5353/UDP Multicast DNS (mDNS) and DNS-SD
Informazioni di base
Multicast DNS (mDNS) consente operazioni simili a DNS all'interno delle reti locali senza la necessità di un server DNS tradizionale. Opera sulla porta UDP 5353 e consente ai dispositivi di scoprirsi reciprocamente e ai loro servizi, comunemente presenti in vari dispositivi IoT. DNS Service Discovery (DNS-SD), spesso utilizzato insieme a mDNS, aiuta nell'individuazione dei servizi disponibili sulla rete tramite query DNS standard.
Funzionamento di mDNS
In ambienti senza un server DNS standard, mDNS consente ai dispositivi di risolvere i nomi di dominio che terminano con .local interrogando l'indirizzo multicast 224.0.0.251 (IPv4) o FF02::FB (IPv6). Aspetti importanti di mDNS includono un valore di Time-to-Live (TTL) che indica la validità del record e un bit QU che distingue tra query unicast e multicast. Per quanto riguarda la sicurezza, è fondamentale che le implementazioni di mDNS verifichino che l'indirizzo di origine del pacchetto sia allineato con la subnet locale.
Funzionamento di DNS-SD
DNS-SD facilita la scoperta dei servizi di rete interrogando i record di puntatore (PTR) che mappano i tipi di servizio alle loro istanze. I servizi vengono identificati utilizzando un modello _<Servizio>._tcp o _<Servizio>._udp all'interno del dominio .local, portando alla scoperta dei record SRV e TXT corrispondenti che forniscono informazioni dettagliate sul servizio.
Esplorazione di rete
Utilizzo di nmap
Un comando utile per scansionare la rete locale alla ricerca di servizi mDNS è:
Questo comando aiuta a identificare le porte mDNS aperte e i servizi pubblicizzati su di esse.
Enumerazione di rete con Pholus
Per inviare attivamente richieste mDNS e catturare il traffico, lo strumento Pholus può essere utilizzato nel seguente modo:
Attacchi
Sfruttare il mDNS Probing
Un vettore di attacco coinvolge l'invio di risposte contraffatte alle sonde mDNS, suggerendo che tutti i nomi potenziali sono già in uso, ostacolando così i nuovi dispositivi nella scelta di un nome univoco. Ciò può essere eseguito utilizzando:
Questa tecnica blocca efficacemente i nuovi dispositivi dal registrare i loro servizi sulla rete.
In sintesi, comprendere il funzionamento di mDNS e DNS-SD è cruciale per la gestione e la sicurezza della rete. Strumenti come nmap e Pholus offrono preziose informazioni sui servizi di rete locali, mentre la consapevolezza delle vulnerabilità potenziali aiuta a proteggersi dagli attacchi.
Spoofing/MitM
L'attacco più interessante che puoi effettuare su questo servizio è eseguire un MitM nella comunicazione tra il client e il server reale. Potresti essere in grado di ottenere file sensibili (MitM la comunicazione con la stampante) o addirittura credenziali (autenticazione di Windows). Per ulteriori informazioni, consulta:
pageSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksRiferimenti
Last updated