ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

EASYHACKХАКЕР 04 /171/ 2013Алексей «GreenDog» Тюрин,Digital Securityagrrrdog@gmail.com,twitter.com/antyurinWARNINGВся информация предоставленаисключительнов ознакомительных целях.Ни редакция, ни автор не несутответственности за любой возможныйвред, причиненныйматериалами данной статьи.ПОЛУЧИТЬ СПИСОК ПОСЕЩАЕМЫХ ДОМЕНОВ, ИСПОЛЬЗУЯ DNS CACHE SNOOPINGРЕШЕНИЕДавай для четкости определим ситуацию для примера. Хотим мы проникнутьв какую-то корпоративную сеть. Первый шаг, конечно, — собрать побольшеинформации о ней. И было бы очень полезно если бы мы смогли удаленноопределить антивирус, используемый в этой сети. Зная версию антивируса,мы можем проверить в домашних условиях и модифицировать, если надо,свои эксплойты, которыми будем проводить атаку на организацию.Как это сделать? По мне, так простейший способ — написать письмо ворганизацию, о чем-нибудь пространном, но таком, чтобы им захотелось ответить.В ответном письме в заголовках очень часто отображается версияантивируса, который проверил письмо при отправке. Кроме того, иногда доступнаинфа об используемом мэйлере и антиспам-системах, что тоже можетпригодиться (см. рис. 1).Но есть и другие способы. Один из них основывается на использованииатаки DNS cache snooping. Цель этой атаки проста — мы удаленно можем узнавать,какие домены были недавно отрезолвлены на DNS-сервере компании,то есть на какие домены недавно заходили. Но для начала давай попробуемпонять кое-какие общности и тонкости работы DNS.Итак, все мы знаем, что DNS используется для преобразования имени серверав IP-адрес. Например, если мы захотим зайти на сайт вики — ru.wikipedia.org, то наша ОС сделает запрос к нашему DNS-серверу «а какой у ru.wikipedia.org IP?». Так как наш DNS-сервер не знает этого, то он обратится за этой информациейк одному из корневых DNS-серверов и запросит ту же информацию.Корневой DNS-сервер, так как он тоже не отвечает за ru.wikipedia.org,сможет сообщить только IP-адрес DNS-сервера, ответственного за всю зону.org. Наш DNS-сервер после этого обратится уже к нему. DNS-сервер зоны.org уже сможет сообщить, какой DNS-сервер отвечает за зону wikipedia.org.И наконец, наш DNS-сервер подключится к DNS-серверу, ответственному зазону wikipedia.org, и узнает у него IP-адрес зоны ru.wikipedia.org.Логика работы, я думаю, тебе должна теперь стать понятной: твой DNSсервервыполняет подключения к другим DNS-серверам и поставляет тебетолько итоговый ответ. Но здесь еще ряд важных тонкостей.Во-первых, ты видишь, какой длинный путь необходимо пройти, чтобыполучить IP-адрес конечного узла «ru.wikipedia.org»? Чтобы не проходить егокаждый раз при запросе ru.wikipedia.org, твой DNS-сервер кеширует эту запись.И в следующий раз информация уже берется оттуда. Хотя здесь необходимоотметить, что у кеша есть свое время жизни, то есть если через месяцты зайдешь на ru.wikipedia.org, то инфа возьмется не из кеша, а опять будетзапрошена из инета.Рис. 2. Определение посещаемых доменных имен по уменьшенному значению TTLВо-вторых, чем отличается твой DNS-сервер, который выполняет за тебявсю работу по поиску IP по имени, от других серверов, включая DNS-серверызоны .org и корневого? По сути — ничем. Но почему они сами не начинали, также как и твой DNS-сервер, искать для тебя необходимый IP-адрес? Разница втом, что когда ты запрашивал «ru.wikipedia.org» у своего DNS-сервера, то твояОС сделала рекурсивный запрос, а когда твой DNS-сервер запрашивал инфуу других DNS-серверов, то запросы были нерекурсивными, итеративными.Разница, я думаю, понятна. Рекурсивные запросы требуют от DNSсервера,чтобы он нашел IP-адрес по имени, а итеративные запросы простозапрашивают «ближайший» DNS-сервер, ответственный за зону по мнениюDNS-сервера.Например, сделай нерекурсивный запрос для хоста parom.barcelona.com:nslookup -norecursive parom.barcelona.comИ твой DNS-сервер ответит тебе списком корневых DNS-серверов.Результат же рекурсивного запроса:nslookup -norecursive parom.barcelona.comРис. 1. Пример заголовков e-mail’авыдаст тебе IP-адрес «parom.barcelona.com» (см. рис. 3).Хорошо, с общей теорией мы разобрались. Теперь переходим к самойатаке DNS cache snooping. Как уже было сказано, с помощью ее мы можемузнать, какие же доменные имена были недавно прорезолвлены данным