5353/UDP Multicast DNS (mDNS) and DNS-SD
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Multicast DNS (mDNS) stel DNS-agtige operasies in staat binne plaaslike netwerke sonder die behoefte aan 'n tradisionele DNS-bediener. Dit werk op UDP-poort 5353 en stel toestelle in staat om mekaar en hul dienste te ontdek, wat algemeen gesien word in verskeie IoT-toestelle. DNS-diensontdekking (DNS-SD), wat dikwels saam met mDNS gebruik word, help om dienste wat op die netwerk beskikbaar is te identifiseer deur standaard DNS-vrae.
In omgewings sonder 'n standaard DNS-bediener, laat mDNS toestelle toe om domeinnames wat eindig op .local is, op te los deur die multicast adres 224.0.0.251 (IPv4) of FF02::FB (IPv6) te vra. Belangrike aspekte van mDNS sluit 'n Tyd-tot-lewe (TTL) waarde in wat die geldigheid van rekords aandui en 'n QU bit wat onderskei tussen unicast en multicast vrae. Veiligheidsgewys is dit van kardinale belang dat mDNS-implementasies verifieer dat die pakket se bronadres ooreenstem met die plaaslike subnet.
DNS-SD fasiliteer die ontdekking van netwerkdienste deur te vra vir wysers (PTR) wat diens tipes aan hul instansies koppel. Dienste word geïdentifiseer met behulp van 'n _<Service>._tcp of _<Service>._udp patroon binne die .local domein, wat lei tot die ontdekking van ooreenstemmende SRV en TXT rekords wat gedetailleerde diens inligting verskaf.
'n Nuttige opdrag om die plaaslike netwerk vir mDNS-dienste te skandeer is:
Hierdie opdrag help om oop mDNS-poorte en die dienste wat oor hulle geadverteer word, te identifiseer.
Om aktief mDNS-versoeke te stuur en verkeer te vang, kan die Pholus-instrument soos volg gebruik word:
'n Aanvalsvlak behels die stuur van vervalste antwoorde na mDNS probes, wat suggereer dat alle potensiële name reeds in gebruik is, en dus nuwe toestelle verhinder om 'n unieke naam te kies. Dit kan uitgevoer word met:
Hierdie tegniek blokkeer effektief nuwe toestelle om hul dienste op die netwerk te registreer.
In opsomming, is dit van kardinale belang om die werking van mDNS en DNS-SD te verstaan vir netwerkbestuur en sekuriteit. Gereedskap soos nmap en Pholus bied waardevolle insigte in plaaslike netwerkdienste, terwyl bewustheid van potensiële kwesbaarhede help om teen aanvalle te beskerm.
Die mees interessante aanval wat jy oor hierdie diens kan uitvoer, is om 'n MitM in die kommunikasie tussen die kliënt en die werklike bediener uit te voer. Jy mag in staat wees om sensitiewe lêers (MitM die kommunikasie met die drukker) of selfs akrediteer (Windows-outeentifikasie) te verkry. Vir meer inligting, kyk:
Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksLeer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)