Довольно стандартно получать значительное количество незначительных попыток взлома каждый день, пытаясь использовать общие имя пользователя / пароли для таких сервисов, как SSH и SMTP. Я всегда предполагал, что эти попытки используют «маленькое» адресное пространство IPv4 для угадывания IP-адресов. Я заметил, что у меня нет попыток взлома IPv6, несмотря на то, что в моем домене есть записи AAAA Name, отражающие каждую запись A Name, и все службы IPv4 также открыты для IPv6.
Предположим, что общедоступный DNS (маршрут 53 AWS) с непонятным субдоменом, указывающим на достаточно рандомизированный суффикс / 64; Могут ли IPv6-адреса и / субдомены обнаруживаться удаленно без проверки каждого адреса в / 64-битном префиксе или каждого субдомена в очень длинном списке общих имен?
Я, конечно, знаю, что сканирование Интернета в поисках перечисленных (под) доменных имен достаточно просто. Я также знаю, что машины в одной подсети могут использовать NDP. Меня больше интересует, позволяют ли DNS или базовые протоколы IPv6 обнаруживать / перечислять неизвестные домены и адреса удаленно.
Вредоносные боты не угадать Адресов IPv4 больше нет. Они просто пробуют их все. В современных системах это может занять всего несколько часов.
Как вы уже догадались, с IPv6 это уже невозможно. Адресное пространство настолько велико, что даже невозможно сканировать перебором одну подсеть / 64 в течение жизни человека.
Боты должны будут проявить больше изобретательности, если они будут продолжать слепое сканирование на IPv6, как и на IPv4, а операторы злонамеренных ботов должны будут привыкнуть ждать гораздо дольше между обнаружением любых машин, не говоря уже об уязвимых.
К счастью для плохих парней и, к сожалению, для всех остальных, внедрение IPv6 идет намного медленнее, чем должно было быть. IPv6 исполнилось 23 года, но он получил широкое распространение только в последние пять лет или около того. Но все поддерживают свои сети IPv4 активными, и крайне мало хостов поддерживают только IPv6, поэтому у злоумышленников-ботов не было особых стимулов для перехода. Вероятно, они не будут работать до тех пор, пока не произойдет значительный отказ от IPv4, чего, вероятно, не произойдет в ближайшие пять лет.
Я полагаю, что слепое угадывание, вероятно, не будет продуктивным для злонамеренных ботов, когда они, наконец, перейдут на IPv6, поэтому им придется перейти на другие средства, такие как перебор DNS-имен или таргетированный перебор небольших подмножеств каждую подсеть.
Например, обычная конфигурация сервера DHCPv6 выдает адреса в ::100 через ::1ff по умолчанию. Это всего лишь 256 адресов из общего числа / 64. Перенастройка DHCPv6-сервера для выбора адресов из гораздо большего диапазона устраняет эту проблему.
А использование модифицированных адресов EUI-64 для SLAAC сокращает пространство поиска до 224 умноженное на количество назначенных OUI. Хотя это более 100 миллиардов адресов, это намного меньше 264. Случайные боты не будут пытаться обыскивать это пространство, но злоумышленники на государственном уровне будут выполнять целенаправленные атаки, особенно если они могут сделать обоснованные предположения относительно того, какие сетевые карты могут использоваться, чтобы еще больше сократить пространство поиска. Использование стабильных адресов конфиденциальности RFC 7217 для SLAAC легко (по крайней мере, в современных операционных системах, которые его поддерживают) и снижает этот риск.
RFC 7707 описывает несколько других способов проведения разведки в сетях IPv6 для определения адресов IPv6, а также способы устранения этих угроз.
Я обнаружил, что МНОГИЕ боты в наши дни не гадают, с IPv4 или IPv6. Безопасность через неизвестность - это вовсе не безопасность. Неизвестность просто задерживает / сокращает количество атак на время, и тогда это не имеет значения.
Хакеры знают доменное имя вашей компании по вашему веб-сайту или адресу электронной почты, какие IP-адреса общедоступных серверов вы публикуете для таких вещей, как электронная почта, SPF, веб-серверы и т. Д. Хотя им может потребоваться немного больше времени, чтобы узнать случайное имя сервера, но они будут угадывать общие имена, такие как www, mail, smtp, imap, pop, pop3, ns1 и т. д., а затем очистите ваш сайт на предмет любых дополнительных данных, которые они могут найти. Они извлекут из своего хранилища предыдущих сканирований ваши DNS-имена, IP-адреса и порты, на которых следует сосредоточиться. Они также получат список пар адресов электронной почты / паролей от любых утечек данных, которые они могут найти, и попробуют все эти логины и некоторые дополнительные с любыми системами, которые, по их мнению, вы используете на своих портах. Они даже доходят до того, что изучают имена и должности ваших сотрудников, чтобы попытаться провести атаку с помощью социальной инженерии. Наш спам-фильтр постоянно подвергается атакам мошенников, утверждающих, что это кто-то из руководства, которым требуется срочный банковский перевод. О, они также узнают, кто ваши деловые партнеры и называют себя ими, и сообщают вам, что их банковские реквизиты изменились. Иногда они даже знают, какие облачные платформы используют ваши бизнес-партнеры для выставления счетов.
Преступники, как и все остальные, имеют доступ к инструментам для работы с большими данными, и они накопили на удивление огромное количество данных. Посмотрите это свидетельство некоторых ИТ-профессионалов Конгрессу США. https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/
Говоря об утечках данных, если компания теряет что-то, даже такое, казалось бы, бесполезное, как журнал веб-сервера, он будет содержать IP-адреса v4 или v6 всех, кто использовал этот сервер в то время, и к каким страницам они обращались.
В заключение, ни один из этих методов не требует, чтобы злоумышленник угадывал, какой IP-адрес вы используете, он уже знает.
редактировать: В качестве упражнения я потратил все 2 минуты на просмотр вашего сайта (из вашего профиля), попробовал один из инструментов онлайн-сканирования, ссылки на который есть в другом месте, и немного посмотрел с помощью nslookup и узнал кое-что о вас. Я предполагаю, что один из непонятных адресов, о которых вы говорите, включает
Поскольку большинство других ваших опубликованных адресов IPv6 оканчиваются на :: 1. Это только из информации, которую вы публикуете с одним крошечным предположением. Это с IP-адреса, который вы хотели скрыть?
Редактировать 2: Еще один быстрый взгляд, я вижу, вы публикуете свой адрес электронной почты на своем веб-сайте. Проверка https://haveibeenpwned.com/ сайт о том, какие утечки данных произошли по этому адресу и какие данные есть на черном рынке. Я вижу, что это было в проломах
Увидев, используется ли эта часть имени пользователя в адресе электронной почты у некоторых других популярных провайдеров электронной почты, я вижу, что есть еще много данных. Это было бы еще одним крошечным предположением, которое мог бы сделать бот. Если что-то из этого коррелирует с частью, которая уже известна о вас, тогда бот может предположить, что это все вы, это не обязательно, достаточно вероятно. С дополнительными данными по этим нарушениям
Пока бот находится на нем, он может проверить facebook и увидеть, что на одной из страниц facebook с вашим именем есть такая же фотография, что и на вашем веб-сайте, и теперь он знает больше о вас и ваших друзьях. К тому же я предполагаю, что этот член семьи, который вы перечисляете, - это ваша мать, которая указывает «девичью фамилию вашей матери». В facebook он также может проверить, какой профиль linkedin ваш.
В Интернете о нас гораздо больше информации, чем люди думают. Анализ больших данных и машинного обучения - это реальность, она уже здесь, и большая часть данных, которые были опубликованы или просочились в сеть, могут быть сопоставлены и использованы. Что вы должны знать, учитывая, что в списке вы получили степень бакалавра в области искусственного интеллекта и информатики в 2003-2007 годах. С тех пор дела прошли долгий путь, особенно с учетом достижений, которые Google публиковал ближе к концу вашей степени. Люди, будучи людьми, большинство будут стремиться получить от вас только прибыль, некоторые будут использовать данные разумно и законно, а другие будут использовать их любым возможным способом.
Я хочу сказать обо всем этом вдвойне: мы публикуем больше информации, чем думаем, и весь смысл DNS заключается в публикации преобразования имен в IP-адреса.
Что касается записей AAAA:
DNS традиционно не шифруется. Несмотря на то, что существует семейство стандартов (DNSSEC) для подписи DNS, шифрование записей DNS имеет гораздо более бессистемный процесс развертывания, поэтому, как правило, безопаснее предположить, что любой MitM может читать все ваши запросы DNS, если вы не сделали этого. из вашего способа явно настроить зашифрованный DNS на стороне клиента. Вы бы знали, если бы сделали это, потому что это настоящее испытание.
(Кроме того, ваш веб-браузер, вероятно, отправляет незашифрованные SNI в рукопожатии TLS после разрешения домена. Неясно, как вы собираетесь закрыть эту дыру, поскольку VPN или Tor все еще могут быть MitM'd между выходным узлом или точкой завершения VPN и удаленным сервером. Хорошие ребята из Cloudflare работают над исправлением этой проблемы навсегда, но ESNI также будет зависеть от реализации клиента, особенно для Хром, если он действительно собирается сдвинуться с мертвой точки.)
Однако атаки MitM могут быть, а могут и не быть проблемой, в зависимости от вашей модели угрозы. Более важен тот простой факт, что DNS-имена предназначены для публичной информации. Многие люди (поисковые системы, регистраторы DNS и т. Д.) Собирают и публикуют DNS-имена по совершенно безобидным причинам. DNS-преобразователи обычно применяют ограничения скорости, но эти ограничения обычно довольно щедры, потому что они предназначены для остановки DoS-атак, а не для перечисления поддоменов. Создание сертификата HTTPS часто включает публикация доменного имени на всеобщее обозрение, в зависимости от ЦС (Let's Encrypt делает это, и многие другие). На практике сохранить в секрете домен или субдомен невозможно, потому что почти все предполагают, что они являются общедоступными, и не пытается их скрыть.
Итак, чтобы ответить на этот вопрос:
Меня больше интересует есть ли DNS или базовые протоколы IPv6 разрешить обнаружение / перечисление неизвестных доменов и адреса удаленно.
Технически нет, это не так. Но это не имеет значения, потому что огромное количество технологий более высокого уровня просто предполагает, что ваши записи DNS являются общедоступными, поэтому они неизбежно будут общедоступными.