Использование DNS для обнаружения и выяснения назначения сетевых узлов

Использование  DNS-серверов  позволяет  аудитору  (в  рамках  модели

«черного ящика») получить информацию о назначении сетевых узлов иссле-

дуемых сегментов ЛВС и внешних сетевых узлов организации. Например, на- личие в базе DNS записи типа MX для узла «smtp.example.ru» дает аудитору информацию о том, что указанный узел является почтовым сервером. Обрат- ный DNS (записи типа PTR) позволяет получить одно из имен сетевого узла по IP-адресу.

Для взаимодействия с DNS-сервером могут быть использованы стан-

дартные системные утилиты nslookup (ОС Windows и UNIX), host или dig (ОС

UNIX).

Непрерывный набор пространства имен DNS называется зоной DNS.

Для получения зоны DNS можно использовать протокол переноса зоны DNS (DNS zone transfer известен так же, как AXFR).

Рассмотрим пример переноса зоны DNS с использованием утилиты dig.

Для этого необходимо указать тип запроса – axfr и параметр «@имя_сервера»,

указывающий на сервер, с которого будет произведен перенос зоны DNS.

$ dig axfr examp1.si.ru @ns.examp1.si.ru

; <<>> DiG 9.2.4 <<>> axfr examp1.si.ru @ns.examp1.si.ru

;; global options:  printcmd

examp1.si.ru.               86400   IN      SOA     examp1.si.ru.

n.examp1.si.ru. 2006102601 86400 7200

2419200 604800

examp1.si.ru.

86400

IN

NS

ex1.pp.ru.

examp1.si.ru.

86400

IN

NS

ns.secondary.net.ua.

examp1.si.ru.

86400

IN

A

145.23.211.2

examp1.si.ru.

86400

IN

MX

10 ex.miti.ru.

icq.examp1.si.ru.

86400

IN

CNAME

examp1.si.ru.

deltaplan.examp1.si.ru.

86400

IN

A

232.44.22.77

deltaplan.examp1.si.ru.

86400

IN

MX

10 mail1.delta-plan.ru.

webcam.examp1.si.ru.

86400

IN

A

195.64.22.33

home.examp1.si.ru.

86400

IN

A

83.44.44.44

ex1.examp1.si.ru.

86400

IN

A

34.12.34.22

conference.examp1.si.ru.

86400

IN

CNAME

examp1.si.ru.

squish.examp1.si.ru.

86400

IN

MX

10 squish.examp1.si.ru.

squish.examp1.si.ru.

86400

IN

A

230.252.141.7

vjud.examp1.si.ru.

86400

IN

CNAME

examp1.si.ru.

examp1.si.ru.

86400

IN

SOA

examp1.si.ru.

n.examp1.si.ru. 2006102601 86400 7200

2419200 604800

;; Query time: 5 msec

;; SERVER: 127.0.0.1#53(localhost)

;; WHEN: Thu Nov  2 13:01:11 2006

;; XFR size: 19 records

В приведенном примере c помощью утилиты dig был произведен пере-

нос зоны DNS с DNS-сервера «ns.examp1.si.ru».

Вывод команды представляется в табличной форме, которая повторяет структуру базы DNS. Первая строка таблицы является записью типа SOA

(Start of Authority) которая, в частности, идентифицирует имя домена или зо- ны DNS: «examp1.si.ru.n.examp1.si.ru». Все имена, которые не заканчиваются точкой, дополняются именем домена для зоны DNS. Например, если бы в примере встретилось имя «example.ru» (без заключительной точки), то оно бы

трансформировалось в имя «example.ru.example1.si.ru».  Затем указан серий- ный номер, интервал времени, через который происходит обновление первич- ного DNS-сервера, и интервал, через который необходимо проводить обнов-

ление, если первая попытка обновления была неудачной.

Две последующие строки указывают на имена DNS-серверов «ex1.pp.ru»

и «ns.secondary.net.ua», которые являются авторитетными для данного домена

(то есть такими DNS-серверами, которые содержат информацию об этой зо-

не).

Следующая запись типа A отображает имя сетевого узла examp1.si.ru на его IP-адрес 145.23.211.2.

Запись  типа  MX  идентифицирует почтовый  сервер.  Основываясь на проведенном листинге можно сделать вывод, что для домена «examp1.si.ru» почтовым сервером является «ex.miti.ru» с числом предпочтения 10 (исполь-

зуемым для выбора того либо иного сервера при маршрутизации почты). Дру-

гими    словами,    если    адрес    получателя    письма    будет    иметь    вид

«user@exam1.si.ru», то оно будет передано на почтовый сервер «ex.miti.ru».

Запись типа CNAME отображает псевдоним сетевого узла на его кано-

ническое   имя.   Основываясь   на   листинге,   можно   сделать   вывод,   что

«icq.examp1.si.ru» является псевдонимом для «examp1.si.ru» и, следовательно,

соответствует серверу с IP-адресом 145.23.211.2.

Последней записью в таблице является запись типа SOA, что соответст- вует строгому определению зоны DNS: зона DNS — это серия записей DNS, начинающаяся с записи типа SOA для запрашиваемого имени, продолжаю-

щаяся любым количеством записей, отличных от SOA, заканчивающаяся по-

вторным вхождением записи SOA.

Приведенная команда возвращает также время выполнения запроса, ад-

рес DNS-сервера, к которому был произведен запрос, время, когда был произ- веден запрос, и количество записей, которые были возвращены. Ключевое слово «IN» в строках вывода указывает на то, что используется адресация и схема именования, применяемая в Интернет.

Одной из возможных записей в таблице DNS может быть запись типа

SRV. Записи типа SRV предназначены для идентификации сетевых узлов, на которых присутствует заданный сервис. Эта запись позволяет пользователям,

зная имя домена и имя нужного сервиса, получать имя узла и порт, на котором этот сервис запущен.

Например,  наличие  записи  «_http._tcp.example.com.  IN  SRV  0  5  80 www.example.com.»  указывает на то, что сервис HTTP использует порт 80 сервера «www.example.com». Элемент «_http»  указывает на  тип  сервиса  – HTTP. Элементы «_ftp» и «_ldap» — другие часто встречающиеся значения,

указывающие соответственно на FTP- и LDAP-сервисы. Элемент «_tcp» ука- зывает, что в качестве транспортного протокола для этого сервиса использу- ется TCP. Значения 0, 5 и 80 указывают соответственно  на приоритет, вес и

номер порта, который используется сервисом.

Таким образом, осуществляя анализ информации, полученной путем пе-

реноса зоны  DNS,  можно  получить подробную информацию о  системном ландшафте (т.е. о составе и назначении серверов) организации.

В целях затруднения инвентаризации ресурсов системного ландшафта злоумышленником возможность переноса зоны DNS на недоверенные узлы

должна быть запрещена.

ВЫПОЛНИТЬ!

6.   Убедитесь,  что  настройки  DNS-сервера,  функционирующего  на  узле

«Сервер», разрешают передачу зоны DNS. Для проверки и включения это-

го параметра выполните команду dnsmgmt.msc /s (можно через меню

Пуск ? Администрирование ? DNS), в левой панели появившегося окна

раскройте список «Forward Lookup Zones», из контекстного меню зоны

alpha.local  выберите  пункт  Свойства  (Properties), перейдите в  закладку

«Передача зоны» (Zone Transfers), убедитесь что пункт «Разрешить пере- дачу зоны» (Allow zone transfers) включен. В случае, если параметр вы- ключен, его необходимо включить (рис. 8.3).

7.   С помощью утилиты dig, установленной на станции сканирования Linux,

получите  описание  зоны  DNS.  Проанализируйте  полученные  данные.

Сделайте выводы о том, какую информацию о сети можно получить с ис-

пользованием передачи зоны DNS. Дополните строку 3 таблицы 8.2.

Рис. 8.3.  Разрешение передачи зоны DNS

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий