DNS服务器是AD环境中不可或缺的一部分。使用DNS服务器可以完成一些简单但关键的活动，如身份验证、查找计算机和识别域控制器。

DSN

但攻击者知道DNS中存在许多可以利用的漏洞。而且，他们通常已经了解了这些漏洞。在本博客中，您将了解到攻击者如何滥用以下内容：

• DNS缓存
• DNS区域传输协议

一、通过滥用DNS缓存攻击AD

DNS缓存是客户端使用的DNS查询的本地存储库。当客户端请求资源时，比如example.com，DNS服务器会通过名称解析器的帮助将请求的域名解析为其相应的IP地址。DNS缓存通过将解析后的值存储在内存中以进行快速检索来加速此过程。对于重复的查询，DNS服务器将搜索并返回缓存中存储的IP地址值，从而减少了响应时间。

AD域攻击

攻击者经常尝试操纵DNS缓存记录，以将合法的IP地址替换为恶意IP地址，以获取敏感信息的访问权限。

即使是初学者也可以在十分钟内发起缓存污染攻击。如何做到的？在这个点播研讨会中，一个网站在几分钟内伪造并解析为恶意站点。

执行此攻击所需的攻击向量：

1)伪造合法站点

2)使用Kali Linux及其工具箱执行ARP缓存污染以伪造DNS

如果您观看了研讨会，您会发现DNS欺骗已经存在很长时间了。但是，我们可以主动采取行动。为了防止DNS攻击、检测恶意DNS活动并确保AD基础设施的安全性，SIEM解决方案可以提供帮助。

SIEM工具可以帮助跟踪和监视DNS更改。它还可以在DNS层面实时通知您有关恶意活动，以帮助您应对这些威胁，或者至少限制攻击造成的损害。

SIEM

二、DNS的区域传输漏洞

DNS中针对DNS的最简单但危险的攻击之一是利用AXFR协议。DNS中用于从一个DNS服务器复制记录到另一个DNS服务器的区域传输机制使用AXFR协议。复制DNS区域的原因是即使主DNS服务器发生故障，也要确保业务连续性。

AXFR协议的DNS记录查询是一个简单的、单行的dig命令：

$ dig axfr zonetransfer.me @<domain name>

AXFR协议不需要身份验证。如果您的DNS服务器未正确配置，任何客户端都可以滥用区域传输协议，并创建整个区域的副本。为防止这种情况发生，关键是将您的DNS服务器配置为只信任知名IP地址。您可以列出受信任的名称服务器的IP地址，以仅允许这些IP地址进行DNS复制。

以下是如何将受信任的名称服务器输入DNS服务器的方法：

acl trusted-nameservers {

<IP address 1>;

<IP address 2>;

};

以下是如何为受信任的名称服务器允许DNS区域复制的方法：

zone zonetransfer.me {

type <master>;

file “zones/zonetransfer.me”;

allow-transfer { trusted-nameservers; };

};

Log360

如果客户端篡改了区域传输协议，您可以使用SIEM解决方案检测到它。SIEM工具可以帮助跟踪DNS区域更改和权限更改。了解ManageEngine Log360，这是一个全面的SIEM解决方案，可帮助您监视DNS活动并全面保护您的基础设施。