5353/UDP Multicast DNS (mDNS) and DNS-SD
Basiese Inligting
Multicast DNS (mDNS) maak DNS-agtige operasies binne plaaslike netwerke moontlik sonder 'n tradisionele DNS-bediener. Dit werk op UDP-poort 5353 en stel toestelle in staat om mekaar en hul dienste te ontdek, wat dikwels gesien word in verskeie IoT-toestelle. DNS Service Discovery (DNS-SD), dikwels saam met mDNS gebruik, help om dienste wat beskikbaar is op die netwerk te identifiseer deur middel van standaard DNS-navrae.
Operasie van mDNS
In omgewings sonder 'n standaard DNS-bediener, maak mDNS dit moontlik vir toestelle om domeinname wat eindig met .local op te los deur die multicast-adres 224.0.0.251 (IPv4) of FF02::FB (IPv6) te ondervra. Belangrike aspekte van mDNS sluit 'n Tyd-tot-Leef (TTL) waarde in wat die geldigheid van rekords aandui en 'n QU-bit wat onderskei tussen unicast- en multicast-navrae. Wat sekuriteit betref, is dit noodsaaklik vir mDNS-implementasies om te verseker dat die bronadres van die pakkie ooreenstem met die plaaslike subnet.
Funksionering van DNS-SD
DNS-SD fasiliteer die ontdekking van netwerkdienste deur te ondervra vir aanwysingsrekords (PTR) wat dienssoorte aan hul instansies koppel. Dienste word geïdentifiseer deur 'n _<Diens>._tcp of _<Diens>._udp patroon binne die .local domein, wat lei tot die ontdekking van ooreenstemmende SRV en TXT-rekords wat gedetailleerde diensinligting verskaf.
Netwerkverkenning
nmap Gebruik
'n Nuttige opdrag vir die skandering van die plaaslike netwerk vir mDNS-dienste is:
Hierdie bevel help om oop mDNS-poorte te identifiseer en die dienste wat oor hulle geadverteer word.
Netwerkopname met Pholus
Om aktief mDNS-versoeke te stuur en verkeer vas te vang, kan die Pholus-instrument as volg gebruik word:
Aanvalle
Exploitering van mDNS Probing
'n Aanvalvektor behels die stuur van vervalsde reaksies na mDNS-probes, wat aandui dat alle potensiële name reeds in gebruik is, en sodoende nuwe toestelle verhinder om 'n unieke naam te kies. Dit kan uitgevoer word deur gebruik te maak van:
Hierdie tegniek blokkeer effektief nuwe toestelle om hul dienste op die netwerk te registreer.
Opsomming: Dit is noodsaaklik om die werking van mDNS en DNS-SD te verstaan vir netwerkbestuur en -veiligheid. Gereedskap soos nmap en Pholus bied waardevolle insigte in plaaslike netwerkdienste, terwyl bewustheid van potensiële kwesbaarhede help om teen aanvalle te beskerm.
Spoofing/MitM
Die mees interessante aanval wat jy oor hierdie diens kan uitvoer, is om 'n MitM in die kommunikasie tussen die kliënt en die regte bediener uit te voer. Jy mag dalk gevoelige lêers (MitM die kommunikasie met die drukker) of selfs geloofsbriewe (Windows-verifikasie) verkry. Vir meer inligting, kyk:
pageSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksVerwysings
Last updated