5353/UDP Multicast DNS (mDNS) and DNS-SD
Основна інформація
Multicast DNS (mDNS) дозволяє виконувати операції, схожі на DNS, в межах локальних мереж без потреби у традиційному DNS-сервері. Він працює на UDP-порту 5353 і дозволяє пристроям виявляти один одного та їх послуги, що часто бачиться в різних пристроях Інтернету речей. DNS Service Discovery (DNS-SD), часто використовується разом з mDNS, допомагає ідентифікувати послуги, доступні в мережі через стандартні запити DNS.
Операція mDNS
У середовищах без стандартного DNS-сервера mDNS дозволяє пристроям розгадувати доменні імена, що закінчуються на .local, запитуючи мультикаст-адресу 224.0.0.251 (IPv4) або FF02::FB (IPv6). Важливими аспектами mDNS є значення Time-to-Live (TTL), що вказує на дійсність запису, та QU біт, що відрізняє одиночні та мультикаст-запити. З погляду безпеки важливо, щоб реалізації mDNS перевіряли, чи адреса джерела пакета відповідає локальній підмережі.
Функціонування DNS-SD
DNS-SD сприяє виявленню мережевих служб за допомогою запитів до записів вказівника (PTR), які відображають типи служб на їх екземпляри. Служби ідентифікуються за допомогою шаблону _<Service>._tcp або _<Service>._udp в домені .local, що призводить до виявлення відповідних записів SRV та TXT, які надають детальну інформацію про службу.
Дослідження мережі
Використання nmap
Корисна команда для сканування локальної мережі на послуги mDNS:
Ця команда допомагає визначити відкриті порти mDNS та рекламовані над ними сервіси.
Мережеве перелічення з Pholus
Для активного відправлення запитів mDNS та захоплення трафіку можна використовувати інструмент Pholus наступним чином:
Атаки
Використання mDNS-пробінгу
Вектор атаки полягає в надсиланні підроблених відповідей на mDNS-запити, що вказують на те, що всі потенційні імена вже використовуються, тим самим ускладнюючи вибір унікального імені для нових пристроїв. Це можна виконати за допомогою:
Ця техніка ефективно блокує нові пристрої від реєстрації своїх служб в мережі.
У підсумку, розуміння роботи mDNS та DNS-SD є важливим для управління мережею та безпеки. Інструменти, такі як nmap та Pholus, надають цінні уявлення про локальні мережеві служби, а усвідомлення потенційних вразливостей допомагає захиститися від атак.
Підроблення/Міжсерверна атака
Найцікавіша атака, яку можна виконати через цю службу, - це виконання Міжсерверної атаки у комунікації між клієнтом та реальним сервером. Ви можете отримати чутливі файли (Міжсерверна атака на комунікацію з принтером) або навіть облікові дані (аутентифікація Windows). Для отримання додаткової інформації перегляньте:
pageSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksПосилання
Last updated