Basiese Inligting

Multicast DNS (mDNS) maak DNS-agtige operasies binne plaaslike netwerke moontlik sonder 'n tradisionele DNS-bediener. Dit werk op UDP-poort 5353 en stel toestelle in staat om mekaar en hul dienste te ontdek, wat dikwels gesien word in verskeie IoT-toestelle. DNS Service Discovery (DNS-SD), dikwels saam met mDNS gebruik, help om dienste wat beskikbaar is op die netwerk te identifiseer deur middel van standaard DNS-navrae.

PORT     STATE SERVICE
5353/udp open  zeroconf

Operasie van mDNS

In omgewings sonder 'n standaard DNS-bediener, maak mDNS dit moontlik vir toestelle om domeinname wat eindig met .local op te los deur die multicast-adres 224.0.0.251 (IPv4) of FF02::FB (IPv6) te ondervra. Belangrike aspekte van mDNS sluit 'n Tyd-tot-Leef (TTL) waarde in wat die geldigheid van rekords aandui en 'n QU-bit wat onderskei tussen unicast- en multicast-navrae. Wat sekuriteit betref, is dit noodsaaklik vir mDNS-implementasies om te verseker dat die bronadres van die pakkie ooreenstem met die plaaslike subnet.

Funksionering van DNS-SD

DNS-SD fasiliteer die ontdekking van netwerkdienste deur te ondervra vir aanwysingsrekords (PTR) wat dienssoorte aan hul instansies koppel. Dienste word geïdentifiseer deur 'n _<Diens>._tcp of _<Diens>._udp patroon binne die .local domein, wat lei tot die ontdekking van ooreenstemmende SRV en TXT-rekords wat gedetailleerde diensinligting verskaf.

Netwerkverkenning

nmap Gebruik

'n Nuttige opdrag vir die skandering van die plaaslike netwerk vir mDNS-dienste is:

nmap -Pn -sUC -p5353 [target IP address]

Hierdie bevel help om oop mDNS-poorte te identifiseer en die dienste wat oor hulle geadverteer word.

Netwerkopname met Pholus

Om aktief mDNS-versoeke te stuur en verkeer vas te vang, kan die Pholus-instrument as volg gebruik word:

sudo python3 pholus3.py [network interface] -rq -stimeout 10

Aanvalle

Exploitering van mDNS Probing

'n Aanvalvektor behels die stuur van vervalsde reaksies na mDNS-probes, wat aandui dat alle potensiële name reeds in gebruik is, en sodoende nuwe toestelle verhinder om 'n unieke naam te kies. Dit kan uitgevoer word deur gebruik te maak van:

sudo python pholus.py [network interface] -afre -stimeout 1000

Hierdie tegniek blokkeer effektief nuwe toestelle om hul dienste op die netwerk te registreer.

Opsomming: Dit is noodsaaklik om die werking van mDNS en DNS-SD te verstaan vir netwerkbestuur en -veiligheid. Gereedskap soos nmap en Pholus bied waardevolle insigte in plaaslike netwerkdienste, terwyl bewustheid van potensiële kwesbaarhede help om teen aanvalle te beskerm.

Spoofing/MitM

Die mees interessante aanval wat jy oor hierdie diens kan uitvoer, is om 'n MitM in die kommunikasie tussen die kliënt en die regte bediener uit te voer. Jy mag dalk gevoelige lêers (MitM die kommunikasie met die drukker) of selfs geloofsbriewe (Windows-verifikasie) verkry. Vir meer inligting, kyk:

Verwysings

• Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things