संभावित हमलावरों द्वारा IPv6 पते और AAAA नाम कैसे खोजे जा सकते हैं?

एसएसएच और एसएमटीपी जैसी सेवाओं के लिए सामान्य उपयोगकर्ता नाम / पासवर्ड की कोशिश करने वाले प्रत्येक दिन मामूली हैकिंग के प्रयासों को प्राप्त करने के लिए यह काफी मानक है। मुझे हमेशा लगता है कि ये प्रयास IP पते का अनुमान लगाने के लिए IPv4 के "छोटे" पते स्थान का उपयोग कर रहे हैं। मुझे लगता है कि मुझे अपने डोमेन के AAA नाम रिकॉर्ड होने के बावजूद IPv6 पर शून्य हैकिंग के प्रयास मिलते हैं, जो प्रत्येक A रिकॉर्ड को मिरर कर रहा है और सभी IPv4 सेवाएँ IPv6 के लिए भी खुली हैं।

यथोचित यादृच्छिक / 64 प्रत्यय की ओर इशारा करते हुए अस्पष्ट उपडोमेन के साथ सार्वजनिक DNS (AWS मार्ग 53) को मान लेना; क्या IPv6 के पते और / सबडोमेन दूर-दूर तक खोजा जा सकता है, जो प्रत्येक पते को / 64 बिट उपसर्ग या हर उप-डोमेन में सामान्य नामों की एक लंबी सूची में आज़माए बिना है?

मैं निश्चित रूप से जानता हूं कि सूचीबद्ध (उप) डोमेन नामों की तलाश में वेब को क्रॉल करना काफी सरल है। मुझे यह भी पता है कि एक ही सबनेट पर मशीनें एनडीपी का उपयोग कर सकती हैं। मुझे अधिक दिलचस्पी है कि क्या DNS या IPv6 के अंतर्निहित प्रोटोकॉल अज्ञात डोमेन और पते को दूरस्थ रूप से खोजने / सूचीबद्ध करने की अनुमति देते हैं।

दुर्भावनापूर्ण बॉट IPv4 पतों का अनुमान नहीं लगाते हैं। वे बस उन सभी की कोशिश करते हैं। आधुनिक प्रणालियों में यह कुछ घंटों के रूप में कम ले सकता है।

IPv6 के साथ, यह वास्तव में अब संभव नहीं है, जैसा कि आपने surmised किया है। पता स्थान इतना बड़ा है कि मानव जीवन के भीतर एकल / 64 सबनेट को स्कैन करना भी संभव नहीं है।

बॉट्स को अधिक रचनात्मक प्राप्त करना होगा यदि वे आईपीवी 4 पर आईपीवी 6 पर अंधा स्कैनिंग जारी रखना चाहते हैं, और दुर्भावनापूर्ण बॉट ऑपरेटरों को किसी भी मशीन को खोजने के बीच लंबे समय तक इंतजार करने का आदी होना होगा, अकेले कमजोर लोगों को।

सौभाग्य से बुरे लोगों के लिए और दुर्भाग्य से हर किसी के लिए, IPv6 को अपनाने से बहुत धीरे-धीरे चला गया है जो वास्तव में होना चाहिए। IPv6 23 वर्ष का है, लेकिन पिछले पांच वर्षों में केवल महत्वपूर्ण गोद लिया है। लेकिन हर कोई अपने IPv4 नेटवर्क को सक्रिय बनाए हुए है, और बहुत कम होस्ट IPv6-only हैं, इसलिए दुर्भावनापूर्ण बॉट ऑपरेटरों को स्विच बनाने के लिए बहुत कम प्रोत्साहन मिला है। वे शायद तब तक नहीं करेंगे, जब तक कि आईपीवी 4 का एक महत्वपूर्ण परित्याग नहीं हो जाता है, जो शायद अगले पांच वर्षों में नहीं होगा।

मुझे उम्मीद है कि अंधे अनुमान लगाने से दुर्भावनापूर्ण बॉट्स के लिए उत्पादक नहीं होगा, जब वे अंततः आईपीवी 6 में चले जाते हैं, इसलिए उन्हें अन्य साधनों की ओर बढ़ना होगा, जैसे कि ब्रूट-फोर्सिंग डीएनएस नाम, या टारगेट ब्रूट-फोर्सिंग ऑफ स्मॉल सब्सेट्स प्रत्येक सबनेट।

उदाहरण के लिए, एक सामान्य डीएचसीपीवी 6 सर्वर कॉन्फ़िगरेशन डिफ़ॉल्ट रूप ::100से अंदर के पते देता है ::1ff। कोशिश करने के लिए यह केवल 256 पते हैं, संपूर्ण / 64 में से। एक बहुत बड़ी सीमा से पते लेने के लिए DHCPv6 सर्वर को पुन: कॉन्फ़िगर करने से यह समस्या कम हो जाती है।

और SLAAC के लिए संशोधित EUI-64 पतों का उपयोग करने से असाइन किए गए OUI की संख्या से खोज स्थान घटकर 2 ^{24 हो} जाता है। जबकि यह 100 बिलियन से अधिक का पता है, यह 2 ⁶⁴ से कम है । यादृच्छिक बॉट इस स्थान को खोजने के लिए परेशान नहीं करेंगे, लेकिन लक्षित हमलों के लिए, राज्य स्तर के दुर्भावनापूर्ण अभिनेता, खासकर यदि वे शिक्षित अनुमान लगा सकते हैं कि एनआईसी का उपयोग किस तरह हो सकता है, ताकि खोज स्थान को और कम किया जा सके। SLAAC के लिए RFC 7217 स्थिर गोपनीयता पते का उपयोग करना आसान है (कम से कम आधुनिक ऑपरेटिंग सिस्टम जो इसका समर्थन करते हैं) और इस जोखिम को कम करता है।

RFC 7707 IPv6 नेटवर्क में IPv6 पतों का पता लगाने के लिए और उन खतरों के खिलाफ कम करने के लिए आईपीओ 6 नेटवर्क में कई अन्य तरीकों का वर्णन कर सकता है।

मैंने पाया है कि इन दिनों MANY बॉट IPv4 या IPv6 के साथ अनुमान नहीं लगा रहे हैं। अश्लीलता के माध्यम से सुरक्षा बिल्कुल भी सुरक्षा नहीं है। अस्पष्टता बस कुछ समय के लिए हमलों की संख्या को कम / कम कर देती है, और फिर यह अप्रासंगिक है।

हैकर्स आपकी वेबसाइट या ईमेल पते से आपकी कंपनी का डोमेन नाम जानते हैं, ईमेल, एसपीएफ, वेब सर्वर आदि जैसी चीजों के लिए आप किस सार्वजनिक सर्वर के आईपी को प्रकाशित करते हैं, हालांकि यह एक यादृच्छिक सर्वर नाम सीखने में उन्हें थोड़ा अधिक समय लग सकता है, लेकिन वे अनुमान लगाएंगे सामान्य नाम, जैसे www, मेल, smtp, imap, pop, pop3, ns1, आदि, और फिर अपनी वेबसाइट को किसी भी अतिरिक्त डेटा के लिए परिमार्जन करें, जो वे पा सकते हैं। वे अपने DNS नाम, आईपी और क्या पोर्ट पर ध्यान केंद्रित करने के लिए पिछले स्कैन की अपनी दुकान से प्राप्त करेंगे। वे किसी भी डेटा उल्लंघनों से ईमेल पते / पासवर्ड जोड़े की एक सूची भी प्राप्त कर सकते हैं जो उन सभी लॉगिन और कुछ अतिरिक्त लोगों के साथ आज़मा सकते हैं जो भी वे सोचते हैं कि आप अपने बंदरगाहों पर चल रहे हैं। यहां तक ​​कि वे अपने कर्मचारियों के नाम और नौकरी की भूमिका सीखने की सीमा तक जाते हैं और सामाजिक इंजीनियर हमले की कोशिश करते हैं। हमारे स्पैम फ़िल्टर को लगातार स्कैमर्स द्वारा किए गए प्रयासों के साथ बमबारी किया जाता है, जो प्रबंधन से किसी को धन के तत्काल तार हस्तांतरण की आवश्यकता होती है। ओह, वे यह भी सीखते हैं कि आपके व्यवसाय के साथी कौन हैं और उनके होने का दावा करते हैं, और आपको बताते हैं कि उनके बैंक विवरण बदल गए हैं। कभी-कभी उन्हें यह भी पता होता है कि आपके व्यापारिक साझेदार अपने चालान के लिए कौन से क्लाउड प्लेटफ़ॉर्म का उपयोग कर रहे हैं।

अपराधियों के पास बड़े डेटा टूल तक पहुंच सभी के लिए समान है, और उन्होंने आश्चर्यजनक रूप से बड़ी मात्रा में डेटा एकत्र किया है। कुछ आईटी पेशेवरों द्वारा अमेरिकी कांग्रेस के लिए इस गवाही को देखें https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

डेटा उल्लंघनों के बारे में बात करते हुए, यदि कोई कंपनी वेब सर्वर लॉग के रूप में बेकार प्रतीत होती है, तो भी कुछ खो देती है, इसमें उस समय के सभी लोगों के आईपी पते v4 या v6 शामिल होंगे, और वे कौन से पेज एक्सेस करते हैं।

अंत में, उन तरीकों में से किसी को भी यह पता लगाने के लिए हमलावर की आवश्यकता नहीं है कि आप किस आईपी का उपयोग कर रहे हैं, वे पहले से ही जानते हैं।

संपादित करें : एक अभ्यास के रूप में मैंने 2 मिनट बिताए, जो आपकी साइट (आपकी प्रोफ़ाइल से) ब्राउज़ करने में बिताए गए हैं, यहाँ से जुड़े ऑनलाइन स्कैन टूल में से एक को आज़मा रहे हैं, और nslookup के साथ थोड़ा सा नज़र आया और आपके बारे में कुछ बातें पता लगाईं । मैं अनुमान लगा रहा हूं कि आप जिन अस्पष्ट पतों के बारे में बात कर रहे हैं उनमें से एक शामिल है

• आपके द्वारा प्रकाशित एक ग्रह के समान एक ग्रह का नाम
• freeddns
• और एक IPv6 पता जो 2e85 के साथ समाप्त होता है: eb7a
• और यह ssh चलाता है

आपके अन्य प्रकाशित IPv6 पतों में से अधिकांश :: 1 के साथ समाप्त होते हैं। यह केवल उस जानकारी से है जिसे आप 1 छोटे अनुमान के साथ सार्वजनिक रूप से प्रकाशित करते हैं। क्या यह उस आईपी से है जिसे आप छिपाना चाहते थे?

संपादित करें 2 : एक और त्वरित रूप, मैं देखता हूं कि आप अपनी वेबसाइट पर अपना ईमेल पता प्रकाशित करते हैं। Https://haveibeenpwned.com/ साइट की जांच कर रहा है कि उस पते पर कौन से डेटा ब्रीच हुए हैं और ब्लैक मार्केट में क्या डेटा है। मैं देखता हूं कि यह उल्लंघनों में है

• एडोब ब्रीच अक्टूबर 2013: संकलित डेटा: ईमेल पते, पासवर्ड संकेत, पासवर्ड, उपयोगकर्ता नाम
• MyFitnessPal: फरवरी 2018 में समझौता किए गए डेटा: ईमेल पते, आईपी पते, पासवर्ड, उपयोगकर्ता नाम
• माइस्पेस: लगभग 2008 में संकलित डेटा: ईमेल पते, पासवर्ड, उपयोगकर्ता नाम
• PHP फ्रीक: अक्टूबर 2015 में संकलित डेटा: जन्म तिथि, ईमेल पते, आईपी पते, पासवर्ड, उपयोगकर्ता नाम, वेबसाइट गतिविधि
• QuinStreet: लगभग देर से 2015 में समझौता किया गया डेटा: जन्म तिथि, ईमेल पते, आईपी पते, पासवर्ड, उपयोगकर्ता नाम, वेबसाइट गतिविधि

यह देखकर कि यदि ईमेल पते का उपयोगकर्ता नाम कुछ अन्य लोकप्रिय ईमेल प्रदाताओं में उपयोग किया जाता है, तो मुझे लगता है कि बहुत अधिक डेटा है। यह एक और छोटा अनुमान होगा जो एक बॉट कर सकता है। यदि इसमें से कुछ उस हिस्से के साथ संबंध रखता है जो पहले से ही आपके बारे में जाना जाता है तो बॉट मान सकता है कि यह आप सभी हैं, यह निश्चित होना जरूरी नहीं है, यथोचित संभावना पर्याप्त है। इन उल्लंघनों में अतिरिक्त डेटा के साथ

• Verifications.io: फरवरी 2019 में संकलित डेटा: जन्म तिथि, ईमेल पते, नियोक्ता, लिंग, भौगोलिक स्थान, आईपी पते, नौकरी के शीर्षक, नाम, फोन नंबर, भौतिक पते
• रिवर सिटी मीडिया स्पैम सूची जनवरी 2017 में संकलित डेटा: ईमेल पते, आईपी पते, नाम, भौतिक पते
• अपोलो: जुलाई 2018 में, बिक्री जुड़ाव स्टार्टअप समझौता किया गया डेटा: ईमेल पते, नियोक्ता, भौगोलिक स्थान, नौकरी के शीर्षक, नाम, फोन नंबर, सैल्यूटेशन, सोशल मीडिया प्रोफाइल
• 2017 के मध्य में बी 2 बी यूएसए व्यापार समझौता डेटा: ईमेल पते, नियोक्ता, नौकरी के शीर्षक, नाम, फोन नंबर, भौतिक पते
• बिटली: मई 2014 में संकलित डेटा: ईमेल पते, पासवर्ड, उपयोगकर्ता नाम
• संग्रह # 1 (असत्यापित): जनवरी 2019 में, क्रेडेंशियल स्टफिंग सूचियों का एक बड़ा संग्रह (अन्य सेवाओं पर खातों को अपहृत करने के लिए उपयोग किए गए ईमेल पते और पासवर्ड का संयोजन) एक लोकप्रिय हैकिंग फोरम पर वितरित किया गया था
• ड्रॉपबॉक्स: 2012 के मध्य में संकलित डेटा: ईमेल पते, पासवर्ड
• एक्सप्लॉइट.इन (असत्यापित): 2016 के उत्तरार्ध में, ईमेल पते और पासवर्ड जोड़े की एक बड़ी सूची "एक्सप्लॉइट.इन" के रूप में संदर्भित एक "कॉम्बो सूची" में दिखाई दी।
• HauteLook: 2018 के मध्य में संकलित डेटा: जन्म तिथि, ईमेल पते, लिंग, भौगोलिक स्थान, नाम, पासवर्ड
• पेमीब्लैंक (असत्यापित): अप्रैल 2018 में, एक क्रेडेंशियल स्टफिंग सूची जिसमें 111 मिलियन ईमेल पते और पासवर्ड थे जिन्हें पेमाइलांक के रूप में जाना जाता था, एक फ्रांसीसी सर्वर पर खोजा गया था।
• ShareThis: जुलाई 2018 में समझौता किए गए डेटा: जन्म तिथि, ईमेल पते, नाम, पासवर्ड
• टिकटवर्क: मई 2018 में समझौता किए गए डेटा: ईमेल पते, नाम, फोन नंबर, भौतिक पते

जबकि बॉट इस पर है, यह फेसबुक की जांच कर सकता है और यह देख सकता है कि आपके नाम के साथ फेसबुक पेज में से एक में आपकी वेबसाइट पर एक ही फोटो है, और अब यह आपके और आपके दोस्तों के बारे में कुछ और जानता है। साथ ही मैं अनुमान लगा रहा हूं कि आप जिस परिवार की सदस्य हैं, वह आपकी मां है, जो "आपकी मां का पहला नाम" सूचीबद्ध करती है। फ़ेसबुक से यह भी सत्यापित किया जा सकता है कि कौन सी लिंक्डइन प्रोफ़ाइल आपकी है।

लोगों को एहसास होने की तुलना में हमारे बारे में बहुत अधिक जानकारी ऑनलाइन है। बिग डेटा और मशीन लर्निंग विश्लेषण वास्तविक है, यह अब यहाँ है और ऑनलाइन पोस्ट या लीक किए गए अधिकांश डेटा सहसंबद्ध और उपयोग किए जा सकते हैं। जिसे आपको पता होना चाहिए, जैसा कि आप सूचीबद्ध करते हैं कि आपने 2003-2007 में AI और कंप्यूटर विज्ञान में स्नातक की डिग्री प्राप्त की है। तब से चीजें बहुत आगे बढ़ चुकी हैं, विशेषकर उन अग्रिमों के साथ जो Google आपकी डिग्री के अंत की ओर से प्रकाशित कर रहा था। लोगों के लोग होने के नाते, अधिकांश केवल आपसे लाभ की तलाश कर रहे होंगे, कुछ डेटा का उचित और कानूनी रूप से उपयोग कर रहे हैं, लेकिन अन्य इसे किसी भी तरह से उपयोग करेंगे।

इस सब के साथ मेरा बिंदु दो गुना है, कि हम जितना सोचते हैं उससे अधिक जानकारी प्रकाशित करते हैं, और DNS का पूरा बिंदु आईपी पते में नामों के रूपांतरण को प्रकाशित करना है।

AAAA रिकॉर्ड के बारे में:

DNS पारंपरिक रूप से अनएन्क्रिप्टेड है। जबकि डीएनएस पर हस्ताक्षर करने के लिए मानकों (DNSSEC) का एक परिवार है, DNS रिकॉर्ड्स के एन्क्रिप्शन में अधिक तैनाती की प्रक्रिया है, और इसलिए यह आम तौर पर यह मान लेना सबसे सुरक्षित है कि कोई भी मित्र आपके सभी DNS प्रश्नों को तब तक पढ़ सकता है जब तक आप नहीं गए हैं। एन्क्रिप्टेड DNS को कॉन्फ़िगर करने के लिए अपने तरीके से स्पष्ट रूप से क्लाइंट की तरफ। आपको पता होगा कि क्या आपने ऐसा किया है क्योंकि यह काफी कठिन है ।

(इसके अलावा, आपका वेब ब्राउज़र शायद TLS हैंडशेक में अनएन्क्रिप्टेड एसएनआई भेज रहा है , क्योंकि उसने डोमेन को हल कर दिया है। यह स्पष्ट नहीं है कि आप इस छेद को प्लग करने के बारे में कैसे जाएंगे, क्योंकि वीपीएन या टॉर अभी भी बाहर निकलने के बीच मिट्मिड हो सकता है। नोड या वीपीएन समाप्ति बिंदु और दूरस्थ सर्वर। क्लाउडफ़ेयर के अच्छे लोग इस समस्या को अच्छे के लिए ठीक करने पर काम कर रहे हैं, लेकिन ईएसएनआई ग्राहक के कार्यान्वयन पर भी निर्भर करेगा, खासकर क्रोम के लिए , अगर यह वास्तव में जमीन से हटने वाला है।)

हालाँकि, आपके खतरे के मॉडल के आधार पर, मित्म हमला या कोई समस्या नहीं हो सकती है। अधिक महत्वपूर्ण साधारण तथ्य यह है कि DNS नामों का उद्देश्य सार्वजनिक जानकारी होना है। बहुत से लोग (खोज इंजन, DNS रजिस्ट्रार, आदि) पूरी तरह से सौम्य कारणों के लिए DNS नामों को इकट्ठा और प्रचारित करते हैं। डीएनएस रिसोल्वर आमतौर पर दर सीमा लागू करते हैं, लेकिन ये सीमाएं आमतौर पर काफी उदार होती हैं, क्योंकि वे डीओएस हमलों को रोकने के लिए होती हैं, न कि उपडोमेन एन्यूमरेशन। HTTPS सर्टिफिकेट बनाने में अक्सर CA के आधार पर देखने के लिए सभी के लिए डोमेन नाम प्रकाशित करना शामिल है ( चलो एनक्रिप्ट यह करता है , और इसी तरह कई अन्य करते हैं)। व्यवहार में, किसी डोमेन या उपडोमेन को गुप्त रखना काफी असंभव है, क्योंकि हर कोई मानता है कि वे सार्वजनिक हैं और उन्हें छिपाने का कोई प्रयास नहीं करता है।

तो, इस सवाल का जवाब देने के लिए:

मुझे इस बात में अधिक दिलचस्पी है कि क्या DNS या IPv6 के अंतर्निहित प्रोटोकॉल अज्ञात डोमेन और पते को दूरस्थ रूप से खोजने / सूचीबद्ध करने की अनुमति देते हैं ।

तकनीकी रूप से, नहीं, यह नहीं है। लेकिन इससे कोई फर्क नहीं पड़ता क्योंकि उच्च-परत प्रौद्योगिकी की एक विशाल मात्रा मानती है कि आपके DNS रिकॉर्ड सार्वजनिक हैं, इसलिए सार्वजनिक रूप से वे अनिवार्य रूप से होंगे।