5353/UDP Multicast DNS (mDNS) and DNS-SD
Temel Bilgiler
Multicast DNS (mDNS), geleneksel bir DNS sunucusuna ihtiyaç duymadan yerel ağlar içinde DNS benzeri işlemler gerçekleştirilmesini sağlar. UDP port 5353 üzerinde çalışır ve cihazların birbirlerini ve hizmetlerini keşfetmelerine olanak tanır; bu, çeşitli IoT cihazlarında yaygın olarak görülür. DNS Hizmet Keşfi (DNS-SD), genellikle mDNS ile birlikte kullanılan, ağda mevcut olan hizmetleri standart DNS sorguları aracılığıyla tanımlamaya yardımcı olur.
mDNS'ın İşleyişi
Standart bir DNS sunucusunun olmadığı ortamlarda, mDNS cihazların .local ile biten alan adlarını 224.0.0.251 (IPv4) veya FF02::FB (IPv6) çoklu yayın adresini sorgulayarak çözmesine olanak tanır. mDNS'in önemli yönleri arasında kayıt geçerliliğini belirten bir Yaşam Süresi (TTL) değeri ve tekil ile çoklu yayın sorguları arasında ayrım yapan bir QU bit bulunur. Güvenlik açısından, mDNS uygulamalarının paketin kaynak adresinin yerel alt ağ ile uyumlu olduğunu doğrulaması kritik öneme sahiptir.
DNS-SD'nin İşleyişi
DNS-SD, hizmet türlerini örneklerine eşleyen işaretçi kayıtlarını (PTR) sorgulayarak ağ hizmetlerinin keşfini kolaylaştırır. Hizmetler, _<Service>._tcp veya _<Service>._udp desenini kullanarak .local alanında tanımlanır ve bu, ilgili SRV ve TXT kayıtlarının keşfine yol açar; bu kayıtlar ayrıntılı hizmet bilgileri sağlar.
Ağ Keşfi
nmap Kullanımı
mDNS hizmetleri için yerel ağı taramak için yararlı bir komut:
Bu komut, açık mDNS portlarını ve bunlar üzerinden duyurulan hizmetleri tanımlamaya yardımcı olur.
Pholus ile Ağ Sayımı
mDNS isteklerini aktif olarak göndermek ve trafiği yakalamak için Pholus aracı aşağıdaki gibi kullanılabilir:
Saldırılar
mDNS Sorgulamalarını İstismar Etme
Bir saldırı vektörü, mDNS sorgularına sahte yanıtlar göndererek, tüm potansiyel adların zaten kullanıldığını öne sürmekte ve böylece yeni cihazların benzersiz bir ad seçmesini engellemektedir. Bu, şu şekilde gerçekleştirilebilir:
Bu teknik, yeni cihazların ağda hizmetlerini kaydetmelerini etkili bir şekilde engeller.
Özetle, mDNS ve DNS-SD'nin çalışma prensiplerini anlamak, ağ yönetimi ve güvenliği için kritik öneme sahiptir. nmap ve Pholus gibi araçlar, yerel ağ hizmetleri hakkında değerli bilgiler sunarken, potansiyel zayıflıkların farkında olmak, saldırılara karşı korunmaya yardımcı olur.
Spoofing/MitM
Bu hizmet üzerinden gerçekleştirebileceğiniz en ilginç saldırı, istemci ile gerçek sunucu arasındaki iletişimde bir MitM gerçekleştirmektir. Hassas dosyaları (yazıcı ile iletişimi MitM yaparak) veya hatta kimlik bilgilerini (Windows kimlik doğrulaması) elde etme şansınız olabilir. Daha fazla bilgi için kontrol edin:
Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksReferanslar
Last updated