每天都会收到大量针对 SSH 和 SMTP 等服务的常用用户名/密码的小型黑客攻击尝试,这是相当标准的。我一直认为这些尝试是使用 IPv4 的“小”地址空间来猜测 IP 地址。我注意到,尽管我的域具有镜像每个 A 名称记录的 AAAA 名称记录,并且所有 IPv4 服务也对 IPv6 开放,但我在 IPv6 上的黑客攻击尝试为零。
假设一个公共 DNS(AWS 路由 53)有一个模糊的子域指向一个合理随机的 /64 后缀;是否可以远程发现 IPv6 地址和 / 子域,而无需尝试 /64 位前缀中的每个地址或很长的常用名称列表中的每个子域?
我当然知道爬网寻找列出的(子)域名很简单。我也知道同一子网上的机器可以使用 NDP。我对 DNS 或 IPv6 的底层协议是否允许远程发现/列出未知域和地址更感兴趣。
恶意机器人不再猜测IPv4 地址。他们只是尝试所有。在现代系统上,这可能只需要几个小时。
正如您所猜测的那样,使用 IPv6,这已经不可能了。地址空间大得多,甚至不可能在人的一生中暴力扫描单个 /64 子网。
如果机器人要像在 IPv4 上一样继续盲目扫描 IPv6,它们将不得不变得更有创造力,而恶意机器人操作员将不得不习惯于在找到任何机器之间等待更长的时间,更不用说易受攻击的机器了。
对坏人来说是幸运的,对其他人来说也是不幸的,IPv6 的采用比它真正应该的要慢得多。IPv6 已有 23 年历史,但仅在过去五年左右的时间里才被大量采用。但是每个人都在保持他们的 IPv4 网络活跃,而且很少有主机是纯 IPv6 的,所以恶意 bot 运营商几乎没有动力进行切换。他们可能不会这样做,直到大量放弃 IPv4,这可能不会在未来五年内发生。
我预计,当恶意机器人最终确实迁移到 IPv6 时,盲目猜测可能不会对恶意机器人产生任何影响,因此他们将不得不转向其他方式,例如暴力破解 DNS 名称,或有针对性地暴力破解一小部分每个子网。
例如,一个常见的 DHCPv6 服务器配置默认提供
::100地址::1ff。在整个 /64 中,只有 256 个地址可供尝试。重新配置 DHCPv6 服务器以从更大范围内选择地址可以缓解此问题。并且为 SLAAC 使用修改后的 EUI-64 地址将搜索空间减少到 2 24乘以分配的 OUI 的数量。虽然这是超过 1000 亿个地址,但远远少于 2 64 个。随机机器人不会费心搜索这个空间,但州级恶意行为者会针对有针对性的攻击,特别是如果他们能够对可能正在使用的 NIC 做出有根据的猜测,以进一步减少搜索空间。为 SLAAC 使用 RFC 7217 稳定的隐私地址很容易(至少在支持它的现代操作系统上)并减轻了这种风险。
RFC 7707描述了在 IPv6 网络中执行侦察以定位 IPv6 地址的其他几种方法,以及如何减轻这些威胁。
我发现现在很多机器人都不会猜测,使用 IPv4 或 IPv6。通过默默无闻的安全根本不是安全。默默无闻只是暂时延迟/减少攻击次数,然后就无关紧要了。
黑客从您的网站或电子邮件地址知道您公司的域名,您为电子邮件、SPF、Web 服务器等发布了哪些公共服务器 IP。虽然他们可能需要更长的时间来学习随机服务器名称,但他们会猜测常用名称,如 www、mail、smtp、imap、pop、pop3、ns1 等,然后从您的网站上抓取他们可以找到的任何其他数据。他们将从之前的扫描存储中检索您的 DNS 名称、IP 以及要关注的端口。他们还将从他们可以找到的任何数据泄露中检索电子邮件地址/密码对列表,并使用他们认为您在端口上运行的任何系统尝试所有这些登录以及一些额外的登录。他们甚至会学习员工的姓名和工作角色,以尝试执行社会工程攻击。我们的垃圾邮件过滤器不断遭到诈骗者的轰炸,他们声称自己是管理层人员,需要紧急电汇资金。哦,他们还会了解您的业务合作伙伴是谁并声称是他们,并让您知道他们的银行详细信息已更改。有时他们甚至知道您的业务合作伙伴正在使用哪些云平台来开发票。
犯罪分子可以像其他人一样使用大数据工具,而且他们积累了惊人的海量数据。请参阅一些 IT 专业人士对美国国会的证词https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/
谈到数据泄露,如果一家公司丢失了一些看起来像 Web 服务器日志这样看似无用的东西,这将包含当时使用该服务器的每个人的 IP 地址 v4 或 v6,以及他们访问了哪些页面。
总之,这些方法都不需要攻击者猜测您使用的 IP,他们已经知道了。
编辑:作为一个练习,我花了 2 分钟的时间浏览您的网站(从您的个人资料),尝试此处链接到其他地方的在线扫描工具之一,并使用 nslookup 进行了一些查看,发现了一些关于您的信息. 我猜您所说的其中一个晦涩的地址涉及
由于您发布的大多数其他 IPv6 地址都以 ::1 结尾。这仅来自您公开发布的信息,并带有 1 个微小的猜测。这是来自您要隐藏的 IP 吗?
编辑 2:再快速浏览一下,我看到您在您的网站上发布了您的电子邮件地址。检查https://haveibeenpwned.com/网站,了解该地址存在哪些数据泄露以及黑市上有哪些数据。我看到它一直在违规
查看电子邮件地址的用户名部分是否在其他一些流行的电子邮件提供商处使用,我发现还有更多数据。这将是机器人可以做出的另一个微小猜测。如果其中一些与已知的关于你的部分相关,那么机器人可以假设它就是你的全部,它不必确定,合理地可能就足够了。在这些违规行为中包含更多数据
当机器人在它的时候,它可以检查 facebook,它可以看到一个带有你名字的 facebook 页面与你的网站上的照片相同,现在它对你和你的朋友有了更多的了解。另外,我猜您列出的家庭成员是您的母亲,她列出了“您母亲的娘家姓”。从 facebook 它还可以验证哪个linkedin 个人资料是您的。
网上关于我们的信息比人们意识到的要多得多。大数据和机器学习分析是真实的,它现在就在这里,已经发布或在线泄露的大部分数据都可以关联和使用。您应该知道这一点,因为您列出了您在 2003-2007 年获得了 AI 和计算机科学学士学位。从那时起,事情已经取得了长足的进步,特别是随着谷歌在你的学位结束时发布的进展。人就是人,大多数人只会想从你那里获利,有些人会合理合法地使用数据,但其他人会以任何可能的方式使用它。
我对所有这一切的观点有两个方面,即我们发布的信息比我们认为的要多,而 DNS 的全部意义在于发布名称到 IP 地址的转换。
关于 AAAA 记录:
DNS 传统上是未加密的。虽然有一系列用于签署 DNS 的标准 (DNSSEC),但 DNS 记录的加密具有更加随意的部署过程,因此通常最安全的做法是假设任何 MitM 都可以读取您的所有 DNS 查询,除非您已经离开避免在客户端显式配置加密 DNS。如果你这样做了,你会知道的,因为这是一场考验。
(此外,在解析域之后,您的网络浏览器可能会在 TLS 握手中发送未加密的SNI。您将如何填补这个漏洞并不明显,因为 VPN 或 Tor 仍然可以在出口之间被 MitM'd节点或 VPN 终止点和远程服务器。Cloudflare的好人正在努力解决这个问题,但 ESNI 也将依赖于客户端实现,特别是对于Chrome,如果它真的要起步的话。)
但是,中间人攻击可能是也可能不是问题,具体取决于您的威胁模型。更重要的是DNS 名称旨在成为公共信息这一简单事实。许多人(搜索引擎、DNS 注册商等)出于完全良性的原因收集和公开 DNS 名称。DNS 解析器通常会应用速率限制,但这些限制通常非常慷慨,因为它们旨在阻止 DoS 攻击,而不是子域枚举。创建 HTTPS 证书通常涉及发布域名以供所有人查看,具体取决于 CA(Let's Encrypt会这样做,许多其他人也是如此)。在实践中,对域或子域保密是完全不可能的,因为几乎每个人都认为它们是公开的,并且不会努力隐藏它们。
所以,要回答这个问题:
从技术上讲,不,它没有。但这并不重要,因为大量的更高层技术只是假设您的 DNS 记录是公开的,因此它们将不可避免地公开。