Grundlegende Informationen

Multicast DNS (mDNS) ermöglicht DNS-ähnliche Operationen innerhalb lokaler Netzwerke, ohne einen traditionellen DNS-Server zu benötigen. Es arbeitet auf UDP-Port 5353 und ermöglicht es Geräten, sich gegenseitig und ihre Dienste zu entdecken, was häufig bei verschiedenen IoT-Geräten zu sehen ist. DNS Service Discovery (DNS-SD), oft zusammen mit mDNS verwendet, hilft bei der Identifizierung von auf dem Netzwerk verfügbaren Diensten durch standardmäßige DNS-Abfragen.

PORT     STATE SERVICE
5353/udp open  zeroconf

Funktionsweise von mDNS

In Umgebungen ohne einen Standard-DNS-Server ermöglicht mDNS Geräten, Domänennamen mit der Endung .local aufzulösen, indem sie die Multicast-Adresse 224.0.0.251 (IPv4) oder FF02::FB (IPv6) abfragen. Wichtige Aspekte von mDNS sind ein Time-to-Live (TTL)-Wert, der die Gültigkeit des Eintrags angibt, und ein QU-Bit, das zwischen Unicast- und Multicast-Anfragen unterscheidet. In Bezug auf die Sicherheit ist es entscheidend, dass mDNS-Implementierungen überprüfen, ob die Quelladresse des Pakets mit dem lokalen Subnetz übereinstimmt.

Funktionsweise von DNS-SD

DNS-SD erleichtert die Entdeckung von Netzwerkdiensten, indem es nach Zeiger-Einträgen (PTR) sucht, die Diensttypen ihren Instanzen zuordnen. Dienste werden mit einem Muster _<Service>._tcp oder _<Service>._udp innerhalb der .local-Domäne identifiziert, was zur Entdeckung entsprechender SRV- und TXT-Einträge führt, die detaillierte Informationen über den Dienst bereitstellen.

Netzwerkerkundung

Verwendung von nmap

Ein nützlicher Befehl zum Scannen des lokalen Netzwerks nach mDNS-Diensten ist:

nmap -Pn -sUC -p5353 [target IP address]

Dieser Befehl hilft dabei, offene mDNS-Ports zu identifizieren und die darüber beworbenen Dienste zu ermitteln.

Netzwerk-Enumeration mit Pholus

Um aktiv mDNS-Anfragen zu senden und den Datenverkehr zu erfassen, kann das Tool Pholus wie folgt verwendet werden:

sudo python3 pholus3.py [network interface] -rq -stimeout 10

Angriffe

Ausnutzung von mDNS-Probing

Ein Angriffsvektor besteht darin, gefälschte Antworten auf mDNS-Probes zu senden, die darauf hinweisen, dass alle potenziellen Namen bereits verwendet werden, um neue Geräte daran zu hindern, einen eindeutigen Namen auszuwählen. Dies kann mit folgendem Befehl ausgeführt werden:

sudo python pholus.py [network interface] -afre -stimeout 1000

Diese Technik blockiert effektiv neue Geräte daran, ihre Dienste im Netzwerk zu registrieren.

Zusammenfassend ist es wichtig, das Funktionieren von mDNS und DNS-SD für das Netzwerkmanagement und die Sicherheit zu verstehen. Tools wie nmap und Pholus bieten wertvolle Einblicke in lokale Netzwerkdienste, während das Bewusstsein für potenzielle Schwachstellen bei der Abwehr von Angriffen hilft.

Spoofing/MitM

Der interessanteste Angriff, den Sie über diesen Dienst durchführen können, besteht darin, einen MitM-Angriff in der Kommunikation zwischen dem Client und dem echten Server durchzuführen. Möglicherweise können Sie sensible Dateien (MitM-Angriff auf die Kommunikation mit dem Drucker) oder sogar Anmeldeinformationen (Windows-Authentifizierung) erhalten. Weitere Informationen finden Sie unter:

Referenzen

• Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things