IPv6 adresleri ve AAAA adları potansiyel saldırganlar tarafından ne kadar bulunabilir?

SSH ve SMTP gibi hizmetler için ortak kullanıcı adı / şifreleri denemek üzere her gün önemli sayıda küçük bilgisayar korsanlığı denemesi almak oldukça standart. Bu girişimlerin, IP adreslerini tahmin etmek için IPv4'ün "küçük" adres alanını kullandığını her zaman varsaydım. Her A Name kaydını yansıtan AAAA Name kayıtları olan alan adıma rağmen tüm IPv4 servislerinin de IPv6'ya açık olmasına rağmen IPv6'da sıfır bilgisayar korsanlığı girişimi yaptığımı fark ettim.

Makul bir randomize / 64 sonekine işaret eden belirsiz bir alt etki alanı ile ortak bir DNS (AWS yolu 53); IPv6 adresleri ve / alt etki alanları, / 64 bit öneki her adresi veya çok uzun bir ortak adlar listesindeki tüm alt etki alanlarını denemeden uzaktan keşfedilebilir mi?

Elbette listelenen (alt) alan adlarını arayan web taramasının yeterince basit olduğunu biliyorum. Aynı alt ağdaki makinelerin NDP kullanabileceğini de biliyorum. DNS veya IPv6'nın altında yatan protokollerin, bilinmeyen etki alanlarını ve adresleri uzaktan keşfedip listelemesine izin verip vermediğine daha çok ilgi duyuyorum.

Kötü niyetli botlar artık IPv4 adreslerini tahmin etmiyor. Onlar sadece hepsini deniyorlar. Modern sistemlerde bu birkaç saat kadar kısa sürebilir.

IPv6 ile, tahmin ettiğiniz gibi bu artık mümkün değil. Adres alanı o kadar büyük ki insan ömrü boyunca tek / 64 bir alt ağı kaba kuvvetle taramak bile mümkün değil.

IPv4'te olduğu gibi IPv6'da kör taramaya devam edeceklerse, botlar daha yaratıcı hale gelmek zorunda kalacaklar ve kötü niyetli bot operatörleri, savunmasız olanlar da dahil olmak üzere herhangi bir makine bulmak arasında daha uzun süre beklemeye alışacaklar.

Neyse ki kötü adamlar için ve ne yazık ki herkes için, IPv6'nın benimsenmesi gerekenden çok daha yavaş gitti. IPv6 23 yaşında, ancak son beş yılda önemli bir evlat edinme gördü. Ancak herkes IPv4 ağlarını aktif tutuyor ve son derece az sayıda ana bilgisayar yalnızca IPv6'dır, bu nedenle kötü niyetli bot işletmecileri geçiş yapmak için çok az teşvik etti. Muhtemelen önümüzdeki beş yıl içinde olmayacak olan önemli bir IPv4 iptali olana kadar yapmazlar.

Kör tahminin muhtemelen IPv6'ya geçtikleri zaman kötü niyetli botlar için üretken olmayacağını umuyorum, bu nedenle DNS'leri kaba bir şekilde zorlayan DNS adları veya küçük alt kümelerinin kaba bir şekilde zorlanması gibi başka yollara geçmeleri gerekecek. Her bir alt ağ.

Örneğin, ortak bir DHCPv6 sunucusu yapılandırması içinde adreslerini verir ::100aracılığıyla ::1ffvarsayılan olarak. 64 / 64'ü denemek için sadece 256 adres. DHCPv6 sunucusunu adresleri çok daha geniş bir aralıktan seçmek üzere yeniden yapılandırmak bu sorunu azaltır.

Ve SLAAC için değiştirilmiş EUI-64 adreslerinin kullanılması, arama alanını atanan OUI sayısı ile çarpılarak 2 ^24'e düşürür. Bu 100 milyardan fazla adres olsa da, 2 ^64'ten çok daha az . Rastgele botlar bu alanı aramaya zahmet etmeyeceklerdir, ancak durum düzeyinde kötü niyetli aktörler, hedeflenen saldırılar için, özellikle de arama alanını daha da azaltmak için hangi NIC'lerin kullanımda olabileceği konusunda eğitimli tahminler yapabilirlerse. SLAAC için RFC 7217'nin kararlı gizlilik adreslerini kullanmak kolaydır (en azından onu destekleyen modern işletim sistemlerinde) ve bu riski azaltır.

RFC 7707 , IPv6 adreslerini bulmak için IPv6 ağlarında keşif yapmanın başka yollarını ve bu tehditlere karşı nasıl hafifletileceğini açıklar.

Bugünlerde MANY botlarının tahmin edilmediğini, IPv4 veya IPv6 ile buldum. Müstehcenlik yoluyla güvenlik hiç güvenlik değildir. Müstehcenlik sadece bir süre için saldırı sayısını geciktirir / azaltır ve daha sonra ilgisizdir.

Bilgisayar korsanları, şirketinizin etki alanı adını web sitenizden veya e-posta adresinizden, e-posta, SPF, web sunucuları, vb. Şeyler için ne gibi ortak sunucu IP'leri yayınladığınızı bilir. www, mail, smtp, imap, pop, pop3, ns1 vb. gibi ortak adlar ve bulabilecekleri ek veriler için web sitenizi kazıyın. DNS adlarınızı, IP'lerinizi ve hangi bağlantı noktalarına odaklanacaklarını önceki tarama mağazalarından alırlar. Ayrıca bulabilecekleri tüm veri ihlallerinden bir e-posta adresi / şifre çifti listesi alacaklar ve bu girişleri deneyebilirler, üstelik bağlantı noktanızda çalıştığını düşündükleri sistemler ne olursa olsun bazı ekstraları da. Sosyal olarak tasarlanmış bir saldırıyı denemek ve yürütmek için personelinizin isimlerini ve iş rollerini öğrenme boyutuna bile giderler. Spam filtreniz, acil bir havale talebine ihtiyaç duyan yönetimden biri olduğunu iddia eden dolandırıcıların girişimleriyle sürekli bombalandı. Ayrıca, iş ortaklarınızın kim olduklarını öğrendiklerini ve kendileri olduklarını iddia ettiklerini ve banka detaylarının değiştiğini bilmelerini sağladılar. Bazen iş ortaklarınızın faturalandırma için hangi bulut platformlarını kullandığını bile biliyorlar.

Suçlular, diğer herkesle aynı büyük veri araçlarına erişebilir ve şaşırtıcı derecede büyük miktarda veri topladılar. Bazı BT uzmanlarının ABD kongresine verdiği bu ifadeyi görün https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Veri kesintileri hakkında konuşmak, bir şirket bir web sunucusu günlüğü kadar görünüşte bile işe yaramaz bir şeyi kaybederse, bu, o anda bu sunucuyu kullanan herkesin IP adresi v4 veya v6'yı ve hangi sayfalara eriştiğini içerecektir.

Sonuç olarak, bu yöntemlerden hiçbiri hangi IP'yi kullandığınızı tahmin etmek için bir saldırgan gerektirmez, zaten biliyorlar.

Düzenleme : Bir alıştırmanın bir parçası olarak, 2 dakika boyunca sitenizi taramak için (profilinizden) geçirdim, burada başka bir yerde bağlı olan çevrimiçi tarama araçlarından birini ve nslookup ile bir göz gezdirerek sizinle ilgili birkaç şey öğrendim. . Sanırım bahsettiğiniz belirsiz adreslerden birinin ...

• yayınladığınıza benzer bir gezegen
• freeddns
• ve 2e85 ile biten bir IPv6 adresi: eb7a
• ve ssh çalışır

Yayınlanan diğer IPv6 adreslerinin çoğu :: 1 ile bitiyor. Bu yalnızca 1 küçük tahminle halka açık olarak yayınladığınız bilgilerden kaynaklanmaktadır. Gizlemek istediğiniz IP’den mi?

Düzenleme 2 : Başka bir hızlı görünüm, e-posta adresinizi web sitenizde yayınladığınızı görüyorum. Bu adresin hangi veri ihlallerini ve karaborsada hangi verilerin bulunduğunu öğrenmek için https://haveibeenpwned.com/ sitesini kontrol edin . Gördüğüm kadarıyla ihlal edildi

• Adobe ihlali Ekim 2013: Tehdit edilmiş veriler: E-posta adresleri, Şifre ipuçları, Şifreler, Kullanıcı adları
• MyFitnessPal: Şubat 2018’de Anlaşılan veriler: E-posta adresleri, IP adresleri, Şifreler, Kullanıcı adları
• MySpace: Yaklaşık olarak 2008'de Verilmiş veriler: E-posta adresleri, Parolalar, Kullanıcı adları
• PHP Freaks: Ekim 2015'te Ödün verilmiş veriler: Doğum tarihleri, E-posta adresleri, IP adresleri, Şifreler, Kullanıcı adları, Web sitesi etkinliği
• QuinStreet: Yaklaşık 2015'in sonunda Ödün verilmiş veriler: Doğum tarihleri, E-posta adresleri, IP adresleri, Şifreler, Kullanıcı adları, Web sitesi etkinliği

E-posta adresinin bu kullanıcı adı kısmının diğer bazı popüler e-posta sağlayıcılarında kullanılıp kullanılmadığını görmek çok daha fazla veri olduğunu görüyorum. Bu, bir botun yapabileceği başka bir küçük tahmin olur. Eğer bir kısmı sizin hakkınızda bilinen kısımla ilişkilendirilirse, o zaman bot tam olarak siz olduğunuzu varsayabilir, kesin olması gerekmez, makul bir olasılık yeterlidir. Bu ihlallerde ek veriler var

• Doğrulama.io: Şubat 2019’da Anlaşılan veriler: Doğum tarihleri, E-posta adresleri, İşverenler, Cinsiyetler, Coğrafi konumlar, IP adresleri, İş unvanları, İsimler, Telefon numaraları, Fiziksel adresler
• River City Media Spam Listesi Ocak 2017'de Anlaşılan veriler: E-posta adresleri, IP adresleri, Adlar, Fiziksel adresler
• Apollo: Temmuz 2018'de, satış sözleşmesi başlangıcı Anlaşılan veriler: E-posta adresleri, İşverenler, Coğrafi konumlar, İş unvanları, İsimler, Telefon numaraları, Selamlama, Sosyal medya profilleri
• B2B Amerika Birleşik Devletleri İşletmeler 2017 ortalarında Yetkili veriler: E-posta adresleri, İşverenler, İş ünvanları, İsimler, Telefon numaraları, Fiziksel adresler
• Bitly: Mayıs 2014’te Anlaşılan veriler: E-posta adresleri, Parolalar, Kullanıcı adları
• Koleksiyon # 1 (doğrulanmamış): Ocak 2019’da, popüler bir bilgisayar korsanlığı forumunda dağıtılan geniş çaplı kimlik bilgileri listelerinin (e-posta adresleri ve diğer hesaplardaki hesapların ele geçirilmesi için kullanılan parolaların kombinasyonları) toplandığı bulundu.
• Dropbox: 2012 ortalarında tehlikeye atılmış veri: e-posta adresleri, şifreler
• Exploit.In (onaylanmamış): 2016 yılının sonlarında, "Exploit.In" olarak adlandırılan "birleşik giriş listesinde" büyük bir e-posta adresi ve şifre çifti listesi göründü.
• HauteLook: 2018'in ortalarında tehlikeye atılmış veriler: Doğum tarihleri, E-posta adresleri, Cinsiyetler, Coğrafi konumlar, İsimler, Şifreler
• Pemiblanc (doğrulanmamış): Nisan 2018’de, bir Fransız sunucuda 111 milyon e-posta adresi ve Pemiblanc olarak bilinen şifreleri içeren bir kimlik bilgisi doldurma listesi keşfedildi.
• ShareThis: Temmuz 2018’de Anlaşılan veriler: Doğum tarihleri, E-posta adresleri, İsimler, Şifreler
• Bilet Gücü: Mayıs 2018’de Anlaşma verileri: E-posta adresleri, İsimler, Telefon numaraları, Fiziksel adresler

Bot varken, facebook'u kontrol edebilir ve adınıza sahip olan facebook sayfalarından birinin web sitenizdeki ile aynı fotoğrafa sahip olduğunu görebilir ve şimdi siz ve arkadaşlarınız hakkında biraz daha fazla şey biliyor. Artı, listelediğin aile üyesinin de "annenin kızlık soyadını" listeleyen annen olduğunu tahmin ediyorum. Facebook'tan hangi linkedin profilinin sizin olduğunu da doğrulayabilir.

Çevrimiçi olarak bizimle ilgili insanların düşündüğünden daha fazla bilgi var. Büyük veri ve makine öğrenme analizi gerçektir, şimdi burada ve çevrimiçi olarak gönderilen veya sızan verilerin çoğu ilişkilendirilebilir ve kullanılabilir. Bilmeniz gerekenler, 2003-2007 yılları arasında AI ve bilgisayar bilimleri alanında lisans derecesine sahip olduğunuzu listelerken görmek. İşler o zamandan bu yana uzun bir yol kat etti, özellikle Google'ın derecenizin sonuna doğru yayınladığı ilerlemelerle. İnsanlar insandır, çoğu yalnızca sizden kâr elde etmeye çalışacak, bazıları verileri makul ve yasal olarak kullanacak, ancak diğerleri bunu yapabildiği şekilde kullanacaktır.

Tüm bunlarla ilgili düşüncem iki katlıdır, düşündüğümüzden daha fazla bilgi yayınlıyoruz ve DNS'nin asıl amacı, adların IP adreslerine dönüşümünü yayınlamak.

AAAA kayıtları ile ilgili olarak:

DNS geleneksel olarak şifrelenmez. DNS imzalamak için bir standart ailesi (DNSSEC) olsa da, DNS kayıtlarının şifrelenmesi çok daha tehlikeli bir dağıtım sürecine girmiştir ve bu nedenle gitmediğiniz sürece herhangi bir MitM'nin tüm DNS sorgularınızı okuyabileceğini varsaymak en güvenli yöntemdir. istemci tarafında açıkça şifrelenmiş DNS'yi yapılandırma yolunuzdan çıkın. Bunu yapıp yapmadığınızı bilirsiniz, çünkü bu bir sıkıntı .

(Ayrıca, web tarayıcınız muhtemelen etki alanı çözüldükten sonra TLS anlaşmasına şifrelenmemiş SNI gönderiyordur . Bir VPN veya Tor hala çıkış arasında MitM'd olabileceğinden, bu deliği nasıl takacağınız açık değildir. düğüm ya da VPN sonlandırma noktası ve uzak sunucu Cloudflare'daki iyi insanlar bu sorunu iyi için çözmeye çalışıyorlar, ancak ESNI de gerçekten gerçekten işe yarayacaksa, özellikle Chrome için müşteri uygulamasına bağlı olacaktır .)

Ancak, MitM saldırıları, tehdit modelinize bağlı olarak bir sorun olabilir veya olmayabilir. Daha da önemlisi, DNS adlarının genel bilgi olması amaçlanan basit bir gerçektir . Çok sayıda insan (arama motorları, DNS kayıt şirketleri, vb.) DNS adlarını tamamen iyi niyetli nedenlerle toplar ve yayınlar. DNS çözümleyicileri genellikle oran sınırları uygular, ancak bu sınırlar genellikle oldukça cömerttir çünkü DoS saldırılarını durdurma amaçlıdır, alt alan numaralandırmasını değil. Bir HTTPS sertifikası oluşturmak genellikle CA'ya bağlı olarak, herkesin görmesi için etki alanı adını yayınlamayı içerir ( Let's Encrypt bunu yapar ve diğerleri de yapar). Uygulamada, bir alanı veya alt alanı gizli tutmak oldukça imkansızdır, çünkü hemen hemen herkes herkesin halka açık olduğunu varsayır ve bunları gizlemek için çaba harcamaz.

Yani, bu soruyu cevaplamak için:

DNS veya IPv6'nın altında yatan protokollerin, bilinmeyen etki alanlarını ve adresleri uzaktan keşfedip listelemesine izin verip vermediğine daha çok ilgi duyuyorum .

Teknik olarak, hayır, değil. Ancak bu önemli değil çünkü çok fazla miktarda daha yüksek katmanlı teknoloji, DNS kayıtlarınızın halka açık olduğunu varsayıyor, bu nedenle kaçınılmaz bir şekilde halka açık olacak.