Osnovne informacije

Multicast DNS (mDNS) omogućava DNS-slične operacije unutar lokalnih mreža bez potrebe za tradicionalnim DNS serverom. Radi na UDP portu 5353 i omogućava uređajima da otkriju jedni druge i njihove usluge, što je često viđeno kod različitih IoT uređaja. DNS Service Discovery (DNS-SD), često korišćen zajedno sa mDNS-om, pomaže u identifikaciji usluga dostupnih na mreži putem standardnih DNS upita.

PORT     STATE SERVICE
5353/udp open  zeroconf

Rad mDNS-a

U okruženjima bez standardnog DNS servera, mDNS omogućava uređajima da reše domenska imena koja se završavaju sa .local tako što upituju multicast adresu 224.0.0.251 (IPv4) ili FF02::FB (IPv6). Važni aspekti mDNS-a uključuju vrednost Time-to-Live (TTL) koja označava validnost zapisa i QU bit koji razlikuje unicast i multicast upite. Što se tiče bezbednosti, ključno je da implementacije mDNS-a provere da li se izvorna adresa paketa poklapa sa lokalnom podmrežom.

Funkcionisanje DNS-SD-a

DNS-SD olakšava otkrivanje mrežnih servisa tako što upituje pokazivačke zapise (PTR) koji mapiraju tipove servisa na njihove instance. Servisi se identifikuju koristeći obrazac _<Servis>._tcp ili _<Servis>._udp unutar domena .local, što dovodi do otkrivanja odgovarajućih SRV i TXT zapisa koji pružaju detaljne informacije o servisu.

Istraživanje mreže

Upotreba nmap-a

Korisna komanda za skeniranje lokalne mreže u potrazi za mDNS servisima je:

nmap -Pn -sUC -p5353 [target IP address]

Ova komanda pomaže u identifikaciji otvorenih mDNS portova i usluga koje se oglašavaju preko njih.

Mrežno prebrojavanje pomoću alata Pholus

Da biste aktivno slali mDNS zahteve i snimali saobraćaj, alat Pholus se može koristiti na sledeći način:

sudo python3 pholus3.py [network interface] -rq -stimeout 10

Napadi

Iskorišćavanje mDNS istraživanja

Vektor napada uključuje slanje lažnih odgovora na mDNS istraživanja, sugerišući da su sva potencijalna imena već zauzeta, čime se ometa odabir jedinstvenog imena novim uređajima. Ovo se može izvršiti korišćenjem:

sudo python pholus.py [network interface] -afre -stimeout 1000

Ova tehnika efikasno blokira nove uređaje da registruju svoje usluge na mreži.

Ukratko, razumevanje rada mDNS i DNS-SD je ključno za upravljanje i bezbednost mreže. Alati poput nmap-a i Pholus-a pružaju dragocene uvide u lokalne mrežne usluge, dok poznavanje potencijalnih ranjivosti pomaže u zaštiti od napada.

Spoofing/MitM

Najinteresantniji napad koji možete izvesti preko ove usluge je izvršiti MitM u komunikaciji između klijenta i pravog servera. Moguće je dobiti osetljive fajlove (MitM komunikacija sa štampačem) ili čak akreditive (Windows autentifikacija). Za više informacija pogledajte:

Reference

• Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things