5353/UDP Multicast DNS (mDNS) and DNS-SD
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Multicast DNS (mDNS) umożliwia operacje podobne do DNS w lokalnych sieciach bez potrzeby posiadania tradycyjnego serwera DNS. Działa na porcie UDP 5353 i pozwala urządzeniom na wzajemne odkrywanie się oraz ich usług, co jest powszechnie widoczne w różnych urządzeniach IoT. Odkrywanie usług DNS (DNS-SD), często używane razem z mDNS, pomaga w identyfikacji usług dostępnych w sieci za pomocą standardowych zapytań DNS.
W środowiskach bez standardowego serwera DNS, mDNS pozwala urządzeniom na rozwiązywanie nazw domen kończących się na .local poprzez zapytania do adresu multicast 224.0.0.251 (IPv4) lub FF02::FB (IPv6). Ważne aspekty mDNS obejmują wartość Time-to-Live (TTL) wskazującą na ważność rekordu oraz bit QU odróżniający zapytania unicast od multicast. Z punktu widzenia bezpieczeństwa, kluczowe jest, aby implementacje mDNS weryfikowały, że adres źródłowy pakietu jest zgodny z lokalnym podsiecią.
DNS-SD ułatwia odkrywanie usług sieciowych poprzez zapytania o rekordy wskaźnikowe (PTR), które mapują typy usług na ich instancje. Usługi są identyfikowane za pomocą wzoru _<Service>._tcp lub _<Service>._udp w obrębie domeny .local, co prowadzi do odkrycia odpowiadających rekordów SRV i TXT, które dostarczają szczegółowych informacji o usłudze.
Przydatne polecenie do skanowania lokalnej sieci w poszukiwaniu usług mDNS to:
To polecenie pomaga zidentyfikować otwarte porty mDNS oraz usługi reklamowane na nich.
Aby aktywnie wysyłać zapytania mDNS i przechwytywać ruch, narzędzie Pholus można wykorzystać w następujący sposób:
Wektor ataku polega na wysyłaniu sfałszowanych odpowiedzi na zapytania mDNS, sugerując, że wszystkie potencjalne nazwy są już zajęte, co uniemożliwia nowym urządzeniom wybór unikalnej nazwy. Można to zrealizować za pomocą:
Ta technika skutecznie blokuje nowe urządzenia przed rejestrowaniem swoich usług w sieci.
Podsumowując, zrozumienie działania mDNS i DNS-SD jest kluczowe dla zarządzania siecią i bezpieczeństwa. Narzędzia takie jak nmap i Pholus oferują cenne informacje o lokalnych usługach sieciowych, podczas gdy świadomość potencjalnych luk pomaga w zabezpieczaniu przed atakami.
Najciekawszym atakiem, który możesz przeprowadzić za pomocą tej usługi, jest wykonanie MitM w komunikacji między klientem a prawdziwym serwerem. Możesz być w stanie uzyskać wrażliwe pliki (MitM komunikacji z drukarką) lub nawet dane uwierzytelniające (uwierzytelnianie Windows). Aby uzyskać więcej informacji, sprawdź:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)