漏洞。如果漏洞修复不及时,DNS存在的风险和安全隐患极易被攻击者利用。

在完成对DNS服务器控制后,以DNS为跳板进一步对内网持续渗透并获取关键数据,由于传统安全设备对DNS隧道进行数据窃取的检测和防护能力几乎为0,攻击者利用DNS隧道与远控进行通信、数据回传,实现数据窃取的目的。

据互联网应急中心统计,通过从国内近90万台的服务器监测和扫描中发现,57%的重要信息系统存在域名解析风险,其中11.8%的域名处于较高风险状态”。
而作为互联网上普遍使用的DNS服务软件ISC BIND,平均每版本漏洞超过100个,中高危漏洞超过70%。同样MS DNS也存在大量的安全漏洞。如果漏洞修复不及时,DNS存在的风险和安全隐患极易被攻击者利用。

国家信息安全漏洞共享平台

当前企业DNS服务安全隐患巨大
 

攻防演练的最终目的在于“以攻促防”,互联网域名系统国家地方联合工程研究中心(以下简称“域名国家工程研究中心”,英文缩写“ZDNS”)结合多年DNS专项保障工作及实网攻防演练经验,在阻止采集信息、控制访问入口、控制传播扩散等方面有着丰富的经验,建议在攻防演练中大力加强对DNS系统的防护和策略部署。防止攻击方利用DNS域名系统实现入侵。

ZDNS三大手段保证DNS域名系统安
 

阻止信息探测:

控制访问入口:

控制传播扩散:

开启相应防护策略,避免攻击方窥探DNS漏洞信息、数据信息和缓存信息等;

通过对DNS系统加固和启用网络层、系统层、应用层访问控制,避免漏洞利用和跳板提权;

DNS与各应用系统进行安全隔离,重要系统的访问控制策略独立设置限制访问来源、端口、账户权限,控制渗透范围;

域名国家工程研究中心近几年多次承担域名安全保障工作。尤其在“十九大”网上安保工作保障 、“一带一路”国际合作高峰论坛保障、“金砖国家领导人会晤”网络安全保障等多项安全保障工作中因经验丰富,圆满完成任务多次受到表彰及相关单位的感谢信。

丰富经验
 

ZDNS承担安全保障任务
 

SECORITE

2016年9月

G20峰会安全网络保障

2016年11月

苏宁易购等双11狂欢节

2016年12月

苏宁易购双12购物节

2016年11月

世界互联网大会护航

2017年3月

全国“两会”护航

2016年12月-1月

12306春运保障

2017年8月

天津全运会安全保障

2016年9月

“一带一路”安全保障

2017年12月

苏宁易购双12购物节

2017年10月

“十九大”安全保障

全国“两会”护航

2018年11月

苏宁易购等双11狂欢节

2019年3月

全国“两会”护航

2018年12月

苏宁易购、中国银联等双12购物节

...

2019年4月

第二届“一带一路”高峰合作论坛安全保障

2018年3月

给ZDNS留言

京ICP备15027496号-3 | 京公网安备11010802021115号 | All rights reserved | 互联网域名系统北京市工程研究中心有限公司 版权所有 © 2010-2017 

友情互联:北龙中网  易企秀  微企点  Hi现场  
邮箱:web@zdns.cn     7*24小时客户服务    咨询电话:400-6688-876    
联系我们-DNS整体域名服务专家
扫码了解更多详情
标签:DNS   智能DNS   DNS厂商   专业DNS