Насколько обнаруживаемы IPv6-адреса и имена AAAA у потенциальных злоумышленников?


26

Вполне стандартно получать значительное количество мелких попыток взлома каждый день, пытаясь использовать общие имена пользователей и пароли для таких служб, как SSH и SMTP. Я всегда предполагал, что эти попытки используют «маленькое» адресное пространство IPv4 для угадывания IP-адресов. Я замечаю, что я получаю ноль попыток взлома IPv6, несмотря на то, что в моем домене есть записи имени AAAA, отражающие каждую запись имени A, и все службы IPv4 также открыты для IPv6.

Предполагается, что общедоступный DNS (маршрут AWS 53) с неясным поддоменом указывает на разумно рандомизированный суффикс / 64; Можно ли удаленно обнаруживать IPv6-адреса и / субдомены, не пытаясь использовать каждый адрес в префиксе / 64-битный или каждый субдомен в очень длинном списке общих имен?

Я, конечно, знаю, что сканирование веб-сайтов в поисках перечисленных (суб) доменных имен достаточно просто. Я также знаю, что машины в одной подсети могут использовать NDP. Меня больше интересует, позволяют ли DNS или базовые протоколы IPv6 обнаруживать / перечислять неизвестные домены и адреса удаленно.



1
Это похоже на безопасность по незаметности ... Если ваша единственная линия защиты использует (предположительно) трудно обнаруживаемые идентификаторы (имена или IP-адреса), то вы можете ожидать, что в какой-то момент вы будете взломаны. Вы можете быть относительно безопасны от общих подвигов / случайных ударов, но если вам нужно защищаться от активных атак на вас, то эта линия защиты ломается. Существует множество возможных способов обнаружить «неясные» имена, для начала посмотрите на geekflare.com/find-subdomains
Патрик Мевзек

3
@patrick Если у вас есть только одна линия защиты, вы получаете период нарушения. Я все еще не хочу, чтобы мои запертые двери были объявлены всему миру
Филип Коулинг

2
Нет. По моему собственному мнению, это не единственная моя линия безопасности. Я никогда не предлагал иначе.
Филипп Коуллинг

Ответы:


34

Вредоносные боты больше не предполагают адреса IPv4. Они просто пробуют их все. В современных системах это может занять всего несколько часов.

С IPv6 это больше не возможно, как вы уже догадались. Адресное пространство настолько велико, что даже в течение человеческой жизни невозможно перебором одной подсети / 64.

Боты должны будут проявить больше изобретательности, если они будут продолжать слепое сканирование на IPv6, как на IPv4, а злонамеренным операторам ботов придется привыкать гораздо дольше ждать между поиском любых машин, не говоря уже об уязвимых.

К счастью для плохих парней и, к сожалению, для всех остальных, внедрение IPv6 пошло намного медленнее, чем следовало бы. IPv6 23 года, но он получил широкое распространение только за последние пять лет или около того. Но все поддерживают свои сети IPv4 активными, и очень немногие хосты используют только IPv6, поэтому у злонамеренных бот-операторов не было особого стимула для переключения. Скорее всего, они этого не сделают, пока не произойдет значительный отказ от IPv4, что, вероятно, не произойдет в ближайшие пять лет.

Я ожидаю, что слепое предположение, вероятно, не будет продуктивным для злых ботов, когда они, наконец, перейдут на IPv6, поэтому им придется перейти на другие способы, такие как перебор DNS-имен или целенаправленное перебор небольших подмножеств каждая подсеть.

Например, общая конфигурация сервера DHCPv6 по умолчанию выдает адреса ::100через ::1ff. Это всего лишь 256 адресов из целого / 64. Переконфигурирование сервера DHCPv6 для выбора адресов из гораздо большего диапазона смягчает эту проблему.

А с использованием модифицированного EUI-64 адреса для SLAAC уменьшает пространство поиска до 2 24 , умноженное на числе назначенного ОИИСА. Хотя это более 100 миллиардов адресов, это намного меньше, чем 2 64 . Случайные боты не потрудятся обыскать это пространство, но злоумышленники на уровне состояния будут использовать для целевых атак, особенно если они могут сделать обоснованные предположения относительно того, какие сетевые адаптеры могут использоваться, чтобы еще больше сократить пространство поиска. Использование стабильных адресов конфиденциальности RFC 7217 для SLAAC легко (по крайней мере, в современных операционных системах, которые его поддерживают) и снижает этот риск.

RFC 7707 описывает несколько других способов, с помощью которых можно проводить разведку в сетях IPv6 для определения местоположения адресов IPv6, а также способы противодействия этим угрозам.


Многие боты уже ОЧЕНЬ креативны, и, вероятно, существует огромный черный рынок для лучших ботов, возможно, с комплексным доступом к их бот-сети, пока они там. Боты, которые не являются креативными, должны быть легко заблокированы любым способом, которым вы блокируете креативных.
BeowulfNode42

1
Большая часть того, что я вижу, это не креативная разновидность ботов. Хотя это творческое разнообразие, которое не дает мне спать по ночам. К счастью, у меня есть клиент, который платит мне, чтобы я не спал из-за них. Тем не менее, мне еще предстоит увидеть какой-либо значительный трафик ботов на IPv6, креатив или нет.
Майкл Хэмптон

Да, я недавно заметил, что попытки взлома распределяются по месяцам (имя пользователя или пароль в день), предлагая использовать каждое отдельное имя пользователя или пароль для каждого общедоступного SSH-сервера в Интернете (IPv4) перед переходом на следующее имя пользователя или пароль. ,
Филипп Коуллинг

8

Я обнаружил, что многие роботы в наши дни не догадываются, с IPv4 или IPv6. Безопасность через неизвестность - это вовсе не безопасность. Неясность просто задерживает / уменьшает количество атак на некоторое время, и тогда это не имеет значения.

Хакеры знают доменное имя вашей компании с вашего веб-сайта или адреса электронной почты, какие публичные IP-адреса вы публикуете для таких вещей, как электронная почта, SPF, веб-серверы и т. Д. Хотя им может потребоваться немного больше времени, чтобы выучить случайное имя сервера, но они догадаются общие имена, такие как www, mail, smtp, imap, pop, pop3, ns1 и т. д., а затем очистите свой веб-сайт для любых дополнительных данных, которые они могут найти. Они будут извлекать из своего хранилища данных предыдущих сканирований ваши DNS-имена, IP-адреса и порты, на которых нужно сосредоточиться. Они также извлекут список пар адресов электронной почты и паролей из всех обнаруженных ими взломов данных и пробуют все эти входы в систему, а также некоторые дополнительные с любыми системами, которые, по их мнению, вы используете на своих портах. Они даже дошли до того, что выучили имена и рабочие должности ваших сотрудников, чтобы попытаться провести атаку с использованием социальных сетей. Наш спам-фильтр постоянно бомбардируется попытками мошенников, утверждающих, что это кто-то из руководства, нуждающийся в срочном денежном переводе. О, они также узнают, кто ваши деловые партнеры, и утверждают, что являются ими, и сообщают вам, что их банковские реквизиты изменились. Иногда они даже знают, какие облачные платформы используют ваши деловые партнеры для выставления счетов.

Преступники имеют доступ к инструментам больших данных точно так же, как и все остальные, и они накопили на удивление огромное количество данных. Посмотрите это свидетельство некоторых ИТ-специалистов на конгрессе США https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Говоря о взломе данных, если компания потеряет что-то, даже столь бесполезное, как журнал веб-сервера, это будет содержать IP-адреса v4 или v6 всех, кто использовал этот сервер в то время, и какие страницы они посещали.

В заключение, ни один из этих методов не требует от злоумышленника угадать, какой IP вы используете, они уже знают.

Редактировать : В качестве небольшого упражнения я потратил все 2 минуты на просмотр вашего сайта (из вашего профиля), попробовал один из инструментов онлайн-сканирования, связанный здесь, и немного заглянул в nslookup и узнал кое-что о вас , Я предполагаю, что один из непонятных адресов, о которых вы говорите, включает

  • название планеты, похожее на одно из тех, которые вы публикуете
  • freeddns
  • и адрес IPv6, который заканчивается на 2e85: eb7a
  • и работает SSH

Поскольку большинство других опубликованных вами адресов IPv6 оканчиваются на :: 1. Это только из информации, которую вы публикуете с 1 крошечным предположением. Это от IP, который вы хотели скрыть?

Изменить 2 : Еще один быстрый взгляд, я вижу, вы публикуете свой адрес электронной почты на вашем сайте. Проверка на сайте https://haveibeenpwned.com/, какие данные взломали этот адрес и какие данные есть на черном рынке. Я вижу, что это было в нарушениях

  • Нарушение Adobe, октябрь 2013 г .: взломанные данные: адреса электронной почты, подсказки к паролям, пароли, имена пользователей
  • MyFitnessPal: в феврале 2018 года взломанные данные: адреса электронной почты, IP-адреса, пароли, имена пользователей
  • MySpace: приблизительно за 2008 г. Скомпрометированные данные: адреса электронной почты, пароли, имена пользователей
  • PHP Freaks: в октябре 2015 г. Скомпрометированные данные: даты рождения, адреса электронной почты, IP-адреса, пароли, имена пользователей, активность на сайте
  • QuinStreet: примерно в конце 2015 г. Скомпрометированные данные: даты рождения, адреса электронной почты, IP-адреса, пароли, имена пользователей, активность на сайте

Видя, что эта часть имени пользователя в адресе электронной почты используется в некоторых других популярных провайдерах электронной почты, я вижу, что данных намного больше. Это было бы еще одно крошечное предположение, что бот мог сделать. Если что-то из этого соотносится с частью, которая уже известна о вас, тогда бот может предположить, что это все вы, это не обязательно должно быть достаточно, достаточно вероятно. С дополнительными данными в этих нарушениях

  • Verification.io: в феврале 2019 г. Скомпрометированные данные: даты рождения, адреса электронной почты, работодатели, полы, географические местоположения, IP-адреса, должности, имена, телефонные номера, физические адреса
  • Список спам-сообщений River City в январе 2017 года Скомпрометированные данные: адреса электронной почты, IP-адреса, имена, физические адреса
  • Аполлон: В июле 2018 года запуск продаж по продажам Скомпрометированные данные: адреса электронной почты, работодатели, географические местоположения, должности, имена, телефоны, приветствия, профили в социальных сетях
  • B2B USA Предприятия в середине 2017 года Скомпрометированные данные: адреса электронной почты, работодатели, должности, имена, телефоны, физические адреса
  • Bitly: в мае 2014 года взломанные данные: адреса электронной почты, пароли, имена пользователей
  • Коллекция № 1 (непроверенная). В январе 2019 года была обнаружена большая коллекция списков заполнения учетных данных (комбинации адресов электронной почты и паролей, используемых для взлома учетных записей в других службах), распространяемых на популярном хакерском форуме.
  • Dropbox: в середине 2012 года взломанные данные: адреса электронной почты, пароли
  • Exploit.In (не проверено): в конце 2016 года огромный список пар адресов электронной почты и паролей появился в «комбинированном списке», называемом «Exploit.In».
  • HauteLook: в середине 2018 года взломанные данные: даты рождения, адреса электронной почты, пол, географическое положение, имена, пароли
  • Pemiblanc (непроверенный): в апреле 2018 года на французском сервере был обнаружен список для заполнения учетных данных, содержащий 111 миллионов адресов электронной почты и паролей, известных как Pemiblanc.
  • ShareThis: В июле 2018 года взломанные данные: даты рождения, адреса электронной почты, имена, пароли
  • Ticketfly: в мае 2018 г. Скомпрометированные данные: адреса электронной почты, имена, номера телефонов, физические адреса

Пока бот работает, он может проверять facebook и видеть, что на одной из страниц facebook с вашим именем есть такая же фотография, как на вашем сайте, и теперь он знает немного больше о вас и ваших друзьях. Кроме того, я предполагаю, что член семьи, которого вы перечислите, это ваша мать, которая перечисляет «девичью фамилию вашей матери». С Facebook он также может проверить, какой профиль у вас.

В Интернете гораздо больше информации о нас, чем думают люди. Анализ больших данных и машинного обучения является реальным, он здесь и сейчас, и большая часть данных, размещенных или просочившихся в онлайн, может быть сопоставлена ​​и использована. Что вы должны знать, учитывая, что вы перечислили, что вы получили степень бакалавра в области искусственного интеллекта и компьютерных наук в 2003-2007 годах. С тех пор все прошло очень далеко, особенно благодаря достижениям, которые Google публиковал с конца своей степени. Люди, являющиеся людьми, большинство будут только стремиться получить прибыль от вас, причем некоторые будут использовать данные разумно и законно, а другие будут использовать их любым возможным способом.

Моя точка зрения обо всем этом двоякая: мы публикуем больше информации, чем думаем, и весь смысл DNS заключается в публикации преобразования имен в IP-адреса.


6

Что касается записей AAAA:

DNS традиционно не зашифрован. Несмотря на то, что существует семейство стандартов (DNSSEC) для подписи DNS, шифрование записей DNS имело гораздо более случайный процесс развертывания, и поэтому, как правило, безопаснее предположить, что любой MitM может читать все ваши запросы DNS, если вы этого не сделали. Вы не можете настроить зашифрованный DNS явно на стороне клиента. Вы бы знали, если бы сделали это, потому что это довольно тяжелое испытание .

(Кроме того, ваш веб-браузер, вероятно, отправляет незашифрованный SNI в рукопожатии TLS после того, как он разрешил домен. Не совсем очевидно, как вы будете подключать эту дыру, поскольку VPN или Tor все еще могут быть MitM'd между выходом узел или точка завершения VPN и удаленный сервер. Хорошие люди в Cloudflare работают над исправлением этой проблемы, но ESNI также будет зависеть от реализации клиента, особенно для Chrome , если он действительно оторвется от земли.)

Тем не менее, атаки MitM могут быть или не быть проблемой, в зависимости от вашей модели угрозы. Более важным является тот простой факт, что DNS-имена предназначены для публичной информации. Многие люди (поисковые системы, DNS-регистраторы и т. Д.) Собирают и публикуют DNS-имена по совершенно безобидным причинам. DNS-распознаватели обычно применяют ограничения скорости, но эти ограничения обычно довольно щедры, потому что они предназначены для остановки DoS-атак, а не для подсчета поддоменов. Создание сертификата HTTPS часто включает публикацию доменного имени для всеобщего обозрения, в зависимости от ЦС ( это будет делать Let's Encrypt, как и многие другие). На практике сохранить домен или поддомен в тайне совершенно невозможно, потому что почти все предполагают, что они являются публичными, и не прилагают никаких усилий, чтобы их спрятать.

Итак, чтобы ответить на этот вопрос:

Меня больше интересует , позволяют ли DNS или базовые протоколы IPv6 обнаруживать / перечислять неизвестные домены и адреса удаленно.

Технически, нет, это не так. Но это не имеет значения, потому что огромное количество высокоуровневых технологий просто предполагает, что ваши записи DNS являются публичными, поэтому они неизбежно будут публичными.


1
Зашифрованный SNI находится в стадии разработки. Дайте ему год или два.
Майкл Хэмптон

1
@MichaelHampton: я верю, что ESNI случится. Но учитывая послужной список отрасли (DNSSEC, IPv6, DANE, ...), я немного скептически отношусь к тому, что «год или два» будет действительно достаточно. В любом случае, мы скоро увидим.
Кевин

1
CloudFlare настаивает на этом, поэтому я сделаю ставку раньше, чем позже :)
Майкл Хэмптон

Я хочу сказать «да, но ...» каждому из ваших конкретных примеров, однако очень хорошо, что DNS-имена обычно считаются общедоступной информацией. +1
Филипп Коулинг
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.