web-dev-qa-db-ja.com

潜在的な攻撃者はIPv6アドレスとAAAA名をどの程度発見できますか?

SSHやSMTPなどのサービスで一般的なユーザー名/パスワードを試す、かなりの数のマイナーなハッキングの試みを毎日受け取ることはかなり標準的です。私は常に、これらの試みがIPアドレスを推測するためにIPv4の「小さい」アドレス空間を使用していると想定してきました。ドメインにすべてのA NameレコードをミラーリングするAAAA Nameレコードがあり、すべてのIPv4サービスもIPv6に開放されているにもかかわらず、IPv6でのハッキングの試みはゼロです。

合理的にランダム化された/ 64サフィックスを指しているあいまいなサブドメインを持つパブリックDNS(AWSルート53)を想定しています。 IPv6アドレスおよび/サブドメインは、/ 64ビットのプレフィックスのすべてのアドレスや、非常に長い一般的な名前のリストのすべてのサブドメインを試さなくても、リモートで検出できますか?

もちろん、リストされた(サブ)ドメイン名を探すためにWebをクロールするのは簡単なことです。同じサブネット上のマシンがNDPを使用できることも知っています。 DNSまたはIPv6の基礎となるプロトコルが、不明なドメインとアドレスをリモートで検出/一覧表示できるかどうかに、より関心があります。

domain-name-systemipv6autodiscoverydiscovery
26
Philip Couling

悪意のあるボットはIPv4アドレスを推測しなくなりました。彼らは単にそれらすべてを試します。最近のシステムでは、これには数時間しかかかりません。

あなたが推測したように、IPv6では、これはもはや実際には不可能です。アドレススペースが非常に大きいため、人間のライフタイム内で単一の/ 64サブネットをブルートフォーススキャンすることさえ不可能です。

ボットは、IPv4の場合と同様にIPv6でブラインドスキャンを継続する場合、より創造的になる必要があり、悪意のあるボットオペレーターは、脆弱なマシンはもちろんのこと、マシンを見つけるまでにはるかに長い間慣れる必要があります。

幸運なことに悪者にとって、そして残念なことに他のすべての人にとって、IPv6の採用は、本来あるべき時期よりもはるかにゆっくりと進んでいます。 IPv6は23年前のものですが、過去5年間でかなりの採用が見られました。しかし、誰もがIPv4ネットワークをアクティブに維持しており、IPv6専用のホストはほとんどないため、悪意のあるボットオペレーターは切り替えを行う動機がほとんどありませんでした。 IPv4が大幅に放棄されるまでは、おそらく5年以内には起こらないでしょう。

悪意のあるボットが最終的にIPv6に移行する場合、ブラインド推測はおそらく生産的ではないので、総当たりのDNS名や、対象とする小規模なサブセットの総当たりのような他の手段に移動する必要があると思います各サブネット。

たとえば、一般的なDHCPv6サーバー構成では、::100 使って ::1ffデフォルト。これは、全体の/ 64のうち、試すのは256アドレスだけです。 DHCPv6サーバーを再構成して、はるかに広い範囲からアドレスを選択すると、この問題が軽減されます。

SLAACに変更されたEUI-64アドレスを使用すると、検索スペースが2に減少します24 割り当てられたOUIの数を掛けます。これは1,000億を超えるアドレスですが、2をはるかに下回っています。64。ランダムなボットはこのスペースを検索する気になりませんが、特に攻撃者がどのNICが使用されているかについて知識に基づいた推測を行うことができる場合、州レベルの悪意のあるアクターは検索スペースをさらに削減します。 SLAACにRFC 7217の安定したプライバシーアドレスを使用することは簡単であり(少なくともそれをサポートする最新のオペレーティングシステムでは)、このリスクは軽減されます。

RFC 7707 では、IPv6ネットワークで偵察を行ってIPv6アドレスを特定する他のいくつかの方法と、これらの脅威を軽減する方法について説明しています。

34
Michael Hampton

最近の多くのボットは、IPv4またはIPv6で推測されていないことがわかりました。あいまいさによるセキュリティは、セキュリティではありません。覆い隠しは、しばらくの間攻撃の数を遅らせたり減らしたりするだけであり、その後は関係ありません。

ハッカーはあなたの会社のドメイン名をあなたのウェブサイトまたは電子メールアドレスから知っています、あなたが電子メール、SPF、ウェブサーバーなどのようなもののためにあなたが公開するどのパブリックサーバーIPs。ランダムなサーバー名を知るのに少し時間がかかるかもしれませんが、彼らは推測しますwww、メール、smtp、imap、pop、pop3、ns1などの一般的な名前を使用して、Webサイトをスクレイピングして、追加のデータを見つけます。以前のスキャンのストアからDNS名、IP、およびどのポートに焦点を合わせるかを取得します。彼らはまた、彼らが見つけることができるデータ侵害から電子メールアドレス/パスワードのペアのリストを取得し、それらのログインのすべてに加えて、ポートで実行していると思われるシステムでいくつかの追加のログインを試みます。彼らは、ソーシャルエンジニアリングされた攻撃を試行して実行するために、スタッフの名前と職務を学習する程度まで行っています。私たちのスパムフィルターは、資金の緊急電信送金を必要とする経営者の誰かであると主張する詐欺師による試みで絶えず攻撃されています。ああ、彼らはまたあなたのビジネスパートナーが誰であるかを学び、彼らであると主張し、あなたに彼らの銀行の詳細が変更されたことを知らせます。ビジネスパートナーが請求に使用しているクラウドプラットフォームを知っていることもあります。

犯罪者は他の皆と同じようにビッグデータツールにアクセスでき、驚くほど大量のデータを蓄積しています。米国議会に対するこのIT専門家の証言をご覧ください https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

データ侵害について言えば、企業がWebサーバーログのように役に立たないように見えるものを失った場合、そのサーバーには、そのサーバーを使用したすべてのユーザーのIPアドレスv4またはv6、およびアクセスしたページが含まれます。

結論として、これらの方法はどれも、使用しているIPを攻撃者が推測する必要はありません。

編集:少し練習として、他の場所にリンクされているオンラインスキャンツールの1つを試して(プロファイルから)2分間サイトを閲覧しましたここで、nslookupで少し調べて、あなたについていくつかのことを見つけました。あなたが話しているあいまいなアドレスの1つが関係していると私は推測しています

  • あなたが公開している惑星の1つに似た惑星名
  • freeddns
  • そして、2e85:eb7aで終わるIPv6アドレス
  • そしてそれはsshを実行します

他のほとんどの公開されたIPv6アドレスは:: 1で終わります。これは、1つの小さな推測で一般に公開した情報からのものです。これは、非表示にしたいIPからのものですか?

編集2:別の簡単な見方、私はあなたがあなたのウェブサイトであなたの電子メールアドレスを公開しているのを見ます。 https://haveibeenpwned.com/ サイトをチェックして、そのアドレスで発生したデータ侵害と闇市場のデータを確認します。私はそれが違反にあったのを見ます

  • アドビ違反2013年10月:侵害されたデータ:メールアドレス、パスワードのヒント、パスワード、ユーザー名
  • MyFitnessPal:2018年2月に侵害されたデータ:メールアドレス、IPアドレス、パスワード、ユーザー名
  • MySpace:約2008年の侵害されたデータ:メールアドレス、パスワード、ユーザー名
  • PHPフリークス:2015年10月に侵害されたデータ:生年月日、メールアドレス、IPアドレス、パスワード、ユーザー名、ウェブサイトのアクティビティ
  • QuinStreet:2015年後半に危殆化したデータ:生年月日、電子メールアドレス、IPアドレス、パスワード、ユーザー名、Webサイトアクティビティ

メールアドレスのユーザー名部分が他の一般的なメールプロバイダーで使用されているかどうかを確認すると、さらに多くのデータがあることがわかります。これは、ボットが作成できる別の小さな推測です。それの一部がすでにあなたについて知られている部分と相関している場合、ボットはそれがすべてあなたであると想定できます。それは確実である必要はなく、合理的で十分です。これらの違反に関する追加のデータ

  • Verifications.io:2019年2月侵害されたデータ:生年月日、電子メールアドレス、雇用主、性別、地理的な場所、IPアドレス、役職、名前、電話番号、住所
  • リバーシティメディアスパムリスト2017年1月侵害されたデータ:電子メールアドレス、IPアドレス、名前、物理アドレス
  • アポロ:2018年7月、セールスエンゲージメントのスタートアップ侵害されたデータ:メールアドレス、雇用主、地理的な場所、役職、名前、電話番号、挨拶、ソーシャルメディアのプロファイル
  • B2B USAビジネス2017年半ばの侵害されたデータ:電子メールアドレス、雇用者、役職、名前、電話番号、住所
  • Bitly:2014年5月に侵害されたデータ:メールアドレス、パスワード、ユーザー名
  • コレクション#1(未確認):2019年1月に、クレデンシャルスタッフィングリスト(他のサービスでアカウントをハイジャックするために使用される電子メールアドレスとパスワードの組み合わせ)の大規模なコレクションが人気のあるハッキングフォーラムで配布されていることが発見されました
  • Dropbox:2012年半ばに侵害されたデータ:メールアドレス、パスワード
  • Exploit.In(未確認):2016年後半に、「Exploit.In」と呼ばれる「コンボリスト」にメールアドレスとパスワードのペアの膨大なリストが表示されました
  • HauteLook:2018年半ばに侵害されたデータ:生年月日、メールアドレス、性別、地理的な場所、名前、パスワード
  • Pemiblanc(未確認):2018年4月、フランスのサーバーで、Pemiblancとして知られている1億1100万の電子メールアドレスとパスワードを含む資格情報のスタッフリストが発見されました
  • ShareThis:2018年7月に不正使用されたデータ:生年月日、メールアドレス、名前、パスワード
  • チケットフライ:2018年5月に侵害されたデータ:メールアドレス、名前、電話番号、住所

ボットがそこにいる間、フェイスブックをチェックし、あなたの名前のフェイスブックページの1つがあなたのウェブサイトと同じ写真を持っていることを確認できます。加えて、あなたがリストする家族はあなたの母親であり、「あなたの母親の旧姓」をリストしていると思います。 facebookから、あなたはどのlinkedinプロファイルがあなたのものかを確認することもできます。

私たちについては、人々が理解するよりもはるかに多くの情報がオンラインで存在します。ビッグデータと機械学習の分析は現実のものであり、現在ここにあり、オンラインで投稿または漏えいされたデータの多くを関連付けて使用することができます。 2003年から2007年にAIおよびコンピュータサイエンスの学士号を取得したことをリストにして、あなたが知っておくべきこと。それ以来、物事は長い道のりを歩んでおり、特にGoogleが学位の終わりに向けて発表していた進歩が大きな進展をもたらしました。人は人であり、ほとんどの人はあなたから利益を得ようとするだけです。データを合理的かつ合法的に使用する人もいますが、他の人はそれを可能な限り使用します。

これらすべてについての私のポイントは2つあります。つまり、私たちが思っているよりも多くの情報を公開し、DNSの全体的なポイントは、名前のIPアドレスへの変換を公開することです。

8
BeowulfNode42

AAAAレコードについて:

DNSは伝統的に暗号化されていません。 DNSに署名するための標準のファミリー(DNSSEC)がありますが、DNSレコードの暗号化ははるかに無計画な展開プロセスを行っているため、MitMがDNSクエリのすべてを読み取ることができると想定するのが一般的です。暗号化されたDNSをクライアント側で明示的に構成する方法の外に。 それはかなり試練です なので、そうしたかどうかがわかります。

(また、Webブラウザーはおそらく、ドメインを解決した後、TLSハンドシェイクで暗号化されていない [〜#〜] sni [〜#〜] を送信しています。接続方法については明確ではありませんVPNまたはTorは、出口ノードまたはVPN終了ポイントとリモートサーバーの間でMitMされている可能性があるため、このホール。 Cloudflare の善良な人々は、この問題の修正に取り組んでいますが、ESNI特に Chrome の場合は、クライアントの実装にも依存します。

ただし、脅威モデルによっては、MitM攻撃が問題になる場合と問題にならない場合があります。より重要なのは、DNS名が公開情報であることを意図しているという単純な事実です。多くの人々(検索エンジン、DNSレジストラなど)が収集して公開します完全に無害な理由によるDNS名。 DNSリゾルバーは通常、レート制限を適用しますが、これらの制限はサブドメインの列挙ではなく、DoS攻撃を阻止することを目的としているため、通常はかなり寛大です。多くの場合、HTTPS証明書の作成にはCAに応じて ドメイン名の公開 が表示されます( Let's Encryptが行います など、他にも多数あります)。実際には、ドメインまたはサブドメインを秘密にしておくことは非常に不可能です。なぜなら、ほとんどすべての人がそれらがパブリックであると想定し、それらを非表示にしようとしないからです。

したがって、この質問に答えるには:

DNSか、IPv6の基盤となるプロトコルが、未知のドメインの検出/一覧表示を許可するか(== --- ==)に興味がありますおよびアドレスリモートによる

技術的には、そうではありません。しかし、膨大な量の上位層テクノロジーはDNSレコードが公開されていると想定しているだけなので、それは必然的に公開されます。

6
Kevin