잠재적 인 공격자는 IPv6 주소와 AAAA 이름을 어떻게 검색 할 수 있습니까?


26

SSH 및 SMTP와 같은 서비스에 대해 일반적인 사용자 이름 / 비밀번호를 시도하면 매일 많은 수의 사소한 해킹 시도를받는 것이 상당히 표준입니다. 필자는 항상 이러한 시도가 IPv4의 "작은"주소 공간을 사용하여 IP 주소를 추측한다고 가정했습니다. 도메인에 모든 A 이름 레코드를 미러링하는 AAAA 이름 레코드가 있고 모든 IPv4 서비스가 IPv6에 개방되어 있음에도 불구하고 IPv6에서 해킹 시도가 전혀 발생하지 않습니다.

합리적으로 무작위 화 된 / 64 접미사를 가리키는 불분명 한 하위 도메인이있는 퍼블릭 DNS (AWS 경로 53)를 가정합니다. / 64 비트 접두사의 모든 주소 나 매우 긴 공통 이름 목록의 모든 하위 도메인을 시도하지 않고도 IPv6 주소 및 하위 도메인을 원격으로 검색 할 수 있습니까?

물론 나열된 (하위) 도메인 이름을 찾는 웹 크롤링은 충분히 간단하다는 것을 알고 있습니다. 또한 동일한 서브넷에있는 컴퓨터가 NDP를 사용할 수 있다는 것도 알고 있습니다. DNS 또는 IPv6의 기본 프로토콜이 원격으로 알 수없는 도메인과 주소를 발견 / 나열 할 수 있는지에 더 관심이 있습니다.



1
이것은 모호함에 의한 보안처럼 보입니다 ... 귀하의 유일한 방어선이 식별자 (이름 또는 IP 주소)를 찾기 어려운 경우 (어쩌면) 사용하면 어느 시점에서 위반 될 수 있습니다. 일반적인 익스플로잇 / 임의의 찌르기에는 비교적 안전 할 수 있지만, 적극적인 공격에 대해 방어해야하는 경우 해당 방어선이 중단됩니다. "모호하지 않은"이름을 발견 할 수있는 수많은 방법이 있습니다. geekflare.com/find-subdomains 에서 시작하십시오.
Patrick Mevzek

3
@patrick 방어선이 하나 뿐인 경우 위반 기간이 발생합니다. 나는 아직도 잠긴 문이 전 세계에 광고되는 것을 원하지 않습니다
Philip Couling

2
아니요. 내 결론에 따르면 이것이 유일한 보안 라인은 아닙니다. 나는 달리 제안하지 않았다.
Philip Couling

답변:


34

악성 봇은 더 이상 IPv4 주소를 추측 하지 않습니다 . 그들은 단순히 그들 모두를 시도합니다. 최신 시스템에서는이 작업에 몇 시간이 걸릴 수 있습니다.

IPv6을 사용하면 예상 한 것처럼 더 이상 불가능합니다. 주소 공간이 너무 커서 사람의 수명 내에 단일 / 64 서브넷을 무차별 적으로 스캔 할 수 없습니다.

봇은 IPv4에서와 같이 IPv6에서 블라인드 스캔을 계속하려면 더욱 창의력을 발휘해야하며 악의적 인 봇 운영자는 취약한 시스템은 물론 어떤 시스템을 찾을 때까지 훨씬 더 오래 기다려야합니다.

불행히도 나쁜 사람들에게는 안타깝게도 다른 사람들에게는 안타깝게도 IPv6 채택은 실제보다 훨씬 느리게 진행되었습니다. IPv6은 23 세이지 만 지난 5 년 동안 만 채택되었습니다. 그러나 모두가 IPv4 네트워크를 활성 상태로 유지하고 있으며 IPv6 전용 호스트는 극소수이므로 악의적 인 봇 운영자는 전환에 대한 인센티브가 거의 없습니다. 그들은 아마도 향후 5 년 안에 일어날 수없는 IPv4의 상당한 포기가있을 때까지는하지 않을 것입니다.

블라인드 추측은 악의적 인 봇이 IPv6로 마침내 이동했을 때 생산적이지 않을 것으로 예상되므로 무차별 DNS 이름이나 작은 하위 집합의 대상 무차별 강제 같은 다른 수단으로 이동해야합니다. 각 서브넷.

예를 들어, 일반적인 DHCPv6 서버 구성은 기본적으로 주소를 ::100통해 제공합니다 ::1ff. 전체 / 64 중에서 256 개의 주소 만 사용하십시오. 훨씬 더 넓은 범위에서 주소를 선택하도록 DHCPv6 서버를 재구성하면이 문제가 완화됩니다.

SLAAC에 수정 된 EUI-64 주소를 사용하면 검색 공간 이 할당 된 OUI 수에 2 24를 곱한 값으로 줄어 듭니다 . 이 주소는 1000 억 개가 넘지 만 2 64 보다 훨씬 적습니다 . 랜덤 봇은이 공간을 검색 할 필요가 없지만, 상태 수준의 악의적 인 공격자는 대상 공격을 위해, 특히 어떤 NIC가 사용 중인지에 대한 교육 된 추측을 통해 검색 공간을 더 줄일 수있는 경우 공격을받을 것입니다. SLAAC에 RFC 7217 안정적인 개인 정보 주소를 사용하는 것은 쉽고 (적어도 최신 운영 체제에서는이를 지원함)이 위험을 완화합니다.

RFC 7707 은 IPv6 네트워크에서 IPv6 주소를 찾기 위해 정찰을 수행 할 수있는 몇 가지 다른 방법과 이러한 위협으로부터 완화하는 방법을 설명합니다.


많은 봇은 이미 매우 독창적이며, 더 나은 봇을위한 거대한 암시장이있을 수 있습니다. 창의적이지 않은 봇은 소재 봇을 차단하는 방법으로 쉽게 차단해야합니다.
BeowulfNode42

1
내가 보는 것은 창의성이 아닌 다양한 봇입니다. 밤에 나를 유지시키는 것은 창조적 다양성입니다. 다행스럽게도 잠을 잃어 버리도록 돈을 지불하는 고객이 있습니다. 즉, 아직 IPv6에서 창의적인 봇 트래픽이 발생하지는 않습니다.
Michael Hampton

예. 최근에 다음 번 사용자 이름 또는 비밀번호로 이동하기 전에 (IPv4) 인터넷의 모든 공개 대면 SSH 서버에 대해 각 단일 사용자 이름 또는 비밀번호가 시도됨을 제안하는 무자비한 시도가 수개월에 걸쳐 퍼져 있음을 알았습니다 (하루마다 사용자 이름 또는 비밀번호). .
Philip Couling

8

IPv4 또는 IPv6을 사용하여 요즘 많은 봇이 추측하지 않는 것으로 나타났습니다. 모호성을 통한 보안은 전혀 보안이 아닙니다. 모호함은 단순히 공격 횟수를 지연 / 감소시킨 다음 관련이 없습니다.

해커는 웹 사이트 또는 전자 메일 주소에서 회사의 도메인 이름, 전자 메일, SPF, 웹 서버 등을 위해 게시하는 공용 서버 IP를 알고 있습니다. 임의의 서버 이름을 배우는 데 시간이 조금 더 걸릴 수 있지만 추측 할 수는 있습니다. www, mail, smtp, imap, pop, pop3, ns1 등과 같은 일반적인 이름을 찾은 다음 찾을 수있는 추가 데이터가 있는지 웹 사이트를 긁습니다. 이전 스캔 저장소에서 DNS 이름, IP 및 초점을 둘 포트를 검색합니다. 또한 모든 데이터 유출에서 이메일 주소 / 암호 쌍의 목록을 검색하여 모든 로그인과 포트에서 실행중인 시스템과 함께 추가 로그인을 시도 할 수 있습니다. 그들은 심지어 사회 공학 공격을 시도하기 위해 직원의 이름과 직무를 배우는 정도까지갑니다. 스팸 필터는 긴급 자금 송금이 필요한 경영진의 누군가라고 주장하는 사기꾼의 시도로 계속해서 공격 당합니다. 또한 그들은 당신의 비즈니스 파트너가 누구인지 배우고 그들이라고 주장하며 은행 세부 사항이 변경되었음을 알려줍니다. 때로는 비즈니스 파트너가 인보이스를 위해 어떤 클라우드 플랫폼을 사용하는지 알고 있습니다.

범죄자들은 ​​다른 사람들과 마찬가지로 빅 데이터 도구에 액세스 할 수 있으며 놀라 울 정도로 많은 양의 데이터를 축적했습니다. 미국 의회에 대한 일부 IT 전문가들의이 증언을보십시오 https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

데이터 유출에 대해 이야기 할 때, 회사가 웹 서버 로그처럼 쓸모없는 것처럼 보이는 것을 잃어버린 경우, 해당 시간에 해당 서버를 사용한 모든 사람의 IP 주소 v4 또는 v6 및 액세스 한 페이지가 포함됩니다.

결론적으로, 이러한 방법 중 어느 것도 침입자가 어떤 IP를 사용하고 있는지 추측 할 필요가 없으며 이미 알고 있습니다.

편집 : 약간의 연습으로 2 분 동안 (프로필에서) 사이트를 탐색하고 여기 다른 곳에서 링크 된 온라인 검색 도구 중 하나를 시도하고 nslookup을 사용하여 약간의 정보를 얻었습니다. . 나는 당신이 말하고있는 모호한 주소 중 하나가 관련되어 있다고 생각합니다.

  • 출판 한 행성 중 하나와 유사한 행성 이름
  • 자유민
  • 그리고 2e85 : eb7a로 끝나는 IPv6 주소
  • 그리고 그것은 ssh를 실행

게시 된 다른 IPv6 주소는 대부분 :: 1로 끝납니다. 이것은 당신이 1 개의 작은 추측으로 공개적으로 공개 한 정보로부터 온 것입니다. 숨기고 싶은 IP에서 나온 것입니까?

편집 2 : 한 번 더 살펴보면 웹 사이트에 이메일 주소를 게시하는 것을 볼 수 있습니다. https://haveibeenpwned.com/ 사이트에서 해당 주소가 유출 된 데이터 유출 및 암시장에 어떤 데이터가 존재하는지 확인하십시오 . 나는 그것이 위반에 있었다 참조

  • Adobe 위반 2013 년 10 월 : 손상된 데이터 : 전자 메일 주소, 암호 힌트, 암호, 사용자 이름
  • MyFitnessPal : 2018 년 2 월 손상된 데이터 : 이메일 주소, IP 주소, 비밀번호, 사용자 이름
  • MySpace : 약 2008 년 손상된 데이터 : 이메일 주소, 비밀번호, 사용자 이름
  • PHP 괴물 : 2015 년 10 월 손상된 데이터 : 생년월일, 이메일 주소, IP 주소, 비밀번호, 사용자 이름, 웹 사이트 활동
  • QuinStreet : 2015 년 후반 손상된 데이터 : 생년월일, 이메일 주소, IP 주소, 비밀번호, 사용자 이름, 웹 사이트 활동

전자 메일 주소의 사용자 이름 부분이 다른 인기있는 전자 메일 공급자에서 사용되는지 확인하면 더 많은 데이터가 있습니다. 이것은 봇이 만들 수있는 또 다른 작은 추측 일 것입니다. 그것의 일부가 이미 당신에 대해 알려진 부분과 관련이 있다면, 봇은 그것이 당신 전부라고 가정 할 수 있습니다. 확실하지 않아도됩니다. 이러한 위반에 대한 추가 데이터

  • Verifications.io : 2019 년 2 월 손상된 데이터 : 생년월일, 이메일 주소, 고용주, ​​성별, 지리적 위치, IP 주소, 직책, 이름, 전화 번호, 실제 주소
  • River City Media Spam List 2017 년 1 월 손상된 데이터 : 이메일 주소, IP 주소, 이름, 실제 주소
  • 아폴로 : 2018 년 7 월 영업 계약 시작 손상된 데이터 : 이메일 주소, 고용주, ​​지리적 위치, 직책, 이름, 전화 번호, 인사말, 소셜 미디어 프로필
  • B2B USA 기업 2017 년 중반 손상된 데이터 : 이메일 주소, 고용주, ​​직책, 이름, 전화 번호, 실제 주소
  • 비트 : 2014 년 5 월 손상된 데이터 : 이메일 주소, 비밀번호, 사용자 이름
  • 컬렉션 # 1 (확인되지 ​​않음) : 2019 년 1 월, 인기있는 해킹 포럼에서 많은 자격 증명 스터핑 목록 (다른 서비스의 계정을 도용하는 데 사용되는 이메일 주소 및 비밀번호 조합)이 발견되었습니다.
  • 보관 용 계정 : 2012 년 중반 손상된 데이터 : 이메일 주소, 비밀번호
  • Exploit.In (확인되지 ​​않음) : 2016 년 후반에 이메일 주소와 암호 쌍이 "Exploit.In"이라고하는 "콤보 목록"에 나타났습니다.
  • HauteLook : 2018 년 중반 손상된 데이터 : 생년월일, 이메일 주소, 성별, 지리적 위치, 이름, 비밀번호
  • Pemiblanc (확인되지 ​​않음) : 2018 년 4 월 프랑스 서버에서 Pemiblanc으로 알려진 1 억 1 천 1 백만 개의 이메일 주소와 비밀번호가 포함 된 자격 증명 스터핑리스트
  • 이 정보 : 2018 년 7 월 손상된 데이터 : 생년월일, 이메일 주소, 이름, 비밀번호
  • Ticketfly : 2018 년 5 월 손상된 데이터 : 이메일 주소, 이름, 전화 번호, 실제 주소

봇이있는 동안에는 페이스 북을 확인할 수 있으며, 귀하의 이름을 가진 페이스 북 페이지 중 하나가 웹 사이트와 동일한 사진을 가지고 있음을 알 수 있으며, 이제 귀하와 친구에 대해 더 많이 알고 있습니다. 또한 여러분이 나열한 가족 구성원이 "어머니의 처녀 이름"을 나열하는 어머니라고 생각합니다. 페이스 북에서 어떤 링크 인 프로필인지 확인할 수 있습니다.

사람들이 생각하는 것보다 더 많은 정보가 온라인에 있습니다. 빅 데이터 및 머신 러닝 분석은 실제로 이루어졌으며, 현재 여기 있으며 온라인에 게시되거나 유출 된 많은 데이터를 서로 연관시켜 사용할 수 있습니다. 2003-2007 년에 인공 지능 및 컴퓨터 과학 학사 학위를 받았다는 것을 알면서 알아야합니다. 그 이후로 특히 구글이 학위가 끝날 때까지 출판 된 발전과 함께 먼 길을 왔습니다. 사람들은 사람들이고, 대부분은 합리적이고 합법적으로 데이터를 사용하는 일부 사람들 만 당신에게서 이익을 얻으려고하지만, 다른 사람들은 가능한 한 어떤 방식 으로든 그것을 사용합니다.

필자가 생각하는 것보다 더 많은 정보를 게시한다는 점은이 두 가지입니다. DNS의 요점은 이름을 IP 주소로 변환하는 것입니다.


6

AAAA 레코드와 관련하여 :

DNS는 전통적으로 암호화되지 않습니다. DNS 서명을위한 표준 군 (DNSSEC)이 있지만 DNS 레코드의 암호화는 훨씬 더 위험한 배치 프로세스를 가졌으므로 일반적으로 MitM이 모든 DNS 쿼리를 읽을 수 있다고 가정하는 것이 가장 안전합니다 클라이언트 쪽에서 암호화 된 DNS를 명시 적으로 구성 할 수 없습니다. 당신이 그렇게했다면 알 수있을 것이다. 왜냐하면 그것은 매우 시련 이기 때문이다 .

(또한 도메인을 확인한 후 웹 브라우저가 TLS 핸드 셰이크에서 암호화되지 않은 SNI 를 전송 중일 수 있습니다. VPN 또는 Tor가 여전히 종료간에 MitM이 될 수 있기 때문에이 구멍을 막는 방법은 확실하지 않습니다. Cloudflare 직원은 이 문제를 해결하기 위해 노력하고 있지만 ESNI는 클라이언트 구현, 특히 Chrome 의 경우 실제로 구현 될 경우 클라이언트 구현에 따라 달라집니다 .)

그러나 위협 모델에 따라 MitM 공격이 문제가 될 수도 있고 아닐 수도 있습니다. 더 중요한 것은 DNS 이름이 공개 정보 . 많은 사람들 (검색 엔진, DNS 등록 기관 등)이 완전히 양성적인 이유로 DNS 이름을 수집하고 공개합니다. DNS 확인자는 일반적으로 속도 제한을 적용하지만 이러한 제한은 일반적으로 하위 도메인 열거가 아니라 DoS 공격을 중지하기 때문에 상당히 관대합니다. HTTPS 인증서를 만들 려면 종종 CA에 따라 모든 사람이 볼 수 있는 도메인 이름게시해야합니다 ( 암호화를 수행하면 됩니다). 실제로 도메인 또는 하위 도메인을 비밀로 유지하는 것은 거의 불가능합니다. 모든 사람이 공개한다고 가정하고 숨기려고 노력하지 않기 때문입니다.

따라서이 질문에 대답하십시오.

DNS 또는 IPv6의 기본 프로토콜이 알 수없는 도메인 과 주소를 발견 / 나열 할 수 있는지에 관심이 있습니다. 원격으로 를 있습니다.

기술적으로는 그렇지 않습니다. 그러나 엄청난 양의 상위 계층 기술은 DNS 레코드가 공개되어 있다고 가정하기 때문에 불가피하게 공개됩니다.


1
암호화 된 SNI가 개발 중입니다. 1 년 또는 2 년을줍니다.
Michael Hampton

1
@MichaelHampton : ESNI가 일어날 것이라고 믿습니다. 그러나 업계의 실적 (DNSSEC, IPv6, DANE 등)을 감안할 때 "1 년 또는 2 년"이면 충분할 것입니다. 어쨌든 우리는 곧 보게 될 것입니다.
케빈

1
CloudFlare가이를 추진하여 나중에보다 빨리 베팅 할 것입니다 :)
Michael Hampton

각 예에 대해 "그렇지만 ..."이라고 말하고 싶지만 DNS 이름은 일반적으로 공개 정보로 간주되는 것이 좋습니다. +1
Philip Couling
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.