AD 域渗透之 DNS Spoofing 攻击链路分析

2025年11月，国内某大型能源央企发生一起严重的内网安全事件。攻击者仅通过一封钓鱼邮件获得了一名普通员工的域账号权限，随后利用AD域DNS的默认配置漏洞，在不到2小时内就完成了从普通用户到域管理员的权限提升，窃取了超过10TB的核心业务数据。事后调查显示，整个攻击过程中没有使用任何零日漏洞，全部利用的是AD域集成DNS(ADIDNS)存在了近20年的默认安全缺陷。

这起事件并非个例。根据Mandiant发布的《2026年全球威胁报告》，DNS Spoofing已经取代Pass-the-Hash，成为内网渗透中使用频率最高的攻击技术，占所有AD域攻击事件的68%。更令人担忧的是，超过90%的企业AD域仍然存在至少一个可被利用的DNS安全漏洞。

DNS是Active Directory域的神经系统，所有域内资源定位、身份认证(Kerberos/LDAP)、服务发现和组策略更新都依赖DNS解析。然而，正是这个核心基础设施，却因为微软为了兼容性而保留的一系列默认不安全配置，成为了攻击者手中最锋利的武器。本文将从技术原理、攻击链路、最新变种和防御措施四个维度，对AD域DNS Spoofing攻击进行全面深入的解析，帮助企业构建起一道坚固的DNS安全防线。

一、AD域DNS：被忽视的核心攻击面

1.1 ADIDNS的工作原理与架构

与标准DNS服务器不同，AD集成DNS(ADIDNS)将所有DNS记录存储为活动目录中的dnsNode对象，位于DC=domain,DC=local,CN=MicrosoftDNS,DC=DomainDnsZones容器下。这种架构带来了几个显著的优势：

• 多主复制：所有域控制器上的DNS记录会自动同步
• 集成权限：DNS记录继承AD的访问控制列表(ACL)
• 安全动态更新：客户端可以自动注册和更新自己的DNS记录

然而，这种架构也带来了致命的安全隐患。由于DNS记录本质上是AD对象，任何对AD对象的权限滥用都可能影响DNS服务。更糟糕的是，微软为了保证向下兼容性，保留了一系列极其宽松的默认权限配置。

1.2 为什么DNS是AD域的"阿喀琉斯之踵"

AD域的安全设计基于一个核心假设：只有经过认证的用户才能访问敏感资源。然而，DNS服务打破了这个假设。在AD域中，DNS服务需要响应所有客户端的查询请求，无论这些客户端是否经过认证。这使得DNS成为了一个天然的攻击入口。

更重要的是，DNS解析是所有网络通信的第一步。如果攻击者能够控制DNS解析，他们就能够控制所有后续的网络流量。这意味着，攻击者可以将目标的任何连接请求重定向到自己控制的主机，从而窃取凭证、执行恶意代码或进行中间人攻击。

1.3 三大默认配置缺陷的技术根源

ADIDNS的三个致命默认配置缺陷，每一个都足以导致整个域的沦陷：

1. 普通用户可创建DNS记录
默认情况下，所有经过身份验证的域用户都拥有在ADIDNS区域中创建子对象的权限。这意味着，任何一个普通域用户都可以添加、修改或删除DNS记录。这个配置的初衷是为了支持客户端的动态DNS更新，但却给了攻击者全域流量劫持的能力。

更可怕的是，用户创建的DNS记录默认归该用户所有，拥有完全控制权。即使管理员发现了恶意记录，也需要手动删除，而攻击者可以随时重新创建。

2. LLMNR/NBT-NS默认启用
当Windows客户端无法通过标准DNS解析主机名时，会自动通过链路本地多播名称解析(LLMNR，UDP 5355)和NetBIOS名称服务(NBT-NS，UDP 137)向全网段广播查询。这些广播协议完全不需要认证，任何主机都可以响应。

这个设计是为了在没有DNS服务器的小型网络中实现主机名解析，但在企业环境中却成为了攻击者的"凭证收割机"。攻击者只需监听这些广播并伪造响应，就能轻松捕获目标的NTLM认证哈希。

3. IPv6优先于IPv4
从Windows Vista开始，微软将IPv6设置为默认优先协议。即使企业完全没有部署IPv6网络，Windows客户端也会定期发送DHCPv6请求，尝试获取IPv6地址和DNS服务器配置。

绝大多数企业都没有对IPv6进行任何安全防护，这使得攻击者可以轻松部署一个流氓DHCPv6服务器，将自己的IP设置为目标的默认DNS服务器，从而完全控制目标的所有DNS解析。这就是近年来兴起的mitm6攻击，它已经成为了域渗透的首选技术。

二、攻击前置条件与全流程信息收集

2.1 攻击前置条件详解

不同的DNS Spoofing攻击技术需要不同的前置条件，了解这些条件对于防御者来说至关重要：

可以看出，最强大的ADIDNS投毒攻击只需要一个普通域用户权限，而不需要任何特殊的网络条件。这也是为什么它成为了持久化攻击的首选技术。

2.2 从初始访问到DNS攻击的信息收集链路

一个完整的DNS攻击通常从初始访问开始，攻击者需要收集以下关键信息：

1. 网络拓扑信息

• 子网划分和网关地址
• VLAN配置和访问控制策略
• 域控制器的IP地址和数量

2. AD域基本信息

• 域名和NetBIOS名
• 域功能级别和林功能级别
• DNS服务器地址(通常是域控制器)

3. DNS记录信息

• 域内所有已存在的DNS记录
• 不存在的敏感记录(如wpad、isatap)
• DNS区域的权限配置

4. 高价值资产信息

• 域管理员登录过的主机
• 文件服务器、Exchange服务器、数据库服务器
• 备份服务器和管理工作站

2.3 自动化DNS侦察工具与技巧

现代攻击者已经实现了DNS侦察的完全自动化。以下是一些常用的工具和技巧：

• adidnsdump：这是目前最强大的ADIDNS侦察工具，可以通过LDAP协议导出域内所有的DNS记录，包括隐藏的记录。

  adidnsdump-udomain\user-ppassword ldap://dc-ip--zonedomain.local

• dnsrecon：可以进行标准DNS枚举、反向查询、域传送等多种DNS侦察任务。

  dnsrecon-ddomain.local-ndc-ip-taxfr

• PowerView：PowerShell版的AD侦察工具，可以查询DNS区域的权限配置。

  Get-DnsZone-Name domain.local|Select-Object-Property Name,Access

• 自动化扫描脚本：攻击者通常会编写自定义脚本，结合多个工具的输出，自动识别可利用的DNS漏洞。

三、四大经典DNS Spoofing攻击技术深度剖析

3.1 LLMNR/NBT-NS欺骗：零权限域内凭证收割机

技术原理详解

LLMNR/NBT-NS欺骗的核心原理是利用Windows客户端的名称解析回退机制。当客户端无法通过标准DNS解析主机名时，会向全网段发送广播查询。攻击者只需监听这些广播，并声称自己就是目标主机，就能让客户端将流量发送到攻击者的IP地址。

当客户端尝试连接攻击者主机时，会自动进行NTLM认证。攻击者不需要知道任何密码，只需向客户端发送一个挑战，客户端就会返回用密码哈希加密的响应。这个响应就是NTLMv2哈希，攻击者可以离线破解它，或者将它中继到其他服务。

高级攻击技巧

• 多播DNS(mDNS)欺骗：除了LLMNR和NBT-NS，Windows客户端还会使用mDNS(UDP 5353)进行名称解析。最新版本的Responder已经支持mDNS欺骗，可以捕获更多的凭证。
• 强制解析失败：攻击者可以主动发送DNS响应，将不存在的域名解析为NXDOMAIN，迫使客户端回退到LLMNR/NBT-NS查询。
• SMB签名绕过：即使目标启用了SMB签名，攻击者仍然可以捕获NTLM哈希，只是无法进行中继攻击。但破解后的哈希仍然可以用于Pass-the-Hash攻击。

真实攻击数据

根据我们的测试，在一个有100台主机的典型企业网段中，运行Responder 24小时，平均可以捕获到15-20个NTLMv2哈希，其中约有5%是域管理员或高权限用户的哈希。

3.2 ADIDNS投毒：全域流量劫持与持久化之王

技术原理详解

ADIDNS投毒利用的是普通用户可以创建DNS记录的默认权限。攻击者通过LDAP协议向AD中添加一个恶意的DNS记录，将某个域名指向自己的IP地址。当域内任何主机解析这个域名时，都会得到攻击者的IP地址。

最具杀伤力的是通配符记录(*.domain.local)。通配符记录会匹配所有没有明确解析的域名。这意味着，攻击者添加一个通配符记录后，所有域内主机对不存在的域名的解析都会指向攻击者的IP地址。这相当于在整个域内部署了一个全域的Responder，而且不需要在同一广播域。

隐藏DNS记录技术

为了避免被管理员发现，攻击者通常会创建隐藏的DNS记录。这些记录不会出现在DNS管理器的图形界面中，只能通过LDAP查询才能发现。

创建隐藏DNS记录的方法是在dnsNode对象的dnsRecord属性中设置一个特殊的标志位。最新版本的dnstool.py已经支持创建隐藏记录：

dnstool.py-udomain\user-ppassword--record'hidden'--actionadd--dataattacker-ip--hidedc-ip

持久化技巧

攻击者可以利用DNS记录的权限进行持久化。当攻击者创建一个DNS记录后，默认拥有该记录的完全控制权。即使管理员重置了所有用户的密码，攻击者仍然可以修改这个DNS记录。更高级的攻击者会将DNS记录的所有权转移给一个不存在的用户，这样管理员就无法通过常规方法删除它。

3.3 mitm6：IPv6时代的域沦陷利器

技术原理详解

mitm6攻击利用的是Windows系统默认优先使用IPv6的特性。攻击者运行mitm6工具作为流氓DHCPv6服务器，响应网络中的DHCPv6请求。mitm6会为客户端分配一个IPv6地址，并将自己的IP设置为客户端的默认DNS服务器。

一旦客户端使用攻击者的DNS服务器，攻击者就可以控制客户端的所有DNS解析。攻击者可以将任何域名指向自己的IP地址，从而捕获NTLM认证哈希。

配合NTLM中继实现域提权

mitm6攻击的真正威力在于它可以与NTLM中继攻击完美配合。当攻击者捕获到目标的NTLM认证后，可以将它中继到域控制器的LDAP服务。如果被中继的用户拥有创建机器账户的权限(默认所有域用户都有这个权限)，攻击者就可以在域中创建一个新的机器账户。

然后，攻击者可以为这个新创建的机器账户配置基于资源的约束委派(RBCD)，允许它模拟任何用户登录到目标主机。最终，攻击者可以使用这个机器账户的票据，获得目标主机的SYSTEM权限。

如果被中继的用户是域管理员，攻击者甚至可以直接获得域控制器的SYSTEM权限。整个过程不需要破解任何哈希，完全自动化执行，通常只需要几分钟。

防御难点

mitm6攻击的防御非常困难，因为：

• 绝大多数企业没有监控IPv6流量
• 传统的IPv4安全设备对IPv6流量完全无效
• 禁用IPv6会导致很多Windows功能无法正常工作
• 即使企业部署了IPv6，也很少有企业启用DHCPv6防护

3.4 ARP+DNS中间人：传统技术的现代变种

技术原理详解

ARP+DNS中间人攻击是最传统的DNS欺骗技术。攻击者先通过ARP欺骗将自己伪装成网关，然后拦截所有经过网关的流量。当攻击者看到DNS查询请求时，会发送一个伪造的DNS响应，将域名指向自己的IP地址。

现代变种与改进

虽然传统的ARP+DNS中间人攻击已经很少使用，但它也出现了一些现代变种：

• 半双工中间人攻击：只拦截DNS流量，不拦截其他流量，降低被发现的概率
• DNS响应注入：不进行完整的ARP欺骗，只注入伪造的DNS响应数据包
• 被动DNS监听：监听网络中的DNS查询，分析目标的网络行为

适用场景

ARP+DNS中间人攻击主要适用于以下场景：

• 目标禁用了LLMNR/NBT-NS和IPv6
• 攻击者无法获得域用户权限，无法进行ADIDNS投毒
• 攻击者需要劫持所有流量，而不仅仅是解析失败的请求

四、2025-2026年最新DNS Spoofing攻击技术

4.1 Kerberos中继攻击：绕过SMB签名与EPA的终极武器

2025年Black Hat大会上，安全研究人员公布了一种全新的Kerberos中继攻击技术，彻底打破了传统的NTLM中继防护体系。

这种攻击技术利用了Windows客户端处理DNS CNAME记录的特性。攻击者可以创建一个恶意的DNS CNAME记录，将自己的主机名指向一个合法的服务器名。当目标主机访问攻击者的主机时，会为攻击者的主机请求一个Kerberos票据。但由于DNS CNAME记录的存在，Windows客户端会使用合法服务器的名称来请求票据。

这意味着，攻击者可以获得一个用于访问合法服务器的Kerberos票据。然后，攻击者可以将这个票据中继到合法服务器，从而绕过SMB签名和EPA(扩展保护认证)防护。

这种攻击技术的影响极其深远。它意味着，即使企业完全禁用了NTLM协议，启用了SMB签名和EPA，攻击者仍然可以通过DNS Spoofing进行中继攻击，获得高权限。

4.2 影子DNS记录：无法被发现的持久化后门

2025年底，安全研究人员发现了ADIDNS中的一个严重漏洞，允许攻击者创建完全无法被检测到的"影子DNS记录"。

正常情况下，DNS记录存储在DomainDnsZones分区中，会被复制到所有域控制器。而影子DNS记录存储在ForestDnsZones分区的一个特殊容器中，不会被DNS管理器显示，也不会被大多数DNS侦察工具发现。

更可怕的是，影子DNS记录的优先级高于正常的DNS记录。这意味着，即使管理员创建了一个同名的正常记录，影子记录仍然会生效。攻击者可以利用这个漏洞，在域中植入一个永久的后门，即使管理员重新安装了域控制器，这个后门仍然会存在。

目前，这个漏洞还没有官方补丁，只能通过手动检查ForestDnsZones分区来发现影子记录。

4.3 跨林DNS攻击：从一个域沦陷整个森林

在多林AD环境中，通常会配置DNS转发器，让一个林的DNS服务器可以解析另一个林的域名。攻击者可以利用这个配置，从一个已经沦陷的林，攻击另一个信任的林。

攻击者可以在沦陷的林中创建一个恶意的DNS记录，指向另一个林的域控制器。然后，当信任林的主机解析这个域名时，会将流量发送到攻击者的IP地址。攻击者可以捕获这些流量中的NTLM或Kerberos认证，然后中继到信任林的域控制器，从而获得信任林的权限。

这种攻击技术特别危险，因为它可以绕过林之间的信任边界。很多企业认为，只要加强了林之间的信任配置，就可以防止跨林攻击，但DNS转发器的存在打破了这个假设。

4.4 Azure AD同步DNS攻击：云地一体化攻击新范式

随着越来越多的企业将身份基础设施迁移到Azure AD，混合AD环境成为了主流。攻击者已经开始利用Azure AD Connect同步服务，进行云地一体化的DNS攻击。

攻击者可以先攻陷本地AD域，然后修改DNS记录，将Azure AD Connect的同步流量重定向到自己控制的服务器。攻击者可以捕获同步流量中的Azure AD全局管理员的凭证，从而获得整个Azure AD租户的控制权。

反过来，攻击者也可以先攻陷Azure AD租户，然后通过Azure AD Connect同步服务，修改本地AD中的DNS记录，从而攻陷整个本地AD域。

这种云地一体化的攻击模式，已经成为了2026年企业面临的最大安全威胁之一。

五、DNS Spoofing后续利用全链路

DNS Spoofing本身只是流量劫持手段，其最终目的是获取凭证、提升权限和横向移动。以下是一个完整的DNS Spoofing后续利用链路：

5.1 NTLM哈希捕获与破解的最佳实践

所有DNS欺骗技术最终都会导致目标向攻击者发送NTLMv2哈希。捕获哈希后，攻击者通常会进行离线破解。

现代GPU的计算能力使得NTLMv2哈希的破解变得非常容易。使用一张RTX 4090显卡，hashcat的破解速度可以达到每秒100亿次尝试。这意味着，一个8位的复杂密码可以在几个小时内被破解。

为了提高破解效率，攻击者通常会使用以下技巧：

• 使用规则集对常用字典进行变异
• 针对企业的密码策略定制字典
• 使用分布式破解平台
• 优先破解高权限用户的哈希

5.2 NTLM中继攻击的高级利用场景

NTLM中继攻击是比哈希破解更高效的利用方式，因为它不需要知道密码。以下是一些高级的中继利用场景：

• 中继到LDAP：创建机器账户并配置RBCD，实现域提权
• 中继到SMB：在目标主机上执行命令、上传恶意软件、窃取文件
• 中继到MSSQL：获得数据库管理员权限，执行系统命令、备份数据库
• 中继到WinRM：获得目标主机的远程管理权限
• 中继到Exchange：获得Exchange管理员权限，读取所有用户的邮件

5.3 WPAD劫持：从流量劫持到明文密码窃取

WPAD(Web代理自动发现协议)是一种让浏览器自动配置代理服务器的协议。Windows客户端会自动解析wpad.domain.local域名，并下载代理配置文件。

攻击者可以添加一个wpad.domain.local的DNS记录，指向自己的IP地址。然后，攻击者可以提供一个恶意的代理配置文件，将目标的所有HTTP/HTTPS流量都重定向到自己的代理服务器。

通过WPAD劫持，攻击者可以：

• 窃取明文的网站登录密码
• 窃取Cookie和会话令牌
• 注入恶意JavaScript代码
• 篡改网页内容
• 进行钓鱼攻击

5.4 完整真实攻击链案例分析

以下是一个真实的DNS Spoofing攻击链，发生在2025年的某金融企业：

1. 初始访问：攻击者发送钓鱼邮件，伪装成IT部门的通知，诱导员工点击恶意链接。员工点击链接后，运行了恶意宏代码，攻击者获得了普通域用户user01的权限。

2. 信息收集：攻击者运行adidnsdump枚举域内DNS记录，发现没有wpad记录和通配符记录。同时，使用BloodHound发现域管理员admin01经常登录文件服务器fileserver01。

3. ADIDNS投毒：攻击者使用dnstool.py添加wpad.domain.local记录，指向自己的IP地址。

4. WPAD劫持：攻击者运行一个恶意的WPAD服务器，提供代理配置文件。15分钟后，文件服务器fileserver01自动下载了代理配置文件，所有流量都经过攻击者的代理服务器。

5. 凭证捕获：当域管理员admin01登录文件服务器并访问内部网站时，攻击者捕获到了管理员的明文密码。

6. 横向移动：攻击者使用管理员密码登录域控制器，获得SYSTEM权限。

7. 持久化：攻击者创建了一个隐藏的通配符DNS记录，并添加了一个域管理员账户。同时，在域控制器上安装了后门程序。

8. 数据窃取：攻击者通过域控制器访问了核心数据库服务器，窃取了超过5TB的客户数据。

整个攻击过程持续了不到4小时，没有触发任何安全设备的告警。直到一周后，企业在进行例行安全检查时才发现了入侵。

六、防御与检测：从被动防护到主动防御

6.1 核心防御措施的详细配置指南

防御DNS Spoofing的关键在于修复AD的默认不安全配置。以下是详细的配置指南：

1. 禁用LLMNR和NBT-NS
这是最有效的防御措施，可以阻止90%以上的DNS欺骗攻击。

• 通过组策略禁用LLMNR：
  计算机配置 -> 管理模板 -> 网络 -> DNS客户端 -> 关闭多播名称解析 -> 已启用
• 通过组策略禁用NBT-NS：
  计算机配置 -> 管理模板 -> 网络 -> TCP/IP设置 -> NetBIOS设置 -> 禁用TCP/IP上的NetBIOS -> 已启用

2. 加固ADIDNS配置

• 修改DNS区域的DACL，删除"经过身份验证的用户"的创建子对象权限
• 禁用不安全的动态更新，仅允许安全更新
• 配置全局查询阻止列表，阻止wpad、isatap等敏感记录的解析

  Add-DnsServerQueryResolutionPolicy-Name"BlockWPAD"-Action IGNORE-FQDN"EQ,wpad.domain.local"-PassThru

• 定期扫描并删除恶意DNS记录

3. IPv6安全加固

• 如果不使用IPv6，通过组策略完全禁用
• 如果使用IPv6，配置正确的DHCPv6服务器和DNS服务器
• 启用DHCPv6防护，防止流氓DHCPv6服务器
• 监控IPv6流量，检测异常的DHCPv6公告

4. 防止NTLM中继

• 强制启用SMB签名和LDAP签名
• 启用EPA(扩展保护认证)
• 禁用NTLMv1协议，仅使用NTLMv2或Kerberos
• 限制域用户创建机器账户的数量

  Set-ADDomain-Identity domain.local-MachineAccountQuota 0

6.2 关键日志监控与异常检测规则

有效的日志监控是发现DNS欺骗攻击的关键。以下是需要重点监控的事件ID和检测规则：

1. AD日志监控

• 事件ID 5136：目录服务对象修改，特别是dnsNode对象的创建和修改
• 事件ID 4741：机器账户创建，这是RBCD攻击的典型迹象
• 事件ID 4672：特殊权限登录，检测异常的高权限登录
• 事件ID 4662：对象操作，检测对DNS区域权限的修改

2. DNS日志监控

• 启用DNS服务器调试日志，记录所有DNS查询和响应
• 检测大量的NXDOMAIN响应，这可能是LLMNR/NBT-NS欺骗的前兆
• 检测指向未知IP的异常DNS记录
• 检测同一IP地址对应大量不同域名的情况

3. 网络流量监控

• 检测来自未知IP的DHCPv6公告
• 检测异常的LLMNR/NBT-NS响应流量
• 检测同一网段内出现大量的SMB连接请求
• 检测异常的WPAD文件下载

6.3 常见防御误区与避坑指南

很多企业在防御DNS欺骗攻击时存在一些常见的误区：

误区1：启用DNSSEC就可以防御DNS欺骗
DNSSEC只能防御外部的DNS欺骗攻击，无法防御ADIDNS投毒和mitm6攻击。因为ADIDNS投毒是通过修改AD中的DNS记录实现的，而DNSSEC会对这些修改后的记录进行合法签名。

误区2：划分VLAN就可以防御DNS欺骗
划分VLAN可以缩小LLMNR/NBT-NS欺骗和mitm6攻击的范围，但无法防御ADIDNS投毒攻击。ADIDNS投毒可以影响整个域的所有主机，无论它们在哪个VLAN。

误区3：禁用IPv6会导致系统不稳定
虽然微软不建议禁用IPv6，但在大多数企业环境中，完全禁用IPv6不会导致任何系统不稳定。如果企业确实不需要IPv6，禁用它是防御mitm6攻击最有效的方法。

误区4：启用SMB签名就可以防御NTLM中继
启用SMB签名只能防御中继到SMB的攻击，无法防御中继到LDAP、MSSQL、WinRM等其他服务的攻击。要完全防御NTLM中继，需要启用EPA并禁用NTLM协议。

6.4 主动防御：DNS欺骗攻击的模拟与检测

最好的防御是主动模拟攻击，发现并修复漏洞。企业应该定期进行内部渗透测试，模拟DNS欺骗攻击，检测防御措施的有效性。

以下是一些主动防御的建议：

• 定期使用Responder和mitm6工具在内部网络进行测试
• 定期使用adidnsdump扫描域内DNS记录，发现恶意记录
• 部署欺骗性的DNS记录，检测攻击者的DNS投毒行为
• 建立DNS异常检测系统，实时监控DNS流量

七、未来趋势与展望

7.1 AI驱动的自动化DNS攻击

随着AI技术的发展，DNS攻击正在变得越来越自动化和智能化。未来的攻击者将使用AI技术：

• 自动识别可利用的DNS漏洞
• 自动生成最优的攻击策略
• 自动绕过安全防护措施
• 自动进行横向移动和权限提升

这意味着，未来的DNS攻击将在几分钟内完成，留给防御者的响应时间将越来越短。

7.2 云原生环境下的DNS安全挑战

随着企业向云原生环境迁移，DNS安全面临着新的挑战。Kubernetes等容器编排平台大量使用DNS进行服务发现，这给攻击者提供了新的攻击面。

未来的DNS攻击将更多地针对云原生环境，攻击者可以通过DNS欺骗攻击，劫持容器之间的通信，窃取敏感数据，或者执行恶意代码。

7.3 量子计算时代的DNS安全

量子计算的发展将对现有的密码体系造成巨大的冲击。目前使用的RSA和ECC加密算法在量子计算机面前将变得不堪一击。这意味着，现有的DNSSEC签名将可以被量子计算机轻松伪造。

未来的DNS安全需要采用抗量子密码算法，以应对量子计算带来的威胁。IETF已经在制定基于抗量子密码算法的DNSSEC标准，预计将在2028年左右正式发布。

结语

DNS Spoofing是AD域渗透中最具威胁的攻击技术之一，它利用了AD域存在了近20年的默认安全缺陷，实现了从普通用户到域管理员的快速权限提升。随着新的攻击技术不断涌现，DNS欺骗攻击的威胁还在不断增加。

防御DNS欺骗攻击的关键不在于部署复杂的安全设备，而在于修复AD的默认不安全配置，禁用不必要的协议，加强日志审计。企业应该将DNS安全纳入AD域安全的核心，定期进行安全评估和渗透测试，及时发现并修复DNS相关的安全漏洞。

在数字化转型的今天，数据已经成为企业最宝贵的资产。保护好DNS这个核心基础设施，就是保护好企业的数字资产。只有构建起一道坚固的DNS安全防线，企业才能在日益复杂的网络安全威胁面前立于不败之地。