Day 3

前兩篇文章我們已經設定好環境，並更深入了解前後端的概念。現在，我們繼續拆解，當我們面對一個網站時，還會發現哪些架構呢？

以我們的 nodelab.feifei.tw 為例，上一篇提到了域名和子域名的概念，接下來針對域名進行詳細說明。

域名的存在是為了讓我們更容易記住並找到所需的資源，其背後對應著一組 IP 位址。

在討論域名前，先來了解一下 IP 位址的概念。

什麼是 IP 位址

IP 位址（Internet Protocol Address）是指派給網路上每個設備的獨特數字識別碼。其主要功能包括：

1. 識別設備：在網路中唯一標識一台電腦或設備。
2. 定位設備：協助資料封包在網路中找到正確的目標設備。

前兩篇提到的 HTTP 所傳送的內容，就是封包。

IP 位址的類型

1. IPv4（Internet Protocol version 4）

   • 格式：由四組數字組成，每組數字介於 0-255 之間，用點號分隔。
   • 範例：192.168.1.1
   • 總數：約 43 億個獨特位址。

2. IPv6（Internet Protocol version 6）

   • 格式：由八組四位十六進位數組成，用冒號分隔。
   • 範例：2001:0db8:85a3:0000:0000:8a2e:0370:7334
   • 總數：約 340 無量大數 個獨特位址（遠多於 IPv4）。

IP 位址的重要性

1. 網路通訊：所有的網路通訊都依賴 IP 位址來識別來源和目標。
2. 路由：IP 位址用於決定資料封包應該如何在網路中傳輸。
3. 網路設定：IP 位址是設定網路設備（如路由器、伺服器）的關鍵部分。

為什麼需要域名？

雖然 IP 位址對網路通訊至關重要，但它們不容易被人記住和使用。

這就是我們需要域名系統（DNS，Domain Name System）的原因：

1. 容易記憶：域名（如 www.example.com）比 IP 位址（如 203.0.113.1）更容易記住。
2. 靈活性：域名允許網站在不改變其公開位址的情況下更換 IP 位址。
3. 虛擬主機：多個網站可以共用同一個 IP 位址，透過不同的域名來區分。
4. 負載平衡：一個域名可以對應多個 IP 位址，用於分散流量。
5. 品牌識別：域名可以包含公司名稱或品牌，提高辨識度。

IP 位址和域名的關係

• DNS 伺服器負責將域名轉換為相應的 IP 位址。
• 當你在瀏覽器中輸入一個域名時，你的設備會查詢 DNS 伺服器來獲取對應的 IP 位址。
• 取得 IP 位址後，我們的設備才能與目標伺服器建立連線。

在 Windows 和 Linux 系統中，都可以使用以下指令：

nslookup nodelab.feifei.tw

網站安全與域名的關係

在進行網站安全滲透測試時，域名往往是獲取目標資訊的重要起點。

透過對域名的深入分析，可以取得大量資訊。

子域名列舉

許多企業會為不同的服務或部門使用不同的子域名。

像 Sublist3r、Amass 等工具可用於自動化子域名發現。

測試環境（如 test.example.com）往往安全措施較弱，是潛在的突破口。

許多工程師為了測試網站，也會將測試伺服器的 IP 對應到 test 或 testweb 這種子域名。

線上工具可能會使用 DNSDumpster.com 來檢查對應的資訊。

輸入對應的「主要域名」就可以透過該工具查詢相關資訊。

DNS 伺服器

DNS 伺服器有不同的廠商可供使用，可以是自己架設的 DNS 伺服器，也可以放在購買域名的廠商處：

如圖所示，可以看到 feifei.tw 是放在 CDN 廠商 CloudflareNet 中。

DNS 記錄分析

DNS 伺服器中有許多不同種類的記錄：

1. A 記錄：直接指向 IP 位址，可能揭露內部網路結構。
2. MX 記錄：郵件伺服器資訊，可能成為社交工程攻擊的目標。
3. TXT 記錄：常包含 SPF、DKIM 等郵件安全設定，也可能包含敏感資訊。
4. CNAME 記錄：可能顯示使用的第三方服務。

A 記錄可能讓我們得知機器的位置，甚至是機器廠商。

A 記錄（Address Record）

• 定義：A 記錄將域名直接對應到一個 IPv4 位址。

• 範例：

  example.com.    IN    A    203.0.113.1
  

• 資安考量：

  • 可能揭露內部網路結構：
    • 多個子域名指向相近的 IP 範圍，可能暴露網路拓撲。
    • 可能洩露內部伺服器的 IP 位址。
  • 可能成為直接攻擊目標：
    • 攻擊者可以直接針對這些 IP 進行掃描或攻擊。

• 安全建議：

  • 使用防火牆和入侵檢測系統保護公開的 IP 位址。
  • 考慮使用 CDN 或反向代理來隱藏真實 IP。

MX 記錄（Mail Exchanger Record）

• 定義：MX 記錄指定負責處理該域名郵件的郵件伺服器。

• 範例：

  example.com.    IN    MX    10    mail.example.com.
  

• 資安考量：

  • 社交工程攻擊的目標：
    • 攻擊者可能利用這些資訊進行釣魚或冒充攻擊。
  • 郵件系統可能成為攻擊焦點：
    • 暴露的郵件伺服器可能遭受垃圾郵件或暴力破解攻擊。

• 安全建議：

  • 加強郵件過濾和防護措施。
  • 使用 SPF、DKIM 和 DMARC 強化郵件安全。

防禦措施

1. SPF（Sender Policy Framework）

   • 目的：防止郵件詐騙和垃圾郵件。

   • 運作方式：指定哪些郵件伺服器被授權發送該域名的電子郵件。

   • 範例：

     v=spf1 ip4:192.0.2.0/24 include:_spf.example.com -all
     

   • 解釋：此 SPF 記錄允許來自 192.0.2.0/24 IP 範圍的伺服器發送郵件，同時包含另一個 SPF 記錄，並拒絕所有其他來源。

2. DKIM（DomainKeys Identified Mail）

   • 目的：驗證郵件的完整性，確保郵件在傳輸過程中未被篡改。

   • 運作方式：使用簽章來驗證郵件。

   • 範例：

     v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...
     

   • 解釋：這是 DKIM 的公鑰，用於驗證郵件的數位簽章。實際的 TXT 記錄會更長，包含完整的公鑰。

3. DMARC（Domain-based Message Authentication, Reporting & Conformance）

   • 目的：結合 SPF 和 DKIM，提供更完整的郵件驗證策略。

   • 範例：

     v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com
     

   • 解釋：此 DMARC 策略指示接收方將未通過驗證的郵件隔離，並將報告發送到指定的信箱。

TXT 記錄（Text Record）

• 定義：TXT 記錄用於儲存文字資訊，常用於各種驗證和安全設定。

• 範例：

  example.com.    IN    TXT    "v=spf1 ip4:203.0.113.0/24 -all"
  

• 資安考量：

  • 可能包含敏感資訊：
    • 可能包含 API 金鑰、驗證 Token 等敏感資料。
  • 郵件安全設定：
    • SPF、DKIM、DMARC 設定對郵件安全至關重要。

• 安全建議：

  • 定期審核 TXT 記錄，確保不包含敏感資訊。

CNAME 記錄（Canonical Name Record）

• 定義：CNAME 記錄將一個域名指向另一個域名。

• 範例：

  blog.example.com.    IN    CNAME    example.bloghost.com.
  

• 資安考量：

  • 洩露第三方服務使用情況：
    • 可能洩露組織使用的雲服務或其他外部服務。
  • 潛在的相依風險：
    • 如果指向的服務受損，可能影響該域名。

• 安全建議：

  • 謹慎選擇和監控第三方服務。
  • 定期審核 CNAME 記錄，確保它們仍然有效且安全。

歷史 DNS 記錄

網址：https://viewdns.info/iphistory/?domain=feifei.tw

可以透過 viewdns.info 免費使用，但查詢次數有限制。

可能發現已廢棄的系統

舊的 A 記錄可能指向已停用但未完全移除的系統。

這些系統可能未及時更新，存在安全漏洞。

識別組織結構變化

DNS 記錄的變更可能反映出組織架構或基礎設施的變化。

例如，MX 記錄的變更可能表示郵件系統遷移。

追蹤資產變動

透過歷史記錄可以了解組織的 IP 位址範圍變化。

有助於識別可能被遺忘的資產。

域名的層級結構

域名系統使用層級結構，從右到左閱讀：

1. 頂級域名（Top-Level Domain，TLD）：

   • 通用頂級域名（gTLD）：如 .com、.org、.net

     • com：公司相關
     • org：組織

   • 國家頂級域名（ccTLD）：如 .tw、.uk、.jp

2. 二級域名（Second-Level Domain，SLD）：

   • 位於 TLD 左側，如 example.com 中的 "example"

3. 三級域名（Third-Level Domain）：

   • 通常被稱為子域名，如 www.example.com 中的 "www"

4. 更多子域名：

   • 可以繼續向左增加，如 blog.shop.example.com

流程

1. 輸入域名

   • 使用者在瀏覽器或應用程式中輸入網址（如 www.example.com）
   • 系統首先檢查本地快取（瀏覽器快取、作業系統快取）

2. 查找附近的 DNS 伺服器

   • 如果本地快取中沒有，系統會聯繫預設的 DNS 伺服器
   • 這通常是由網際網路服務供應商（ISP）提供的 DNS 伺服器

3. 查詢對應 IP

   • DNS 伺服器開始遞迴查詢過程
   • 如果需要，會詢問其他 DNS 伺服器（根域名伺服器、頂級域名伺服器等）

4. 回傳 IP

   • DNS 伺服器取得 IP 位址後，將其回傳給使用者的設備
   • 設備將這個 IP 位址存入本地快取中

5. 進行連線

   • 使用取得的 IP 位址，設備與目標伺服器建立連線

快取

比較容易理解的比喻：

你去一家便利商店買東西。第一次去的時候，你可能需要四處尋找才能找到你要的商品。但是，下次再去的時候，你已經記住了商品的位置，可以直接走過去拿。這就像你的腦袋裡有了「商品位置的快取」。

快取的好處：

1. 提高速度：快取可以大幅減少域名解析的時間。
2. 負載平衡：快取可以幫助分散對 DNS 伺服器的請求，實現一定程度的負載平衡。

工具使用

DNS 列舉和分析工具

1. Fierce

簡介：

• Fierce 是一個輕量級的 DNS 列舉工具。
• 是 nmap、unicornscan、nessus 的前身。
• 不支援 IPv6（AAAA）記錄。

安裝：

sudo apt-get install fierce

使用：

fierce --domain feifei.tw

2. DNSmap

簡介：

• DNSmap 是一個域名暴力列舉工具，可以找出 IP、域名、電子郵件或電話號碼等。
• 主要用於字典檔暴力破解。

安裝：

sudo apt-get install dnsmap

使用：

dnsmap zonetransfer.me
dnsmap zonetransfer.me -w wordlist.txt
dnsmap zonetransfer.me -d 20  # 設定查詢間隔為 20ms

下載字典檔：

https://raw.githubusercontent.com/rbsec/dnscan/master/subdomains-100.txt

主要參數：

• -w FILE：指定字典檔，預設使用 dnsmap 內建字典。
• -d Nms：設定兩次查詢的間隔時間，可以避免觸發 IDS/IPS，預設為 10ms。

3. DNSenum（速度較快）

簡介：

• 功能全面的 DNS 列舉工具。
• 可以進行子域名暴力破解、區域傳輸（Zone Transfer）。
• 透過 Google 搜尋對 Class C 網段進行 whois 查詢與反查。

安裝：

sudo apt-get install dnsenum

使用：

dnsenum feifei.tw
dnsenum feifei.tw --noreverse --dnsserver 8.8.8.8
dnsenum feifei.tw -f /path/to/wordlist.txt
dnsenum feifei.tw -r

主要參數：

• --noreverse：不進行名稱反向解析。
• --dnsserver：指定 DNS 伺服器進行 A、NS、MX 查詢。
• -f FILE：指定暴力破解用的字典檔。
• -r：對 NS 查找到的網域再進行子網域查找。

輸出解析：

• NS 記錄：顯示域名伺服器資訊。
• MX 記錄：顯示郵件交換伺服器資訊。
• Zone Transfer & BIND：嘗試進行區域傳輸並顯示結果。
• Brute Force & Class C：顯示暴力破解和 Class C 網段掃描結果。

使用建議

1. 在進行任何掃描或列舉之前，請確保您有適當的授權。
2. 使用這些工具可能會觸發目標系統的安全警報，請小心使用。
3. 在正式環境中使用時，建議先在測試環境中熟悉工具的功能和輸出。
4. 結合多個工具的結果可以取得更完整的資訊。

DNS 區域傳輸攻擊與防禦

背景介紹

DNS 區域傳輸（Zone Transfer）是一種允許 DNS 伺服器之間複製區域檔案的機制。

如果設定不當，可能被攻擊者利用來獲取整個域的 DNS 記錄。

攻擊目標

攻擊目標：zonetransfer.me

攻擊步驟

檢測名稱伺服器（Name Servers）

目的：查看目標域名有哪些名稱伺服器。

Linux 指令

dig +nostats +nocomments +nocmd NS zonetransfer.me

Windows 指令

nslookup -type=ns zonetransfer.me

確認區域傳輸的可行性

目的：檢查是否可以從外網存取 DNS 伺服器並執行區域傳輸。

Linux 指令

dig axfr zonetransfer.me @nsztm1.digi.ninja

Windows 指令

nslookup
server nsztm1.digi.ninja
ls -d zonetransfer.me

如果 ls -d zonetransfer.me 指令成功執行並回傳域名的詳細記錄，表示區域傳輸是允許的。

SOA（Start of Authority）記錄：包含有關區域的管理資訊。

防禦措施

修改 DNS 伺服器設定檔案以限制區域傳輸：

設定檔案路徑：/etc/named.conf

新增以下設定：

options {
    allow-transfer {
        1.2.3.4;
        5.6.7.8;
    };
};

這將限制區域傳輸只能從指定的 IP 位址執行。

實戰練習

1. 請找出並輸入 nsztm1.digi.ninja. 之外的另一個名稱伺服器。
2. 請查找並輸入 zonetransfer.me. 的 A 記錄對應的 IP 位址。

安全建議

• 定期審核 DNS 設定。
• 僅允許受信任的 IP 進行區域傳輸。
• 監控異常的 DNS 查詢活動。
• 使用 DNSSEC 加強 DNS 安全性。

總結

在這篇文章中，我們深入探討了域名系統（DNS）的重要性及其在網路安全中的角色。

學習：

1. IP 位址和域名的基本概念及其關係
2. DNS 的工作原理和解析流程
3. 不同類型的 DNS 記錄（A、AAAA、NS、MX、TXT、CNAME）及其安全含義
4. DNS 快取的作用和重要性
5. 常見的 DNS 相關安全威脅，如 Zone Transfer 漏洞
6. 各種 DNS 枚舉和分析工具的使用方法（Fierce、DNSmap、DNSenum）

嘗試做看看

1. DNS 記錄分析：選擇一個你經常使用的網站，使用 nslookup 或 dig 命令查詢其 A、MX、TXT 和 CNAME 記錄。分析這些記錄可能揭示的安全風險。
2. 子域名列舉練習：使用 Sublist3r 或類似工具，對一個大型組織的網域進行子域名列舉（要有權限）。思考發現的子域名可能帶來哪些安全隱患。

思考題

1. DNS 快取中毒攻擊是如何進行的？它對網站安全有什麼影響？請提出至少三種防禦此類攻擊的方法。
2. 在進行網站滲透測試時，為什麼 DNS 記錄分析通常是初始階段的重要步驟？列舉至少五種可以從 DNS 記錄中取得的有價值資訊。
3. 設想一個場景：你是一家中型企業的網路安全顧問，最近發現公司的某個子域名被用於釣魚攻擊。請詳細描述你會採取哪些步驟來調查、緩解和防止此類事件再次發生。
4. CDN 的使用如何影響 DNS 解析過程？它對網站安全有什麼潛在的影響，無論是正面還是負面的？