5353/UDP Multicast DNS (mDNS) and DNS-SD
Temel Bilgiler
Multicast DNS (mDNS), geleneksel bir DNS sunucusuna ihtiyaç duymadan yerel ağlarda DNS benzeri işlemleri mümkün kılar. UDP port 5353 üzerinde çalışır ve cihazların birbirlerini ve hizmetlerini keşfetmelerine olanak tanır, genellikle çeşitli IoT cihazlarında görülür. DNS Hizmet Keşfi (DNS-SD), genellikle mDNS ile birlikte kullanılır ve ağdaki mevcut hizmetleri standart DNS sorguları aracılığıyla tanımlamaya yardımcı olur.
mDNS'nin İşleyişi
Standart bir DNS sunucusu olmayan ortamlarda, mDNS cihazların .local ile biten alan adlarını sorgulayarak, çoklu yayın adresi 224.0.0.251 (IPv4) veya FF02::FB (IPv6) üzerinden çözmesine olanak tanır. mDNS'nin önemli yönleri, kayıt geçerliliğini belirten bir Time-to-Live (TTL) değeri ve unicast ve multicast sorgularını ayıran bir QU bit içermesidir. Güvenlik açısından, mDNS uygulamalarının paketin kaynak adresinin yerel alt ağla uyumlu olduğunu doğrulaması önemlidir.
DNS-SD'nin İşleyişi
DNS-SD, hizmet türlerini örneklerine eşleyen işaretçi kayıtlarını (PTR) sorgulayarak ağ hizmetlerinin keşfini kolaylaştırır. Hizmetler, ayrıntılı hizmet bilgilerini sağlayan SRV ve TXT kayıtlarını keşfetmeye yol açan _<Hizmet>._tcp veya _<Hizmet>._udp deseni içeren .local alanında tanımlanır.
Ağ Keşfi
nmap Kullanımı
mDNS hizmetlerini tarayarak yerel ağı taramak için kullanışlı bir komut:
Bu komut, açık mDNS bağlantı noktalarını ve üzerlerinde yayınlanan hizmetleri belirlemeye yardımcı olur.
Pholus ile Ağ Numaralandırma
Mevcut mDNS isteklerini aktif olarak göndermek ve trafiği yakalamak için Pholus aracı aşağıdaki gibi kullanılabilir:
Saldırılar
mDNS Sondalamasını Sömürme
Bir saldırı vektörü, mDNS sondalamalarına sahte yanıtlar göndererek, tüm potansiyel isimlerin zaten kullanımda olduğunu önererek yeni cihazların benzersiz bir isim seçmesini engellemektir. Bu, şu şekilde gerçekleştirilebilir:
Bu teknik, yeni cihazların ağdaki hizmetlerini kaydetmelerini etkili bir şekilde engeller.
Özetle, mDNS ve DNS-SD'nin çalışma prensiplerini anlamak, ağ yönetimi ve güvenliği için önemlidir. nmap ve Pholus gibi araçlar, yerel ağ hizmetleri hakkında değerli bilgiler sunarken, potansiyel zafiyetler konusunda farkındalık, saldırılara karşı korunmada yardımcı olur.
Sahte Kimlik/Orta Adam Saldırısı
Bu servis üzerinde gerçekleştirebileceğiniz en ilginç saldırı, istemci ile gerçek sunucu arasındaki iletişimde Orta Adam Saldırısı (MitM) yapmaktır. Bu sayede hassas dosyalara (yazıcı ile iletişimi Orta Adam Saldırısı yaparak) veya hatta kimlik bilgilerine (Windows kimlik doğrulaması) erişebilirsiniz. Daha fazla bilgi için:
pageSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksReferanslar
Last updated