Використання DNS для виявлення і з’ясування призначення мережевих вузлів

Використання DNS-серверів дозволяє аудитору (в рамках моделі

«Чорного ящика») отримати інформацію про призначення мережевих вузлів дослі-

дуємо сегментів ЛОМ і зовнішніх мережевих вузлів організації Наприклад, на-відмінність в базі DNS записи типу MX для вузла «smtpexampleru» дає аудитору інформацію про те, що вказаний вузол є поштовим сервером Обрат-ний DNS (записи типу PTR) дозволяє отримати одне з імен мережевого вузла по IP-адресою

Для взаємодії з DNS-сервером можуть бути використані стан-

дротяні системні утиліти nslookup (ОС Windows і UNIX), host або dig (ОС

UNIX)

Безперервний набір простору імен DNS називається зоною DNS

Для отримання зони DNS можна використовувати протокол перенесення зони DNS (DNS zone transfer відомий так само, як AXFR)

Розглянемо приклад перенесення зони DNS з використанням утиліти dig

Для цього необхідно вказати тип запиту – axfr і параметр «@ імя_сервера»,

який вказує на сервер, з якого буде проведений перенесення зони DNS

$ dig axfr examp1siru @nsexamp1siru

; &lt&lt&gt&gt DiG 924 &lt&lt&gt&gt axfr examp1siru @nsexamp1siru

;; global options:  printcmd

examp1siru               86400   IN      SOA     examp1siru

nexamp1siru 2006102601 86400 7200

2419200 604800

examp1siru

86400

IN

NS

ex1ppru

examp1siru

86400

IN

NS

nssecondarynetua

examp1siru

86400

IN

A

145232112

examp1siru

86400

IN

MX

10 exmitiru

icqexamp1siru

86400

IN

CNAME

examp1siru

deltaplanexamp1siru

86400

IN

A

232442277

deltaplanexamp1siru

86400

IN

MX

10 mail1delta-planru

webcamexamp1siru

86400

IN

A

195642233

homeexamp1siru

86400

IN

A

83444444

ex1examp1siru

86400

IN

A

34123422

conferenceexamp1siru

86400

IN

CNAME

examp1siru

squishexamp1siru

86400

IN

MX

10 squishexamp1siru

squishexamp1siru

86400

IN

A

2302521417

vjudexamp1siru

86400

IN

CNAME

examp1siru

examp1siru

86400

IN

SOA

examp1siru

nexamp1siru 2006102601 86400 7200

2419200 604800

;; Query time: 5 msec

;; SERVER: 127001#53(localhost)

;; WHEN: Thu Nov  2 13:01:11 2006

;; XFR size: 19 records

У наведеному прикладі c допомогою утиліти dig був проведений пере-

ніс зони DNS з DNS-сервера «nsexamp1siru»

Висновок команди представляється в табличній формі, яка повторює структуру бази DNS Перший рядок таблиці є записом типу SOA

(Start of Authority) яка, зокрема, ідентифікує імя домену або зо-ни DNS: «examp1sirunexamp1siru» Всі імена, які не закінчуються крапкою, доповнюються імям домену для зони DNS Наприклад, якби в прикладі зустрілося імя «exampleru» (без заключної крапки), то воно б

трансформувалося в імя «exampleruexample1siru» Потім зазначений серій-ний номер, інтервал часу, через який відбувається оновлення привчає-ного DNS-сервера, і інтервал, через який необхідно проводити обнов-

ня, якщо перша спроба оновлення була невдалою

Дві наступні рядки вказують на імена DNS-серверів «ex1ppru»

і «nssecondarynetua», які є авторитетними для даного домену

(Тобто такими DNS-серверами, які містять інформацію про цю зо-

ні)

Наступний запис типу A відображає імя мережевого вузла examp1siru на його IP-адресу 145232112

Запис типу MX ідентифікує поштовий сервер Грунтуючись на проведеному лістингу можна зробити висновок, що для домену «examp1siru» поштовим сервером є «exmitiru» з числом переваги 10 (Викорис-

зуемое для вибору того або іншого сервера при маршрутизації пошти) Дру-

шими словами, якщо адреса одержувача листа буде мати вигляд

«User@exam1siru», то вона буде передана на поштовий сервер «exmitiru»

Запис типу CNAME відображає псевдонім мережевого вузла на його кано-

ническое імя Грунтуючись на лістингу, можна зробити висновок, що

«Icqexamp1siru» є псевдонімом для «examp1siru» і, отже,

відповідає серверу з IP-адресою 145232112

Останньою записом в таблиці є запис типу SOA, що відпо-яття строгому визначенню зони DNS: зона DNS – це серія записів DNS, що починається з запису типу SOA для запитуваної імені, продовжую-

щаяся будь-якою кількістю записів, відмінних від SOA, що закінчується по-

вторн входженням записи SOA

Наведена команда повертає також час виконання запиту, ад-

рес DNS-сервера, до якого був зроблений запит, час, коли був вироб-веден запит, і кількість записів, які були повернуті Ключове слово «IN» в рядках виведення вказує на те, що використовується адресація і схема іменування, застосовувана в Інтернет

Однією з можливих записів у таблиці DNS може бути запис типу

SRV Записи типу SRV призначені для ідентифікації мережевих вузлів, на яких присутній заданий сервіс Ця запис дозволяє користувачам,

знаючи імя домену та імя потрібного сервісу, отримувати імя вузла і порт, на якому цей сервіс запущений

Наприклад, наявність запису «_http_tcpexamplecom IN SRV 0 5 80 wwwexamplecom »Вказує на те, що сервіс HTTP використовує порт 80 сервера« wwwexamplecom » Елемент «_http» вказує на тип сервісу – HTTP Елементи «_ftp» і «_ldap» – інші часто зустрічаються значення,

що вказують відповідно на FTP-і LDAP-сервіси Елемент «_tcp» ука-показують, що в якості транспортного протоколу для цього сервісу вико-ється TCP Значення 0, 5 і 80 вказують відповідно на пріоритет, вагу і

номер порту, який використовується сервісом

Таким чином, здійснюючи аналіз інформації, отриманої шляхом пе-

реноса зони DNS, можна отримати детальну інформацію про системну ландшафті (тобто про склад і призначення серверів) організації

З метою утруднення інвентаризації ресурсів системного ландшафту зловмисником можливість перенесення зони DNS на недовірених вузли

повинна бути заборонена

ВИКОНАТИ

6 Переконайтеся, що налаштування DNS-сервера, який функціонує на вузлі

«Сервер», дозволяють передачу зони DNS Для перевірки і включення це-

го параметра виконайте команду dnsmgmtmsc / s (можна через меню

Пуск ⇒ Адміністрування ⇒ DNS), в лівій панелі вікна, що зявилося

розкрийте список «Forward Lookup Zones», з контекстного меню зони

alphalocal виберіть пункт Властивості (Properties), перейдіть в закладку

«Передача зони» (Zone Transfers), переконайтеся що пункт «Дозволити пере-дачу зони» (Allow zone transfers) включений У разі, якщо параметр ви-ключ, його необхідно включити (рис 83)

7 За допомогою утиліти dig, встановленої на станції сканування Linux,

отримаєте опис зони DNS Проаналізуйте отримані дані

Зробіть висновки про те, яку інформацію про мережі можна отримати з ис-

користуванням передачі зони DNS Доповніть рядок 3 таблиці 82

Рис 83 Дозвіл передачі зони DNS

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*