Enumeració DNS

Conceptes #

  • A apunts DNS hi ha apunts especifics DNS que et poden servir per a repassar

Resum a recordar #

  • Jerarquia DNS / Espai de noms

  • Zona inversa (in-addr.arpa)

  • Tipus de servidors

    • Autoritatius
      • Mestres / esclaus / ocultsvolt 276 476 (stealth) --> Transferència de zona
      • Resposta autoritativa
    • No Autoritatius Cache(resolver recursiu) /resolvers
      • Resposta NO autoritativa

  • Consulta iterativa i recursiva

    • Exemplificar dig + trace

  • Registres https://en.wikipedia.org/wiki/List_of_DNS_record_types

    • A , AAAA, CNAME , NS, MX , PTR, SOA, TXT, SRV, ANY

Ports #

Protocol Port Notes
DNS (UDP) 53/udp Consultes estàndard; ràpid però susceptible a spoofing si no es valida.
DNS (TCP) 53/tcp Usat per rèpliques grans (AXFR) i per fallback de UDP quan la resposta és gran.
DNS ove TLS (DoT) 853/tcp Xifrat punt a punt; protegeix la confidencialitat de les consultes.
DNS over HTTPS (DoH) 443/tcp DNS sobre HTTPS; dificulta la inspecció i pot evadir controls locals si es fa servir resolvers externs.
mDNS / LLMNR 5353/UDP i altres Protocols de resolució local que poden ser abusats per spoofing en xarxes internes.

Enumeració #

Enumeració DNS interna i externa #

  • L'enumeració externa ja tractada amb altres eines a les primeres etapes fases de reconeixement (footprinting, passiu)
  • Situació: auditoria LAN/wifi o s'ha accedit desde fora a dins
    • Mirar la configuració del host per veure el servidor DNS / Cercar amb (nmap / sniffer) on es troba el DNS
    • Volcar la BD DNS

Procés d'enumeració #

  1. Trobar registres NS del domini --> A partir d'ara totes les consultes se li fan a aquest
  2. Demanar fer un transferència de zona amb -tAXFR (o muntar un secundari...)
  3. Preguntar per ANY per a que et mostri tots els registres
  4. Preguntar un a un pels tipus de registres
  5. Força bruta

Scripts nmap d'enumeració /reconeixement relacionats amb DNS #

Altres scripts #

DNSSEC (No aplica pq és desde fora) # 

- És un afegit a DNS no un protocol nou
- Per a un server cache res (o habilitar en tot cas)
- Afegeix firmes a les respostes
  - Per protegir la integritat
    - Corrupció de dades en trànsit
    - Spoofing de respostes
  - NO per protegir la confidencialitat
- Mecanismes per
  - validar autenticitat/ integritat
      - DNSKEY => DNS Public Key  (La clau pública)
      - RRSIG => Resource Record Signature (La firma de la zona)
      - NSEC ==> Next Secure
  - validar la cadena de confiança
      - DS => Delegation signature
                - Conté un hash de DNSKEY que se li pasa a qui fa la delegació)
  - Autentificar transferències de zona (TSIG)
- A https://dnsviz.net/ pots revisar la cadena de confiança

eines #

Eina Ús Comentaris pràctics
dig Consultes específiques, AXFR, SOA Base; sempre interpretar flags i resposta.
host / nslookup Alternativa similar nslookup útil quan es treballa en Windows.
amass Enumeració passiva + activa, correlació, grafos Recomanat per cobrir molt; amass enum -d example.com + config de sources.
subfinder Passiva ràpida Molt ràpid, bo per pipeline.
assetfinder Cerca de subdominis i assets Simplicitat, bona per punts de partida.
massdns Alta velocitat de resolució massiva Ideal per brute/resolució massiva amb wordlists.
dnsx (projectdiscovery) Resolució massiva i filtratge Integrable amb httpx/naabu.
dnsrecon Enumeració completa (AXFR, zonewalk, bruteforce) Té mòduls per diferents proves.
dnsenum Bruteforce, AXFR, whois Tradicional i fiable.
fierce Buscar subdominis i escanejar /24 Pensa en situacions de migració i hostings.
crt.sh Cert logs passius Molt útil per descobrir subdominis delegats i staging.
Shodan / Censys Trobar serveis exposats per IP/port Correlacionar IPs que tenen serveis HTTP/SMTP/etc.
nmap (NSE scripts) Fingerprint de servidor DNS i detecció d’AXFR --script=dns-* útil per detecting misconfigurations.

Amenaçes #

Amenaçes #

Amb el que saps ets capaç de dissenyar algún atac utilitzant com a base o objectiu DNS?

Els atacs #

Transferència de zona #

  • Tècnica: sol·licitar AXFR al nameserver autoritatiu. Si està mal configurat, obtindràs tots els registres.
  • Signes: AXFR success amb centenars/ milers de registres; SOA.serial comparat amb historic.
  • Detecció: IDS alertant requests AXFR des d’IPs no secundaries, logs en NS amb AXFR to unknown IP.
  • Mitigació: TSIG per autenticar, IP allowlist per transferències, deshabilitar AXFR si no necessari.

DNS cache poisoning #

  • Tècnica: Davant d'una petició de resolució recursiva bombardejar amb respostes amb diferent ID
  • Signes: discrepàncies entre autoritatiu i resolvers, usuaris reportant redireccions.
  • Detecció: monitoratge de canvis en A/MX comparant autoritatius vs resolvers; alertes de mismatch.
  • Mitigació: DNSSEC, validar a resolvers, mantenir software actualitzat.

DNS spoofing #

  • Técnica: Suplantació DNS
  • Signes:canvi en el destí de les peticions DNS
  • Detecció: monitoratge
  • Mitigació: DNSSEC, fer passar les peticions DNS per un filtre(firewall, IPS) que pugui decidir cap a quin destí es poden passar les peticions DNS

Intercepció de dades #

DOS #

  • Tècnica: Demanar consultes grans (ANY o TXT per exemple) falsejant la IP origen i enviant-la a resolvers públics diferents que facin ells les peticions al DNS victima
  • Signes: volum inusual de consultes UDP 53, múltiples IPs spoofed.
  • Detecció: telemetria de xarxa, IDS/IPS; logs dels resolvers mostrant volum elevat o consultes repetides.
  • Mitigació: no exposar resolvers recursius públics; implementar RRL (Response Rate Limiting) i rate-limits a firewall.

Segrest (hijacking) de domini #

  • Tècnica: comprometre compte de registrar o provider i canviar NS / A / MX.
  • Signes: canvis de NS, certs TS mismatch, augment d’errrors d’email, alerts de CT logs.
  • Detecció: monitorar canvis de NS / WHOIS, alertes per canvis d’SOA/NS, controlar CT logs per nous certs.
  • Mitigació: 2FA/Hardware token a registrar, registrar lock (transfer lock), monitoratge continu

DNS tunneling (exfiltració / C2) #

  • Tècnica: encapsular dades dins de subdominis (labels) o respostes TXT, utilitzar resolvers externs per exfiltrar.
  • Signes: grans quantitats de consultes a subdominis aleatoris, etiquetes amb molta informació, consultes TXT inusuals.
  • Detecció: analitzar long label length, ratio de consultes per host, heurístiques d’entropia, correlació amb processos.
  • Mitigació: filtrar consultes a domini no autoritzats, inspeccionar DNS a proxy/recursive resolver, bloquejar resolvers públics no controlats.

Les mitigacions #

Quasi tot es mitiga amb DNSSEC, redundancia i establir rols diferents per a cada servidor DNS + limitar (qui pot consultar, a qui es pot transferir)
  • Fer un mApa DNS fortificat a la pissarra.

TSIG #

  • TSIG (Transaction SIGnature) usa claus simètriques per signar AXFR/IXFR.
  • Implementació: generar claus segures, configurar a tots els servidors mestre/secundari i rotar periòdicament.

DNSSEC #

  • DNSSEC firma zones amb claus asimètriques i permet la validació per part dels resolvers.

  • Consideracions: claus KSK/ZSK, rotació segura, gestió de delegations (DS records al registrar), testing progressiu (staging).

Recuperació i control d’accés #

  • Registrar amb 2FA, contact locks i emails de seguretat.

-Desplegar control d’accés per IP a panells DNS (RBAC).

D

Operacions i monitoring #

  • Monitoritzar SOA.serial per canvis inesperats.

  • Alertes per canvis en NS/MX/A que no siguin aprovats.

  • Validació periòdica (daily) de signatures DNSSEC i integritat.