P

o napisaniu podstaw bezpieczeństwa DNS zastanawiałem się, jaka jest skala problemu źle skonfigurowanych serwerów, które pozwalają na ściągnięcie całej strefy lub wykonywanie zapytań dowolnemu klientowi. Duch patryjotyzmu namawiał mnie na sprawdzenie TLD .pl, zarządzaną przez NASK. Niestety, jak zawsze polski dwór zakończył nadzieję na czwartej wymianie zdania. Dialog wyglądał tak:

– Czy istnieje możliwość otrzymania od Państwa listy wszystkich dotychczas zarejestrowanych domen .pl?
– NASK nie udostępnia tego typu informacji.
– A orientują się Państwo do jakiego organu można zwrócić się w tej sprawie?
– Te dane posiada tylko NASK.

Nie chciało mi się już próbować, czy aby jednak istnieje taka możliwość poprzez CZDS. Rozważałem już przerzucić się na zagraniczne banany, ale z pomocą przyszedł portal, który stanowi swoiste źródło wiedzy o ruchu w Internecie. Okazuje się, że Alexa bez żadnych zbędnych formalności udostępnia milion najczęściej odwiedzanych stron. To stanowi już jakąś próbkę, którą można poddać testom.

Lista domen jest w formacie CSV, więc idealnie nadaje się do obróbki za pomocą dowolnego skryptu. Po usunięciu liczb porządkowych (cat top-1m.csv | sed 's/[0-9]*,//' > top-1m.txt) przyszedł czas na pierwszy test transferu domen (AXFR). W tym celu wykorzystałem już istniejący skrypt. Aby uzyskać przyśpieszenie testu podzieliłem plik na dwie równe części (split -l 500000 top-1m.txt) i zmusiłem RPi2 do pracy w dzień i w nocy:

python3 axfr-test.py -i xaa -o zones.txt -l alexia.log -p 3
python3 axfr-test.py -i xab -o zones2.txt -l alexia2.log -p 3

Zanim przejdziemy do wyników tego testu spójrzmy z jaką ilością poszczególnych domen TLD (top 100) się mierzyliśmy. Usuńmy wszystkie znaki do ostatniej kropki (sed 's/^.*\././') i policzmy te same wstąpienia:

#!/usr/bin/env python
import collections
data = [line.rstrip('\n') for line in open("top-1m.txt")]
stats = collections.Counter(data)
for k, v in stats.iteritems():
    print str(k)+","+str(v)

Dane zapisujemy ponownie w formacie CSV i importujemy je do arkuszu, sortujemy i konwertujemy do tabeli HTML. Oto wyniki:

Pełną listę domen TLD można pobrać tutaj.

Z logów skryptu axfr-test.py do transferu plików stref wyciągnijmy ile zostało wykrytych cieknących domen oraz ile obsługujących je serwerów DNS:

root@erpi2:~# cat alexia.log alexia2.log > cumulative.log
root@erpi2:~# grep -c "Success" cumulative.log > clean.txt
root@erpi2:~# cat clean.txt | sed 's/.*@ //' | uniq | wc -l
105572
root@erpi2:~# grep "Success" cumulative.log | sed 's/ @.*//' | uniq | wc -l
61046

Liczba serwerów DNS, która pozwoliła mi na pełny transfer strefy wynosi 105.572 tysięcy (10.5%) – sprowadzając to do poziomu domen liczba ta spada do wartości 61.046 tysięcy (6.1%). Nie muszę chyba przypominać, że uzyskanie dostępu do całej strefy DNS danej domeny to tak, jak zadzwonienie do recepcji danej firmy i poproszenie sekretarki, aby podała numery telefonów do wszystkich działów – wymieniając przy tym jeszcze nazwy tych działów bo ich też nie znamy. Miła pani nie potwierdzając naszych uprawnień do tych informacji dodatkowo zdradza znam przy okazji, który dział jest nad jakim i od jakiego zależy. Nie trzeba skanować, zgadywać, knuć. Tylko planować uderzenie. Bez problemu w strefach mogłem znaleźć informacje o standardowych usługach i ich adresach:

– usługi wymiany plików (ftp, webupload, webdisk),
– wersje demonstracyjne webaplikacji dla potencjalnych klientów (demo-*),
– wersje developerskie usług (dev-*, test-*),
– systemy do monitoringu serwerów (munin, nagios, sentry),
– panele administracyjne (admin*, webmail, manager, cpanel, whm),
– systemy do dokumentacji (wiki, sphinx, rtd),
– systemy do code review oraz rozproszone systemy plików (git, svn, gerrit, fisheye),
– systemy do analizy logów (elasticsearch-head, kibana),
– rodzaje stosowanych komunikatorów (lync, hipchat, msn, xmpp, skype),
– i wiele innych mówiących same za siebie (jira, outlook, vpn, zimbra).

Ogólnie z transferu wszystkich podatnych domen zebrało się 186 MB danych gotowych do dalszej analizy. Jednak to nie wszystko. Jeśli spojrzymy na ten przypadek z poziomu serwera DNS to możemy uzyskać znacznie więcej informacji. Skoro odkryliśmy adres serwera umożliwiającego bezkarny transfer strefy jednej domeny to istnieje bardzo duże prawdopodobieństwo, że jego nieprawidłowa konfiguracja pozwala na to samo dla dowolnej innej domeny, którą obsługuje. Jak sprawdzić jakie inne domeny obsługuje dany serwer DNS? Wiele serwisów oferuje przeszukiwanie różnych swoich baz.

Przejdźmy do drugiej części testu, czyli wyszukaniu serwerów typu open resolver i sprawdźmy ile serwerów byśmy mogli wykorzystać np. do ataku dns amplification. W tym celu na podstawie AXFR-Test na szybko zmontowałem skrypt recurser.py:

#!/usr/bin/python3

import sys
import dns.resolver


def check_ns(domain):
    nslist = []
    domain = domain.strip()
    try:
        nsq = dns.resolver.query(domain, "NS")
        for ns in nsq.rrset:
            nserver = str(ns)[:-1]
            if nserver is None or nserver == "":
                continue
            else:
                nslist.append(nserver)
    except Exception as e:
        pass
    if not nslist:
        pass
    else:
        print("---")
        print("Checking: " + domain + " with NS servers:", nslist)
        resolve_ns(nslist)


def resolve_ns(nslist):
    iplist = []
    rns = dns.resolver.Resolver()
    for ns in nslist:
        try:
            nsip = rns.query(ns, "A")
            for rdata in nsip:
                print("NS: " + ns + " have IP: " + rdata.address)
                iplist.append(rdata.address)
        except Exception as e:
            pass
    if not iplist:
        pass
    else:
        check_recurse(iplist)


def check_recurse(iplist):
    for ip in iplist:
        try:
            rns = dns.resolver.Resolver(configure=False)
            rns.timeout = 2
            rns.lifetime = 5
            rns.nameservers = [ip]
            check = rns.query("nfsec.pl", "A")
            for rdata in check:
                print("Knocking to: " + ip + " = OpenResolver?")
                print(rdata)
        except dns.resolver.NoNameservers:
            print("Knocking to: " + ip + " = ClosedResolver!")
        except dns.resolver.NoAnswer:
            print("Knocking to: " + ip + " = SilenceOnTheWire!")
        except Exception as e:
            pass
    print("---")


if __name__ == '__main__':
    if len(sys.argv) < = 1:
        print("Usage: " + sys.argv[0] + " domain.com")
    else:
        check_ns(sys.argv[1])

Obliczmy ile serwerów rozwiązało domenę nfsec.pl i zwróciło jej prawidłowy adres IP (wiele serwerów DNS odpowiada na zewnętrzne zapytania o inne domeny, ale zwraca adres IP serwera www typu catch-all w ten sposób przekierowując użytkownika na strony z podstawionymi treściami):

for i in `cat top-1m.txt`; do python3 recurser.py $i 2>&1 >> openresolvers.log; done
grep -B 1 '37.187.104.217' openresolvers.log | grep -v "\--" > clean.txt
grep 'OpenResolver?' clean.txt | uniq | wc -l
49519

Razem wyszło 49.519 tysięcy (4.95%) otwartych serwerów, co daje już mały botnet do przeprowadzania ataków. Skoro zebraliśmy już te wszystkie dane wygenerujmy listę top 100 najczęściej używanych serwerów DNS z wszystkich domen, które odpowiedziały na zapytania i zwróciły nam ich listę:

grep '\[' openresolvers.log | sed 's/.*\[/[/' > topdns.txt

#!/usr/bin/env python
import collections
import ast

topdns = []
for line in open("topdns.txt"):
    line = ast.literal_eval(line)
    topdns.extend(line)

stats = collections.Counter(topdns)
for k, v in stats.iteritems():
    print str(k)+","+str(v)

Analogicznie – dane za pomocą przekierowania strumienia zapisujemy ponownie w formacie CSV, importujemy je do arkuszu, sortujemy i konwertujemy do tabeli HTML. Oto wyniki:

Pełną listę popularności serwerów znajdziemy tutaj.

Czy około od 5% do 10% “wadliwych” konfiguracji serwerów DNS na 1 milion domen to dużo, czy mało? Pozostawiam do oceny Czytelnikowi.

Więcej informacji: List of Internet top-level domains, How to Download a List of All Registered Domain Names