Podstawowe informacje

Multicast DNS (mDNS) umożliwia działanie podobne do DNS w lokalnych sieciach bez konieczności tradycyjnego serwera DNS. Działa na porcie UDP 5353 i pozwala urządzeniom odkrywać się nawzajem i ich usługi, co często występuje w różnych urządzeniach IoT. DNS Service Discovery (DNS-SD), często używane razem z mDNS, pomaga w identyfikacji dostępnych usług w sieci za pomocą standardowych zapytań DNS.

PORT     STATE SERVICE
5353/udp open  zeroconf

Działanie mDNS

W środowiskach bez standardowego serwera DNS, mDNS umożliwia urządzeniom rozwiązywanie nazw domen kończących się na .local poprzez zapytania do adresu multicastowego 224.0.0.251 (IPv4) lub FF02::FB (IPv6). Ważne aspekty mDNS obejmują wartość Time-to-Live (TTL) wskazującą ważność rekordu oraz bit QU, który rozróżnia zapytania unicastowe i multicastowe. Pod względem bezpieczeństwa, istotne jest, aby implementacje mDNS weryfikowały, czy adres źródłowy pakietu jest zgodny z lokalną podsiecią.

Działanie DNS-SD

DNS-SD ułatwia odkrywanie usług sieciowych poprzez zapytania o rekordy wskaźnikowe (PTR), które mapują typy usług na ich instancje. Usługi są identyfikowane za pomocą wzorca _<Usługa>._tcp lub _<Usługa>._udp w domenie .local, co prowadzi do odkrycia odpowiadających rekordów SRV i TXT, które dostarczają szczegółowych informacji o usłudze.

Eksploracja sieci

Użycie nmap

Przydatne polecenie do skanowania lokalnej sieci w poszukiwaniu usług mDNS to:

nmap -Pn -sUC -p5353 [target IP address]

Ten polecenie pomaga zidentyfikować otwarte porty mDNS oraz usługi reklamowane na tych portach.

Eskploracja sieciowa za pomocą narzędzia Pholus

Aby aktywnie wysyłać żądania mDNS i przechwytywać ruch, można użyć narzędzia Pholus w następujący sposób:

sudo python3 pholus3.py [network interface] -rq -stimeout 10

Ataki

Wykorzystywanie sondowania mDNS

Wektor ataku polega na wysyłaniu podszytych odpowiedzi na sondowania mDNS, sugerujących, że wszystkie potencjalne nazwy są już zajęte, co utrudnia nowym urządzeniom wybór unikalnej nazwy. Można to zrealizować za pomocą:

sudo python pholus.py [network interface] -afre -stimeout 1000

Ta technika skutecznie blokuje nowe urządzenia przed rejestracją swoich usług w sieci.

Podsumowując, zrozumienie działania mDNS i DNS-SD jest kluczowe dla zarządzania i zabezpieczania sieci. Narzędzia takie jak nmap i Pholus oferują cenne informacje na temat lokalnych usług sieciowych, podczas gdy świadomość potencjalnych podatności pomaga w ochronie przed atakami.

Podrabianie/MitM

Najciekawszym atakiem, który można przeprowadzić na tej usłudze, jest wykonanie MitM w komunikacji między klientem a prawdziwym serwerem. Możliwe jest uzyskanie poufnych plików (MitM komunikacji z drukarką) lub nawet poświadczeń (uwierzytelnianie systemu Windows). Aby uzyskać więcej informacji, sprawdź:

Referencje

• Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things