Основна інформація

Multicast DNS (mDNS) дозволяє виконувати операції, схожі на DNS, в межах локальних мереж без потреби у традиційному DNS-сервері. Він працює на UDP-порту 5353 і дозволяє пристроям виявляти один одного та їх послуги, що часто бачиться в різних пристроях Інтернету речей. DNS Service Discovery (DNS-SD), часто використовується разом з mDNS, допомагає ідентифікувати послуги, доступні в мережі через стандартні запити DNS.

PORT     STATE SERVICE
5353/udp open  zeroconf

Операція mDNS

У середовищах без стандартного DNS-сервера mDNS дозволяє пристроям розгадувати доменні імена, що закінчуються на .local, запитуючи мультикаст-адресу 224.0.0.251 (IPv4) або FF02::FB (IPv6). Важливими аспектами mDNS є значення Time-to-Live (TTL), що вказує на дійсність запису, та QU біт, що відрізняє одиночні та мультикаст-запити. З погляду безпеки важливо, щоб реалізації mDNS перевіряли, чи адреса джерела пакета відповідає локальній підмережі.

Функціонування DNS-SD

DNS-SD сприяє виявленню мережевих служб за допомогою запитів до записів вказівника (PTR), які відображають типи служб на їх екземпляри. Служби ідентифікуються за допомогою шаблону _<Service>._tcp або _<Service>._udp в домені .local, що призводить до виявлення відповідних записів SRV та TXT, які надають детальну інформацію про службу.

Дослідження мережі

Використання nmap

Корисна команда для сканування локальної мережі на послуги mDNS:

nmap -Pn -sUC -p5353 [target IP address]

Ця команда допомагає визначити відкриті порти mDNS та рекламовані над ними сервіси.

Мережеве перелічення з Pholus

Для активного відправлення запитів mDNS та захоплення трафіку можна використовувати інструмент Pholus наступним чином:

sudo python3 pholus3.py [network interface] -rq -stimeout 10

Атаки

Використання mDNS-пробінгу

Вектор атаки полягає в надсиланні підроблених відповідей на mDNS-запити, що вказують на те, що всі потенційні імена вже використовуються, тим самим ускладнюючи вибір унікального імені для нових пристроїв. Це можна виконати за допомогою:

sudo python pholus.py [network interface] -afre -stimeout 1000

Ця техніка ефективно блокує нові пристрої від реєстрації своїх служб в мережі.

У підсумку, розуміння роботи mDNS та DNS-SD є важливим для управління мережею та безпеки. Інструменти, такі як nmap та Pholus, надають цінні уявлення про локальні мережеві служби, а усвідомлення потенційних вразливостей допомагає захиститися від атак.

Підроблення/Міжсерверна атака

Найцікавіша атака, яку можна виконати через цю службу, - це виконання Міжсерверної атаки у комунікації між клієнтом та реальним сервером. Ви можете отримати чутливі файли (Міжсерверна атака на комунікацію з принтером) або навіть облікові дані (аутентифікація Windows). Для отримання додаткової інформації перегляньте:

Посилання

• Практичний взлом Інтернету речей: остаточний посібник з атак на Інтернет речей