5353/UDP Multicast DNS (mDNS) and DNS-SD
Βασικές Πληροφορίες
Το Multicast DNS (mDNS) επιτρέπει λειτουργίες παρόμοιες με το DNS εντός τοπικών δικτύων χωρίς την ανάγκη για έναν παραδοσιακό διακομιστή DNS. Λειτουργεί στη θύρα UDP 5353 και επιτρέπει στις συσκευές να ανακαλύπτουν η μία την άλλη και τις υπηρεσίες τους, κάτι που συνήθως βλέπουμε σε διάφορες συσκευές IoT. Η Ανακάλυψη Υπηρεσιών DNS (DNS-SD), συχνά χρησιμοποιείται μαζί με το mDNS, βοηθά στον εντοπισμό των υπηρεσιών που είναι διαθέσιμες στο δίκτυο μέσω τυπικών ερωτημάτων DNS.
Λειτουργία του mDNS
Σε περιβάλλοντα χωρίς έναν τυπικό διακομιστή DNS, το mDNS επιτρέπει στις συσκευές να αναλύουν ονόματα τομέων που τελειώνουν σε .local ερωτώντας την πολυεκπομπή διεύθυνση 224.0.0.251 (IPv4) ή FF02::FB (IPv6). Σημαντικά στοιχεία του mDNS περιλαμβάνουν μια τιμή Time-to-Live (TTL) που υποδεικνύει την ισχύ της εγγραφής και ένα bit QU που διακρίνει μεταξύ μονοκατευθυντικών και πολυκατευθυντικών ερωτημάτων. Όσον αφορά την ασφάλεια, είναι ζωτικής σημασίας για τις υλοποιήσεις του mDNS να επαληθεύουν ότι η διεύθυνση προέλευσης του πακέτου συμφωνεί με το τοπικό υποδίκτυο.
Λειτουργία του DNS-SD
Το DNS-SD διευκολύνει την ανακάλυψη των υπηρεσιών δικτύου ερωτώντας για εγγραφές δείκτη (PTR) που αντιστοιχούν τους τύπους υπηρεσιών στις περιπτώσεις τους. Οι υπηρεσίες αναγνωρίζονται χρησιμοποιώντας ένα πρότυπο _<Υπηρεσία>._tcp ή _<Υπηρεσία>._udp εντός του τομέα .local, οδηγώντας στην ανακάλυψη των αντίστοιχων εγγραφών SRV και TXT που παρέχουν λεπτομερείς πληροφορίες για την υπηρεσία.
Εξερεύνηση Δικτύου
Χρήση του nmap
Ένα χρήσιμο παράδειγμα εντολής για σάρωση του τοπικού δικτύου για υπηρεσίες mDNS είναι:
Αυτή η εντολή βοηθά στον εντοπισμό ανοιχτών θυρών mDNS και τις υπηρεσίες που διαφημίζονται μέσω αυτών.
Διακριτοποίηση Δικτύου με το Pholus
Για να στείλετε ενεργά αιτήματα mDNS και να καταγράψετε την κίνηση, μπορείτε να χρησιμοποιήσετε το εργαλείο Pholus ως εξής:
Επιθέσεις
Εκμεταλλευόμενοι το mDNS Probing
Ένα διάνυσμα επίθεσης περιλαμβάνει την αποστολή πλαστογραφημένων απαντήσεων σε αιτήματα mDNS, υποδεικνύοντας ότι όλα τα πιθανά ονόματα είναι ήδη σε χρήση, εμποδίζοντας έτσι τις νέες συσκευές να επιλέξουν ένα μοναδικό όνομα. Αυτό μπορεί να εκτελεστεί χρησιμοποιώντας:
Αυτή η τεχνική αποτρέπει αποτελεσματικά τις νέες συσκευές από το να καταχωρήσουν τις υπηρεσίες τους στο δίκτυο.
Συνοψίζοντας, η κατανόηση της λειτουργίας του mDNS και του DNS-SD είναι κρίσιμη για τη διαχείριση και την ασφάλεια του δικτύου. Εργαλεία όπως το nmap και το Pholus προσφέρουν πολύτιμες πληροφορίες για τις τοπικές υπηρεσίες του δικτύου, ενώ η επίγνωση των πιθανών ευπαθειών βοηθά στην προστασία από επιθέσεις.
Παραπλάνηση/MitM
Η πιο ενδιαφέρουσα επίθεση που μπορείτε να πραγματοποιήσετε μέσω αυτής της υπηρεσίας είναι να πραγματοποιήσετε ένα MitM στη επικοινωνία μεταξύ του πελάτη και του πραγματικού διακομιστή. Μπορείτε να καταφέρετε να αποκτήσετε ευαίσθητα αρχεία (MitM την επικοινωνία με τον εκτυπωτή) ή ακόμα και διαπιστευτήρια (πιστοποίηση Windows). Για περισσότερες πληροφορίες, ανατρέξτε στο:
Αναφορές
Last updated