分散環境で DNS サービスの攻撃対象領域を拡大する方法

私は現在、RCNTEC株式会社に勤務しており、日々分散環境に取り組んでいます。 ISC BIND を使用して DNS サービスを実装する必要がある場合、私はいつも自分自身に問いかけます - ドメインの NS サーバーのみがそのドメインの DNS サーバーとしても考慮されるべきでしょうか?ドメイン「yandex.ru」の DNS ゾーンにはネーム サーバーが 2 つだけありますか?同様に、ドメイン「google.com」にはネームサーバーが 4 つしかないのでしょうか?

明らかに、そうではありません。インターネット サービスを提供する企業の多くは、ロード バランサー、ファイアウォール、または何らかのリバース プロキシ サービスを介して DNS インフラストラクチャを分散化していると思います。

しかし、このパズルを解いてバックエンド DNS サーバーに関する情報を取得するにはどうすればよいでしょうか?さて、私の指示に従って、DNS をさらに詳しく見てみましょう。

カオスネット

Chaosnet の詳細については、こちらをご覧ください。つまり、これは ISO OSI レイヤー 3 の別のネットワーク プロトコルです。DNS に関しては、Chaosnet は IN (インターネット) や HS (Hesiod) に似たネットワークのクラスの 1 つ (コード名 CH) であると考えられています。

Chaosnet が興味深いのは、CH クラスが「bind」でよく使用されるためです。サービス ゾーン用。DNS サーバーに関する有用な情報が含まれています。 DNS サーバーのバージョンを判別できる「version.bind」レコードを知っておく必要があると思います。

このレコードに基づいて、一般的に使用される DNS フィンガープリント手法は数多くあります。

例を見てみましょう:

上の画像からわかるように、私は自分の DNS サーバーを通じて Chaosnet TXT レコード「version.bind」を要求し、DNS サーバーのバージョン情報を含む応答を受け取りました。

DNS サーバーのバージョン情報は取得できますが、リレーの背後にある DNS サーバーを列挙することはできません。また、多くのシステム管理者はこの「機能」を認識しており、この問題を修正して DNS サーバーのバージョンを非表示にする方法も知っています。

たとえ、ターゲットのシステム管理者が「バインド」にパッチを適用していなくても。 DNS ドメインのレコードがないと、DNS を列挙できません。これはバージョン情報のみであり、IP などではありません。

別のCH TXTレコード

TXT レコード「hostname.bind」は、CH ゾーン「bind」で使用可能な別のレコードです。 DNS サーバーからこのレコードを要求した場合に何が起こるかを見てみましょう。

良い！サーバーのホスト名を取得しました。私が示したケースでは、ホスト名は内部サーバーの名前にすぎませんでしたが、分散環境ではホスト名はどうなるのでしょうか?

私の経験では、展開を容易にするために、サーバーのホスト名が外部 DNS 名と同じになることは非常に一般的です。この場合、ホストの内部ホスト名を取得すると、ホストの外部 DNS 名も取得されます。ホストの外部 DNS 名を解決するだけで、サーバーの IP アドレスを取得できます。

スクリプトを表示

「dig」を実行し、受信したホスト名を解決することで、DNS サーバーのバージョンとホスト名を決定する小さなツールを作成しました。

ロシアのドメイン登録業者のネームサーバーにリクエストを送信した後の unhidens スクリプトの出力を見てみましょう。

分散環境で DNS サービスの攻撃対象領域を拡大する方法

上の画像からわかるように、31.177.85.186 の背後には DNS サーバーが 1 つだけあります。実際、テスト範囲を IP 31.177.85.194 と名前「ns9-1.nic.ru」に拡張しました。

Yandexはどうですか? （翻訳者注：Yandexはロシアと中央アジア諸国で最大かつ最も広く使われている検索エンジンです）

私は自分のスクリプトを使って彼らのシステムへのリクエストを実行しました :)

分散環境で DNS サービスの攻撃対象領域を拡大する方法

ハハハ！パブリック マシンの背後に配置されている Yandex バックエンドの DNS サーバーを完全に列挙します。ホスト名を要求し、それを IP アドレスに解決できます。

Yandex の DNS サーバーを照会したときに見つかったホストはすべてファイアウォールで保護されているため、これらのサーバーと直接通信することはできません。しかし、他のいくつかの企業で unhidens スクリプトを実行してみたところ、脆弱なバージョンの DNS ソフトウェアがインストールされているマシンや、TCP ポート 53 が開いているマシンが見つかることもありました。

結論は

この投稿で説明されている情報漏洩は重大なバグではありませんが、攻撃者が攻撃対象領域を拡大するために利用される可能性があります。

さまざまなドメインで unhidens スクリプトを実行してみてください。きっと気に入っていただけると思います。

また、「バインド」にも留意してください。フィールドは ISC BIND の機能だけではありません。この情報漏洩の影響を受けるさまざまな DNS サーバーを確認しました。

DNS サーバー上のこのセキュリティ問題を修正したい場合は、「バインド」を手動で処理することをお勧めします。 CH ドメインの。

ISC BIND を使用する場合は、次の内容を 'named.conf' に追加するだけです。

そして、「bind.dns」ゾーン ファイルを作成します。

これは DNS サーバーのバージョン情報とホスト名を隠す最も簡単な方法ではありませんが、この構成を使用するとすべての「bind」をログに記録できます。要求をブロックして、攻撃の分析と追跡のためにマシンに関する機密情報を要求しようとするすべてのクライアントを追跡できるようにします。