Jak wykrywalne są adresy IPv6 i nazwy AAAA przez potencjalnych napastników?

26

Codzienne otrzymywanie znacznej liczby drobnych prób włamań do sieci polega na wypróbowaniu wspólnej nazwy użytkownika / hasła do usług takich jak SSH i SMTP. Zawsze zakładałem, że te próby wykorzystują „małą” przestrzeń adresową IPv4 do odgadnięcia adresów IP. Zauważam, że nie mam żadnych prób włamania na IPv6, mimo że moja domena ma rekordy nazw AAAA dublujące każdy rekord nazwy A, a wszystkie usługi IPv4 są również otwarte na IPv6.

Zakładając, że publiczny DNS (trasa AWS 53) z niejasną subdomeną wskazującą na rozsądnie losowy przyrostek / 64; Czy adresy IPv6 i / subdomeny są zdalnie wykrywalne bez próbowania każdego adresu w prefiksie / 64-bitowym lub każdej subdomeny na bardzo długiej liście nazw pospolitych?

Oczywiście zdaję sobie sprawę, że przeszukiwanie sieci w poszukiwaniu nazw (pod) nazw domen jest dość proste. Wiem też, że komputery w tej samej podsieci mogą korzystać z NDP. Jestem bardziej zainteresowany tym, czy DNS lub protokoły IPv6 zezwalają na zdalne wykrywanie / wyświetlanie nieznanych domen i adresów.

Philip Couling
źródło
1
Wygląda to na bezpieczeństwo przez zaciemnienie ... Jeśli twoja jedyna linia obrony używa (podobno) trudnych do wykrycia identyfikatorów (nazw lub adresów IP), możesz spodziewać się, że w pewnym momencie zostaniesz złamany. Możesz być względnie bezpieczny wobec ogólnych exploitów / losowych zaczepów, ale jeśli musisz bronić się przed aktywnymi atakami na ciebie, ta linia obrony się zrywa. Istnieje mnóstwo możliwych sposobów odkryć „niejasnych” nazwy, spojrzeć na geekflare.com/find-subdomains na początek
Patrick Mevzek
3
@patrick Jeśli masz tylko jedną linię obrony, masz przekroczony okres. Nadal nie chcę, aby moje zamknięte drzwi były reklamowane na całym świecie
Philip Couling
2
Nie. Według moich wniosków nie jest to moja jedyna linia bezpieczeństwa. Nigdy nie sugerowałem inaczej.
Philip Couling

Odpowiedzi:

34

Szkodliwe boty nie odgadują już adresów IPv4. Po prostu próbują ich wszystkich. W nowoczesnych systemach może to zająć zaledwie kilka godzin.

Jak można się domyślić, w przypadku IPv6 nie jest to już tak naprawdę możliwe. Przestrzeń adresowa jest o tyle większa, że ​​nie można nawet skanować pojedynczej podsieci / 64 w ciągu całego życia człowieka.

Boty będą musiały stać się bardziej kreatywne, jeśli będą kontynuować ślepe skanowanie na IPv6 jak na IPv4, a złośliwi operatorzy botów będą musieli przyzwyczaić się do dłuższego oczekiwania między znalezieniem jakichkolwiek maszyn, nie mówiąc już o podatnych na ataki.

Na szczęście dla złych facetów i niestety dla wszystkich innych, przyjęcie IPv6 poszło znacznie wolniej niż powinno. IPv6 ma 23 lata, ale w ciągu ostatnich pięciu lat znacznie go adoptowano. Ale wszyscy utrzymują aktywne sieci IPv4, a bardzo niewiele hostów obsługuje tylko IPv6, więc złośliwi operatorzy botów nie mieli wystarczającej motywacji, aby dokonać zmiany. Prawdopodobnie nie zrobią tego, dopóki nie nastąpi znaczące porzucenie IPv4, co prawdopodobnie nie nastąpi w ciągu najbliższych pięciu lat.

Oczekuję, że ślepe zgadywanie prawdopodobnie nie przyniesie rezultatów szkodliwym botom, kiedy w końcu przejdą na IPv6, więc będą musiały przejść na inne środki, takie jak brutalne wymuszanie nazw DNS lub ukierunkowane brutalne wymuszanie małych podzbiorów każda podsieć.

Na przykład typowej konfiguracji serwera DHCPv6 rozdaje adresy ::100poprzez ::1ffdomyślnie. To tylko 256 adresów do wypróbowania, z całego / 64. Ponowna konfiguracja serwera DHCPv6 w celu wybierania adresów z dużo większego zakresu zmniejsza ten problem.

A użycie zmodyfikowanych adresów EUI-64 dla SLAAC zmniejsza przestrzeń wyszukiwania do 2 24 pomnożoną przez liczbę przypisanych OUI. Chociaż jest to ponad 100 miliardów adresów, jest to znacznie mniej niż 2 64 . Losowe boty nie zawracają sobie głowy przeszukiwaniem tej przestrzeni, ale złośliwi aktorzy na poziomie stanowym, w przypadku ukierunkowanych ataków, szczególnie jeśli potrafią zgadywać, które karty sieciowe mogą być używane, aby jeszcze bardziej zmniejszyć przestrzeń wyszukiwania. Używanie stabilnych adresów prywatności RFC 7217 dla SLAAC jest łatwe (przynajmniej w nowoczesnych systemach operacyjnych, które je obsługują) i zmniejsza to ryzyko.

RFC 7707 opisuje kilka innych sposobów przeprowadzania rozpoznania w sieciach IPv6 w celu zlokalizowania adresów IPv6 oraz sposoby ograniczania tych zagrożeń.

Michael Hampton
źródło
Wiele botów jest już BARDZO kreatywnych i prawdopodobnie istnieje ogromny czarny rynek dla lepszych botów, prawdopodobnie z pakietowym dostępem do ich botów, gdy są one dostępne. Boty, które nie są kreatywne, powinny być łatwo blokowane za pomocą dowolnej metody, którą blokujesz.
BeowulfNode42
1
Większość tego, co widzę, to nie kreatywna odmiana bota. Chociaż to kreatywna różnorodność utrzymuje mnie w nocy. Na szczęście mam klienta, który płaci mi za to, że straciłem sen. To powiedziawszy, jeszcze nie widzę żadnego znaczącego ruchu botów na IPv6, czy to kreatywnego czy nie.
Michael Hampton
Tak, ostatnio zauważyłem, że próby siłowe są rozłożone na miesiące (nazwa użytkownika lub hasło dziennie), co sugeruje, że każda nazwa użytkownika lub hasło jest wypróbowywane na każdym publicznym serwerze SSH w Internecie (IPv4) przed przejściem na następną nazwę użytkownika lub hasło .
Philip Couling
8

Przekonałem się, że WIELE BOTów w dzisiejszych czasach nie zgaduje, z IPv4 lub IPv6. Bezpieczeństwo przez zaciemnienie wcale nie jest bezpieczeństwem. Obscurity po prostu opóźnia / zmniejsza liczbę ataków na jakiś czas, a potem nie ma to znaczenia.

Hakerzy znają nazwę domeny Twojej firmy ze strony internetowej lub adresu e-mail, jakie publiczne adresy IP serwera publicznego publikujesz na potrzeby takich wiadomości, jak poczta e-mail, SPF, serwery internetowe itp. Chociaż nauka nazwy losowej serwera może trochę potrwać, ale zgadną pospolite nazwy, takie jak www, mail, smtp, imap, pop, pop3, ns1 itp., a następnie zeskrobać witrynę w poszukiwaniu dodatkowych danych, które mogą znaleźć. Będą pobierać z magazynu poprzednich skanów twoje nazwy DNS, adresy IP i porty, na których należy się skupić. Pobiorą również listę par adresu e-mail / hasła z wszelkich wykrytych przypadków naruszenia danych i wypróbują wszystkie te loginy oraz niektóre dodatkowe z dowolnego systemu, który według nich działa na twoich portach. Dążą nawet do poznania nazwisk i ról pracowników w celu przeprowadzenia ataku inżynierii społecznej. Nasz filtr antyspamowy jest stale bombardowany próbami oszustów podających się za osoby z kierownictwa, potrzebujące pilnego przelewu środków. Och, oni również dowiadują się, kim są twoi partnerzy biznesowi i twierdzą, że nimi są, i informują cię, że ich dane bankowe uległy zmianie. Czasami nawet wiedzą, z jakich platform chmurowych korzystają Twoi partnerzy biznesowi do wystawiania faktur.

Przestępcy mają dostęp do narzędzi big data tak samo jak wszyscy inni i zgromadzili zaskakująco dużą ilość danych. Zobacz to zeznanie niektórych specjalistów IT na kongresie USA https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Mówiąc o naruszeniach danych, jeśli firma straci coś, co wydaje się tak bezużyteczne, jak dziennik serwera WWW, będzie to zawierać adresy IP v4 lub v6 wszystkich osób, które korzystały z tego serwera w tym czasie, i jakie strony uzyskały dostęp.

Podsumowując, żadna z tych metod nie wymaga od osoby atakującej odgadnięcia, jakiego adresu IP używasz, oni już wiedzą.

Edycja : W ramach ćwiczenia spędziłem wszystkie 2 minuty na przeglądaniu witryny (z Twojego profilu), wypróbowaniu jednego z narzędzi do skanowania online połączonych gdzie indziej tutaj, a także przyjrzeniu się nslookup i dowiedzeniu się o tobie kilku rzeczy . Zgaduję, że dotyczy jednego z niejasnych adresów, o których mówisz

  • nazwa planety podobna do jednej z tych, które publikujesz
  • freeddns
  • oraz adres IPv6, który kończy się na 2e85: eb7a
  • i działa ssh

Ponieważ większość innych opublikowanych adresów IPv6 kończy się na :: 1. To tylko z informacji, które publikujesz publicznie z jednym małym przypuszczeniem. Czy to z adresu IP, który chcesz ukryć?

Edycja 2 : Kolejne szybkie spojrzenie, widzę, że publikujesz swój adres e-mail na swojej stronie internetowej. Sprawdzanie witryny https://haveibeenpwned.com/ pod kątem tego, jakie naruszenia danych dotyczy ten adres i jakie dane są dostępne na czarnym rynku. Widzę, że doszło do naruszenia

  • Adobe naruszył październik 2013 r .: Zaatakowane dane: adresy e-mail, wskazówki dotyczące haseł, hasła, nazwy użytkowników
  • MyFitnessPal: w lutym 2018 r. Zaatakowane dane: adresy e-mail, adresy IP, hasła, nazwy użytkowników
  • MySpace: około około 2008 r. Zaatakowane dane: adresy e-mail, hasła, nazwy użytkowników
  • PHP Freaks: w październiku 2015 r. Zaatakowane dane: daty urodzenia, adresy e-mail, adresy IP, hasła, nazwy użytkowników, aktywność na stronie
  • QuinStreet: Mniej więcej pod koniec 2015 r. Zaatakowane dane: daty urodzenia, adresy e-mail, adresy IP, hasła, nazwy użytkowników, aktywność na stronie internetowej

Widząc, czy ta część nazwy użytkownika adresu e-mail jest używana u innych popularnych dostawców poczty e-mail, widzę, że jest o wiele więcej danych. Byłby to kolejny drobny przypuszczenie, że bot mógłby się zgodzić. Jeśli niektóre z nich korelują z częścią, która jest już o tobie znana, bot może założyć, że to wszystko ty, nie musi być tego pewny, prawdopodobnie jest wystarczająca. Z dodatkowymi danymi w tych naruszeniach

  • Verifications.io: w lutym 2019 r. Zaatakowane dane: daty urodzenia, adresy e-mail, pracodawcy, płcie, lokalizacje geograficzne, adresy IP, stanowiska pracy, imiona, numery telefonów, adresy fizyczne
  • Lista spamu w River City Media w styczniu 2017 r. Zaatakowane dane: adresy e-mail, adresy IP, nazwy, adresy fizyczne
  • Apollo: W lipcu 2018 r. Uruchomienie zlecenia sprzedaży Zaatakowane dane: adresy e-mail, pracodawcy, lokalizacje geograficzne, tytuły pracy, nazwiska, numery telefonów, pozdrowienia, profile w mediach społecznościowych
  • Firmy B2B w USA w połowie 2017 r. Zaatakowane dane: adresy e-mail, pracodawcy, stanowiska pracy, nazwiska, numery telefonów, adresy fizyczne
  • Bitly: w maju 2014 r. Zaatakowane dane: adresy e-mail, hasła, nazwy użytkowników
  • Kolekcja nr 1 (niezweryfikowana): W styczniu 2019 r. Odkryto dużą kolekcję list upchanych (kombinacji adresów e-mail i haseł używanych do przejęcia kont w innych serwisach) rozpowszechnianych na popularnym forum hakerskim
  • Dropbox: w połowie 2012 r. Zaatakowane dane: adresy e-mail, hasła
  • Exploit.In (niezweryfikowany): Pod koniec 2016 r. Ogromna lista par adresów e-mail i haseł pojawiła się na „liście kombi” zwanej „Exploit.In”
  • HauteLook: w połowie 2018 r. Zaatakowane dane: daty urodzenia, adresy e-mail, płcie, lokalizacje geograficzne, imiona, hasła
  • Pemiblanc (niezweryfikowany): W kwietniu 2018 r. Na francuskim serwerze została odkryta lista wypełnienia poświadczeń zawierająca 111 milionów adresów e-mail i haseł zwanych Pemiblanc
  • Udostępnij To: w lipcu 2018 r. Zaatakowane dane: daty urodzenia, adresy e-mail, nazwiska, hasła
  • Ticketfly: w maju 2018 r. Zaatakowane dane: adresy e-mail, nazwiska, numery telefonów, adresy fizyczne

Podczas gdy bot jest na nim, może sprawdzać Facebooka i może zobaczyć, że jedna ze stron Facebooka z twoim imieniem ma takie samo zdjęcie jak na twojej stronie, a teraz wie więcej o tobie i twoich znajomych. Poza tym zgaduję, że członkiem twojej rodziny jest twoja matka, która wymienia „panieńskie nazwisko twojej matki”. Z Facebooka można również zweryfikować, który profil linksin jest twój.

Jest o nas znacznie więcej informacji niż ludzie zdają sobie sprawę. Analiza dużych zbiorów danych i uczenia maszynowego jest prawdziwa, jest tutaj i wiele danych, które zostały opublikowane lub wyciekły z Internetu, można skorelować i wykorzystać. Co powinieneś wiedzieć, widząc, jak piszesz, że uzyskałeś tytuł licencjata w dziedzinie sztucznej inteligencji i informatyki w latach 2003-2007. Od tamtej pory wszystko przeszło długą drogę, szczególnie dzięki postępom, które Google publikował od końca swojego stopnia naukowego. Ludzie, którzy są ludźmi, większość z nich będzie chciała czerpać z ciebie korzyści, przy czym niektórzy wykorzystają dane w sposób uzasadniony i zgodny z prawem, ale inni wykorzystają je w dowolny sposób.

Chodzi mi o to wszystko podwójnie, że publikujemy więcej informacji, niż nam się wydaje, a sednem DNS jest publikowanie konwersji nazw na adresy IP.

BeowulfNode42
źródło
6

W odniesieniu do rekordów AAAA:

DNS jest tradycyjnie niezaszyfrowany. Chociaż istnieje rodzina standardów (DNSSEC) do podpisywania DNS, szyfrowanie rekordów DNS przebiegało znacznie bardziej przypadkowo, dlatego ogólnie najbezpieczniej jest założyć, że dowolny MitM może odczytać wszystkie twoje zapytania DNS, chyba że odszedłeś na twojej drodze do jawnego skonfigurowania zaszyfrowanego DNS po stronie klienta. Wiedzielibyście, gdybyście to zrobili, ponieważ to dość ciężka próba .

(Również Twoja przeglądarka prawdopodobnie wysyła niezaszyfrowany SNI w trakcie uzgadniania TLS po tym, jak rozwiązała domenę. Nie jest oczywiste, jak zająłbyś się zatkaniem tej dziury, ponieważ VPN lub Tor nadal mogą być MitM'd między wyjściem węzeł lub punkt końcowy VPN i zdalny serwer. Dobrzy ludzie z Cloudflare pracują nad rozwiązaniem tego problemu na dobre, ale ESNI będzie również zależeć od implementacji klienta, szczególnie dla Chrome , jeśli naprawdę zacznie działać.

Jednak ataki MitM mogą, ale nie muszą stanowić problemu, w zależności od modelu zagrożenia. Ważniejszy jest prosty fakt, że nazwy DNS mają być informacją publiczną. Wiele osób (wyszukiwarki, rejestratorzy DNS itp.) Zbierają i publikują nazwy DNS z całkowicie łagodnych powodów. Rozdzielacze DNS zwykle stosują ograniczenia prędkości, ale ograniczenia te są zwykle dość hojne, ponieważ mają na celu powstrzymanie ataków DoS, a nie wyliczanie subdomen. Utworzenie certyfikatu HTTPS często wymaga opublikowania nazwy domeny dla wszystkich, w zależności od urzędu certyfikacji ( Let's Encrypt to robi , podobnie jak wiele innych). W praktyce utrzymanie domeny lub subdomeny w tajemnicy jest całkiem niemożliwe, ponieważ prawie wszyscy zakładają, że są publiczne i nie starają się ich ukryć.

Aby odpowiedzieć na to pytanie:

Jestem bardziej zainteresowany tym, czy DNS lub protokoły IPv6 zezwalają na zdalne wykrywanie / wyświetlanie nieznanych domen i adresów .

Technicznie nie, nie ma. Ale to nie ma znaczenia, ponieważ ogromna ilość technologii wyższej warstwy zakłada, że ​​twoje rekordy DNS są publiczne, więc publiczne nieuchronnie będą.

Kevin
źródło
1
Szyfrowane SNI jest w fazie rozwoju. Daj mu rok lub dwa.
Michael Hampton
1
@MichaelHampton: Wierzę, że ESNI się wydarzy. Ale biorąc pod uwagę osiągnięcia branży (DNSSEC, IPv6, DANE, ...) jestem nieco sceptyczny, że „rok lub dwa” naprawdę będą wystarczające. Niezależnie od tego wkrótce się przekonamy.
Kevin
1
CloudFlare naciska, więc postawię na prędzej niż później :)
Michael Hampton
Chcę powiedzieć „tak, ale ...” każdemu z twoich konkretnych przykładów, jednak bardzo dobrze, że nazwy DNS są ogólnie uznawane za informacje publiczne. +1
Philip Couling