Làm thế nào có thể khám phá được địa chỉ IPv6 và tên AAAA của những kẻ tấn công tiềm năng?


26

Nó là khá chuẩn để nhận được một số lượng đáng kể các nỗ lực hack nhỏ mỗi ngày khi thử tên người dùng / mật khẩu phổ biến cho các dịch vụ như SSH và SMTP. Tôi luôn cho rằng những nỗ lực này đang sử dụng không gian địa chỉ "nhỏ" của IPv4 để đoán địa chỉ IP. Tôi nhận thấy rằng tôi không nhận được các nỗ lực hack nào trên IPv6 mặc dù tên miền của tôi có bản ghi Tên AAAA phản ánh mọi bản ghi Tên A và tất cả các dịch vụ IPv4 cũng được mở cho IPv6.

Giả sử DNS công khai (AWS tuyến 53) với tên miền phụ tối nghĩa chỉ vào hậu tố ngẫu nhiên / 64 hợp lý; Các địa chỉ IPv6 và / tên miền phụ có thể được phát hiện từ xa mà không cần thử mọi địa chỉ trong tiền tố / 64 bit hoặc mỗi tên miền phụ trong một danh sách rất dài các tên phổ biến không?

Tất nhiên tôi biết rằng việc thu thập thông tin trên web tìm kiếm các tên miền được liệt kê (phụ) là đủ đơn giản. Tôi cũng biết rằng các máy trên cùng một mạng con có thể sử dụng NDP. Tôi quan tâm nhiều hơn đến việc DNS hoặc các giao thức cơ bản của IPv6 cho phép phát hiện / liệt kê các tên miền và địa chỉ không xác định bằng điều khiển từ xa.



1
Điều này có vẻ như bảo mật bằng cách che khuất ... Nếu tuyến phòng thủ duy nhất của bạn đang sử dụng (được cho là) ​​khó phát hiện ra số nhận dạng (tên hoặc địa chỉ IP) thì bạn có thể sẽ bị vi phạm tại một số điểm. Bạn có thể tương đối an toàn trước các khai thác chung / chọc ngẫu nhiên, nhưng nếu bạn phải phòng thủ trước các cuộc tấn công chủ động vào bạn thì dòng phòng thủ đó bị phá vỡ. Có rất nhiều cách có thể để khám phá những cái tên "tối nghĩa", hãy xem geekflare.com/find-subdomains để bắt đầu
Patrick Mevzek

3
@patrick Nếu bạn chỉ có một tuyến phòng thủ duy nhất, bạn sẽ bị vi phạm thời gian. Tôi vẫn không muốn những cánh cửa bị khóa của mình được quảng cáo trên toàn thế giới
Philip Couling

2
Không. Theo kết luận của riêng tôi, đây không phải là dòng bảo mật duy nhất của tôi. Tôi không bao giờ đề nghị khác.
Philip Couling

Câu trả lời:


34

Các bot độc hại không đoán địa chỉ IPv4 nữa. Họ chỉ đơn giản là thử tất cả. Trên các hệ thống hiện đại, việc này có thể mất ít nhất vài giờ.

Với IPv6, điều này thực sự không thể thực hiện được nữa, như bạn đã đoán. Không gian địa chỉ lớn hơn nhiều đến mức thậm chí không thể quét mạnh một mạng con / 64 trong vòng đời của con người.

Bots sẽ phải sáng tạo hơn nếu họ tiếp tục quét mù trên IPv6 như trên IPv4 và các nhà khai thác bot độc hại sẽ phải làm quen với việc chờ đợi lâu hơn giữa việc tìm kiếm bất kỳ máy nào, chứ đừng nói đến những máy dễ bị tấn công.

May mắn cho những kẻ xấu và không may cho những người khác, việc áp dụng IPv6 đã chậm hơn rất nhiều so với thực tế. IPv6 đã 23 tuổi nhưng chỉ mới được áp dụng đáng kể trong năm năm gần đây. Nhưng mọi người đều giữ cho mạng IPv4 của họ hoạt động và cực kỳ ít máy chủ chỉ có IPv6, vì vậy các nhà khai thác bot độc hại đã có rất ít động lực để thực hiện chuyển đổi. Họ có thể sẽ không làm gì cho đến khi có sự từ bỏ đáng kể của IPv4, điều có thể sẽ không xảy ra trong năm năm tới.

Tôi hy vọng rằng việc đoán mù có thể sẽ không hiệu quả đối với các bot độc hại, khi cuối cùng chúng cũng chuyển sang IPv6, vì vậy chúng sẽ phải chuyển sang các phương tiện khác, như tên DNS bắt buộc, hoặc nhắm mục tiêu bắt buộc các tập con nhỏ của mỗi mạng con.

Ví dụ, một cấu hình máy chủ DHCPv6 phổ biến mặc định cung cấp địa chỉ ::100thông qua ::1ff. Đó chỉ là 256 địa chỉ để thử, trong tổng số / 64. Cấu hình lại máy chủ DHCPv6 để chọn địa chỉ từ phạm vi lớn hơn nhiều để giảm thiểu vấn đề này.

Và việc sử dụng các địa chỉ EUI-64 được sửa đổi cho SLAAC sẽ giảm không gian tìm kiếm xuống còn 2 24 nhân với số lượng OUI được chỉ định. Trong khi đây là hơn 100 tỷ địa chỉ, nó ít hơn 2 64 . Các bot ngẫu nhiên sẽ không bận tâm tìm kiếm không gian này, nhưng các tác nhân độc hại cấp nhà nước sẽ, cho các cuộc tấn công được nhắm mục tiêu, đặc biệt là nếu chúng có thể đưa ra những phỏng đoán có giáo dục về việc sử dụng các NIC nào, để giảm không gian tìm kiếm hơn nữa. Sử dụng RFC 7217 địa chỉ bảo mật ổn định cho SLAAC rất dễ dàng (ít nhất là trên các hệ điều hành hiện đại hỗ trợ nó) và giảm thiểu rủi ro này.

RFC 7707 mô tả một số cách khác trong đó trinh sát có thể được thực hiện trong các mạng IPv6 để định vị địa chỉ IPv6 và cách giảm thiểu chống lại các mối đe dọa đó.


Nhiều bot đã RẤT sáng tạo, và có khả năng là một thị trường đen khổng lồ cho các bot tốt hơn, có thể có quyền truy cập bó vào mạng bot của họ trong khi họ đang ở đó. Các bot không sáng tạo nên dễ dàng bị chặn bởi bất kỳ phương pháp nào bạn chặn những quảng cáo đó.
BeowulfNode42

1
Hầu hết những gì tôi thấy là sự đa dạng của bot. Mặc dù đó là sự đa dạng sáng tạo giúp tôi thức đêm. May mắn thay tôi có một khách hàng trả tiền cho tôi để mất ngủ hơn họ. Điều đó nói rằng, tôi chưa thấy lưu lượng bot đáng kể nào trên IPv6, sáng tạo hay không.
Michael Hampton

Có, gần đây tôi đã nhận thấy các nỗ lực của lực lượng bruit được lan truyền trong nhiều tháng (tên người dùng hoặc mật khẩu mỗi ngày) cho thấy mỗi tên người dùng hoặc mật khẩu được thử đối với mọi máy chủ SSH đối mặt công khai trên Internet (IPv4) trước khi chuyển sang tên người dùng hoặc mật khẩu tiếp theo .
Philip Couling

8

Tôi đã thấy rằng NHIỀU bot ngày nay không đoán được, với IPv4 hoặc IPv6. Bảo mật thông qua che khuất không phải là bảo mật. Che khuất chỉ đơn giản là trì hoãn / giảm số lần tấn công trong một thời gian, và sau đó nó không liên quan.

Tin tặc biết tên miền của công ty bạn từ trang web hoặc địa chỉ email của bạn, IP máy chủ công cộng nào bạn xuất bản cho những thứ như email, SPF, máy chủ web, v.v. Mặc dù có thể mất nhiều thời gian hơn để tìm hiểu tên máy chủ ngẫu nhiên, nhưng họ sẽ đoán các tên phổ biến, như www, mail, smtp, imap, pop, pop3, ns1, v.v., sau đó quét trang web của bạn để tìm bất kỳ dữ liệu bổ sung nào họ có thể tìm thấy. Họ sẽ truy xuất từ ​​kho lưu trữ trước đó của họ quét tên DNS, IP của bạn và những cổng nào cần tập trung vào. Họ cũng sẽ truy xuất danh sách các cặp địa chỉ email / mật khẩu từ bất kỳ vi phạm dữ liệu nào họ có thể tìm và thử tất cả các thông tin đăng nhập đó cùng với một số bổ sung với bất kỳ hệ thống nào họ nghĩ bạn đang chạy trên cổng của mình. Họ thậm chí còn đi đến mức học tên và vai trò công việc của nhân viên của bạn để thử và thực hiện một cuộc tấn công được thiết kế xã hội. Bộ lọc thư rác của chúng tôi liên tục bị bắn phá với những nỗ lực của những kẻ lừa đảo tự xưng là ai đó từ ban quản lý cần chuyển tiền khẩn cấp. Ồ, họ cũng biết ai là đối tác kinh doanh của bạn và tự xưng là họ, và cho bạn biết chi tiết ngân hàng của họ đã thay đổi. Đôi khi, họ thậm chí biết những nền tảng đám mây mà đối tác kinh doanh của bạn đang sử dụng để lập hóa đơn.

Tội phạm có quyền truy cập vào các công cụ dữ liệu lớn giống như mọi người khác và họ đã tích lũy được một lượng dữ liệu khổng lồ đáng ngạc nhiên. Xem lời khai này của một số chuyên gia CNTT tại đại hội Hoa Kỳ https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Nói về vi phạm dữ liệu, nếu một công ty mất thứ gì đó thậm chí dường như vô dụng như nhật ký máy chủ web, thì điều này sẽ chứa địa chỉ IP v4 hoặc v6 của tất cả những người đã sử dụng máy chủ đó vào thời điểm đó và những trang họ truy cập.

Tóm lại, không có phương pháp nào trong số đó yêu cầu kẻ tấn công đoán IP bạn đang sử dụng, họ đã biết.

Chỉnh sửa : Như một bài tập tôi đã dành tất cả 2 phút để duyệt trang web của bạn (từ hồ sơ của bạn), thử một trong các công cụ quét trực tuyến được liên kết ở nơi khác ở đây, và một chút tìm hiểu với nslookup và tìm hiểu một vài điều về bạn . Tôi đoán rằng một trong những địa chỉ tối nghĩa mà bạn đang nói đến liên quan đến

  • một tên hành tinh tương tự như một trong những cái bạn xuất bản
  • đám cưới
  • và địa chỉ IPv6 kết thúc bằng 2e85: eb7a
  • và nó chạy ssh

Vì hầu hết các địa chỉ IPv6 được xuất bản khác của bạn đều kết thúc bằng :: 1. Đây chỉ là từ thông tin mà bạn xuất bản công khai với 1 phỏng đoán nhỏ. Đây có phải là từ IP bạn muốn ẩn?

Chỉnh sửa 2 : Một cái nhìn nhanh khác, tôi thấy bạn xuất bản địa chỉ email của bạn trên trang web của bạn. Kiểm tra trang web https://haveibeenpwned.com/ để biết dữ liệu nào vi phạm địa chỉ đó và dữ liệu nào có trên thị trường chợ đen. Tôi thấy nó đã được vi phạm

  • Vi phạm Adobe tháng 10 năm 2013: Dữ liệu thỏa hiệp: Địa chỉ email, Gợi ý mật khẩu, Mật khẩu, Tên người dùng
  • MyFitnessPal: Vào tháng 2 năm 2018 Dữ liệu thỏa hiệp: Địa chỉ email, địa chỉ IP, Mật khẩu, Tên người dùng
  • MySpace: Trong khoảng năm 2008 Dữ liệu thỏa hiệp: Địa chỉ email, Mật khẩu, Tên người dùng
  • PHP Freaks: Vào tháng 10 năm 2015 Dữ liệu thỏa hiệp: Ngày sinh, địa chỉ Email, địa chỉ IP, Mật khẩu, Tên người dùng, Hoạt động trang web
  • QuinStreet: Trong khoảng cuối năm 2015 Dữ liệu thỏa hiệp: Ngày sinh, địa chỉ Email, địa chỉ IP, Mật khẩu, Tên người dùng, Hoạt động trang web

Xem nếu tên người dùng đó của một phần địa chỉ email được sử dụng tại một số nhà cung cấp email phổ biến khác, tôi thấy có nhiều dữ liệu hơn. Đây sẽ là một dự đoán nhỏ mà bot có thể thực hiện. Nếu một số tương quan với phần đã biết về bạn thì bot có thể cho rằng đó là tất cả của bạn, điều đó không nhất định, rất có thể là đủ. Với dữ liệu bổ sung trong các vi phạm

  • Verifying.io: Vào tháng 2 năm 2019 Dữ liệu thỏa hiệp: Ngày sinh, Địa chỉ email, Nhà tuyển dụng, Giới tính, Vị trí địa lý, Địa chỉ IP, Chức danh, Tên, Số điện thoại, Địa chỉ thực
  • Danh sách thư rác của River City Media vào tháng 1 năm 2017 Dữ liệu thỏa hiệp: Địa chỉ email, địa chỉ IP, Tên, địa chỉ thực
  • Apollo: Vào tháng 7 năm 2018, khởi động tham gia bán hàng Dữ liệu thỏa hiệp: Địa chỉ email, Nhà tuyển dụng, Vị trí địa lý, Chức danh, Tên, Số điện thoại, Salutations, Hồ sơ truyền thông xã hội
  • Doanh nghiệp B2B Hoa Kỳ vào giữa năm 2017 Dữ liệu thỏa hiệp: Địa chỉ email, Nhà tuyển dụng, Chức danh, Tên, Số điện thoại, Địa chỉ thực
  • Bitly: Vào tháng 5 năm 2014 Dữ liệu thỏa hiệp: Địa chỉ email, Mật khẩu, Tên người dùng
  • Bộ sưu tập số 1 (chưa được xác minh): Vào tháng 1 năm 2019, một bộ sưu tập lớn các danh sách nhồi thông tin xác thực (kết hợp địa chỉ email và mật khẩu được sử dụng để chiếm đoạt tài khoản trên các dịch vụ khác) đã được phát hiện trên một diễn đàn hack phổ biến
  • Dropbox: Vào giữa năm 2012 Dữ liệu thỏa hiệp: Địa chỉ email, Mật khẩu
  • Khai thác.In (chưa được xác minh): Vào cuối năm 2016, một danh sách lớn các cặp địa chỉ email và mật khẩu đã xuất hiện trong một "danh sách kết hợp" được gọi là "Khai thác.In"
  • HauteLook: Vào giữa năm 2018 Dữ liệu thỏa hiệp: Ngày sinh, địa chỉ Email, Giới tính, Vị trí địa lý, Tên, Mật khẩu
  • Pemiblanc (chưa được xác minh): Vào tháng 4 năm 2018, một danh sách nhồi thông tin xác thực chứa 111 triệu địa chỉ email và mật khẩu được gọi là Pemiblanc đã được phát hiện trên máy chủ của Pháp
  • Chia sẻ: Tháng 7 năm 2018 Dữ liệu thỏa hiệp: Ngày sinh, địa chỉ Email, Tên, Mật khẩu
  • Ticketfly: Trong tháng 5 năm 2018 Dữ liệu thỏa hiệp: Địa chỉ email, Tên, Số điện thoại, Địa chỉ thực

Trong khi bot đang ở đó, nó có thể kiểm tra facebook và có thể thấy rằng một trong những trang facebook có tên của bạn có cùng một bức ảnh như trên trang web của bạn, và bây giờ nó biết thêm về bạn và bạn bè của bạn. Thêm vào đó tôi đoán rằng thành viên gia đình bạn liệt kê là mẹ của bạn, người liệt kê "tên thời con gái của mẹ bạn". Từ facebook nó cũng có thể xác minh hồ sơ Linkedin là của bạn.

Có nhiều thông tin trực tuyến về chúng tôi hơn mọi người nhận ra. Dữ liệu lớn và phân tích học máy là có thật, bây giờ nó đã ở đây và phần lớn dữ liệu đã được đăng hoặc rò rỉ trực tuyến có thể được tương quan và sử dụng. Những gì bạn nên biết, khi bạn liệt kê rằng bạn đã hoàn thành bằng Cử nhân về AI và khoa học máy tính vào năm 2003-2007. Mọi thứ đã đi một chặng đường dài kể từ đó, đặc biệt với những tiến bộ mà Google đã xuất bản từ khi kết thúc bằng cấp của bạn trở đi. Mọi người là mọi người, hầu hết sẽ chỉ tìm kiếm lợi nhuận từ bạn, với một số người sử dụng dữ liệu hợp lý và hợp pháp, nhưng những người khác sẽ sử dụng nó theo bất kỳ cách nào họ có thể.

Quan điểm của tôi với tất cả điều này là hai lần, rằng chúng tôi xuất bản nhiều thông tin hơn chúng tôi nghĩ và toàn bộ quan điểm của DNS là xuất bản việc chuyển đổi tên thành địa chỉ IP.


6

Về hồ sơ AAAA:

DNS theo truyền thống không được mã hóa. Mặc dù có một nhóm các tiêu chuẩn (DNSSEC) để ký DNS, việc mã hóa các bản ghi DNS đã có quá trình triển khai khó khăn hơn rất nhiều và do đó, nói chung là an toàn nhất khi cho rằng mọi MitM đều có thể đọc tất cả các truy vấn DNS của bạn trừ khi bạn đã đi theo cách của bạn để cấu hình DNS được mã hóa rõ ràng ở phía máy khách. Bạn sẽ biết nếu bạn đã làm như vậy bởi vì nó khá là thử thách .

(Ngoài ra, trình duyệt web của bạn có thể đang gửi SNI không được mã hóa trong cái bắt tay TLS, sau khi nó đã giải quyết được tên miền. Không rõ ràng về cách bạn cắm lỗ hổng này, vì VPN hoặc Tor vẫn có thể là MitM'd giữa lối ra điểm kết thúc nút hoặc VPN và máy chủ từ xa. Những người giỏi tại Cloudflare đang cố gắng khắc phục sự cố này, nhưng ESNI cũng sẽ phụ thuộc vào việc triển khai ứng dụng khách, đặc biệt là đối với Chrome , nếu nó thực sự bắt đầu.

Tuy nhiên, các cuộc tấn công MitM có thể hoặc không thể là một vấn đề, tùy thuộc vào mô hình mối đe dọa của bạn. Quan trọng hơn là thực tế đơn giản rằng tên DNS được dự định là thông tin công khai. Rất nhiều người (công cụ tìm kiếm, đăng ký DNS, v.v.) thu thập và công khai tên DNS vì những lý do hoàn toàn lành tính. Các trình phân giải DNS thường áp dụng các giới hạn tốc độ, nhưng các giới hạn này thường khá hào phóng, vì chúng nhằm ngăn chặn các cuộc tấn công DoS, chứ không phải liệt kê tên miền phụ. Tạo chứng chỉ HTTPS thường liên quan đến việc xuất bản tên miền cho tất cả mọi người thấy, tùy thuộc vào CA ( Let Encrypt làm điều đó và nhiều người khác cũng vậy). Trong thực tế, việc giữ bí mật một tên miền hoặc tên miền phụ là điều không thể, bởi vì mọi người đều cho rằng họ công khai và không nỗ lực che giấu chúng.

Vì vậy, để trả lời câu hỏi này:

Tôi quan tâm nhiều hơn đến việc DNS hoặc các giao thức cơ bản của IPv6 cho phép phát hiện / liệt kê các tên miền và địa chỉ không xác định bằng điều khiển từ xa.

Về mặt kỹ thuật, không, nó không. Nhưng điều đó không quan trọng bởi vì một lượng lớn công nghệ lớp cao hơn chỉ cho rằng các bản ghi DNS của bạn là công khai, vì vậy chúng chắc chắn sẽ tồn tại.


1
SNI được mã hóa đang được phát triển. Cho nó một hoặc hai năm.
Michael Hampton

1
@MichaelHampton: Tôi tin rằng ESNI sẽ xảy ra. Nhưng với hồ sơ theo dõi của ngành (DNSSEC, IPv6, Dane, ...) tôi hơi nghi ngờ rằng "một hoặc hai năm" sẽ thực sự đủ. Bất kể, chúng ta sẽ thấy đủ sớm.
Kevin

1
CloudFlare đang thúc đẩy nó vì vậy tôi sẽ đặt cược sớm hơn chứ không phải sau này :)
Michael Hampton

Tôi thấy mình muốn nói "có nhưng ..." với từng ví dụ cụ thể của bạn tuy nhiên một điểm rất hay là tên DNS thường được coi là thông tin công khai. +1
Philip Couling
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.