در اینجا به بررسی چندین برنامه جهت کسب اطلاعات و گرفتن دیتا در حوزه dns می پردازیم :


dnsmap :

در واقع dnsmap در سال 2016 توسط Paul Craig ایجاد شد . و مجوز آن GPLv2 می باشد .

dnsmap – DNS domain name brute forcing tool
# dnsmap
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

usage: dnsmap <target-domain> [options]
options:
-w <wordlist-file>
-r <regular-results-file>
-c <csv-results-file>
-d <delay-millisecs>
-i <ips-to-ignore> (useful if you're obtaining false positives)

e.g.:
dnsmap target-domain.foo
dnsmap target-domain.foo -w yourwordlist.txt -r /tmp/domainbf_results.txt
dnsmap target-fomain.foo -r /tmp/ -d 3000
dnsmap target-fomain.foo -r ./domainbf_results.txt
برای نمونه :
dnsmap unixmen.ir
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

[+] searching (sub)domains for unixmen.ir using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests

ftp.unixmen.ir
IP address #1: 138.201.29.24

localhost.unixmen.ir
IP address #1: 127.0.0.1
[+] warning: domain might be vulnerable to "same site" scripting (https://snipurl.com/etbcv)

www.unixmen.ir
IPv6 address #1: 2400:cb00:2048:1::6818:69b1
IPv6 address #2: 2400:cb00:2048:1::6818:68b1

www.unixmen.ir
IP address #1: 104.24.104.177
IP address #2: 104.24.105.177

[+] 4 (sub)domains and 6 IP address(es) found
[+] completion time: 433 second(s)
#security #dns @unixmens

آیا میدانید
وب سایت هایی که ایران رو تحریم میکنن رو می تونید خیلی راحت باز کنید فقط کافی است آدرس دی ان اس 94.232.174.194 را به عنوان dns server پیشفرض ست کنید .
حال میتونید به سایت های زیر دسترسی داشته باشید
Oracle
Envoto
Google developer
Android studio
and ...
#dns @unixmens

در اینجا به بررسی چندین برنامه جهت کسب اطلاعات و گرفتن دیتا در حوزه dns می پردازیم :


dnsmap :

در واقع dnsmap در سال 2016 توسط Paul Craig ایجاد شد . و مجوز آن GPLv2 می باشد .

dnsmap – DNS domain name brute forcing tool
# dnsmap
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

usage: dnsmap <target-domain> [options]
options:
-w <wordlist-file>
-r <regular-results-file>
-c <csv-results-file>
-d <delay-millisecs>
-i <ips-to-ignore> (useful if you're obtaining false positives)

e.g.:
dnsmap target-domain.foo
dnsmap target-domain.foo -w yourwordlist.txt -r /tmp/domainbf_results.txt
dnsmap target-fomain.foo -r /tmp/ -d 3000
dnsmap target-fomain.foo -r ./domainbf_results.txt
برای نمونه :
dnsmap unixmen.ir
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

[+] searching (sub)domains for unixmen.ir using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests

ftp.unixmen.ir
IP address #1: 138.201.29.24

localhost.unixmen.ir
IP address #1: 127.0.0.1
[+] warning: domain might be vulnerable to "same site" scripting (https://snipurl.com/etbcv)

www.unixmen.ir
IPv6 address #1: 2400:cb00:2048:1::6818:69b1
IPv6 address #2: 2400:cb00:2048:1::6818:68b1

www.unixmen.ir
IP address #1: 104.24.104.177
IP address #2: 104.24.105.177

[+] 4 (sub)domains and 6 IP address(es) found
[+] completion time: 433 second(s)
#security #dns @unixmens

در اینجا به بررسی چندین برنامه جهت کسب اطلاعات و گرفتن دیتا در حوزه dns می پردازیم :


dnsmap :

در واقع dnsmap در سال 2016 توسط Paul Craig ایجاد شد . و مجوز آن GPLv2 می باشد .

dnsmap – DNS domain name brute forcing tool
# dnsmap
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

usage: dnsmap <target-domain> [options]
options:
-w <wordlist-file>
-r <regular-results-file>
-c <csv-results-file>
-d <delay-millisecs>
-i <ips-to-ignore> (useful if you're obtaining false positives)

e.g.:
dnsmap target-domain.foo
dnsmap target-domain.foo -w yourwordlist.txt -r /tmp/domainbf_results.txt
dnsmap target-fomain.foo -r /tmp/ -d 3000
dnsmap target-fomain.foo -r ./domainbf_results.txt
برای نمونه :
dnsmap unixmen.ir
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org)

[+] searching (sub)domains for unixmen.ir using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests

ftp.unixmen.ir
IP address #1: 138.201.29.24

localhost.unixmen.ir
IP address #1: 127.0.0.1
[+] warning: domain might be vulnerable to "same site" scripting (https://snipurl.com/etbcv)

www.unixmen.ir
IPv6 address #1: 2400:cb00:2048:1::6818:69b1
IPv6 address #2: 2400:cb00:2048:1::6818:68b1

www.unixmen.ir
IP address #1: 104.24.104.177
IP address #2: 104.24.105.177

[+] 4 (sub)domains and 6 IP address(es) found
[+] completion time: 433 second(s)
#security #dns @unixmens

تحلیل حملات dns spoofing - لینک - #dns #dnsspoofing #dns_spoofing #yashar_esmaildokht @unixmens

در یک حادثه‌ی دزدی DNS دیگر در سال ۲۰۱۳، هکرهایی موسوم به ارتش الکترونیک سوری کنترل وبسایت خبری نیویورک تایمز را در دست گرفتند. و احتمالاً در بزرگترین حمله‌ی DNS چند سال اخیر، هکرها با استفاده از بات‌نت Mirai که از دستگاه‌های اینترنت چیزها تشکیل شده بود، به سرورهای Dyn حمله کردند و باعث شدند سایت‌های بزرگ زیادی مثل آمازون، توئیتر و ردیت (Reddit) ساعت‌ها از دسترس خارج شوند.

مقابله با دزدی DNS

هیچ روشی برای محافظت قطعی در مقابل این نوع حملات که حتی به ویکی‌لیکس و نیویورک تایمز آسیب زدند، وجود ندارد، اما تدابیر مقابله‌ای خاصی می‌توان در نظر داشت. مدیران سایت‌ها می‌توانند از سرویس‌های ثبت دامنه‌ای استفاده کنند که دارای فاکتورهای چندگانه‌ی احراز هویت باشند، یعنی مثلاً اگر کسی خواست تنظیمات DNS یک سایت را تغییر دهد باید به Google Authenticator یا Yubikey مدیر سایت دسترسی داشته باشد. به این روش تنظیمات DNS فقط به دست مدیر سایت و به خواست خود ثبت کننده قابل تغییر خواهد بود.

در غیر این صورت، خیلی راحت با دزدی DNS می‌توان کنترل کامل ترافیک سایت را در اختیار گرفت، و جلوگیری از این مسئله هم به کلی از توان شما خارج است.
#dns @unixmens

تحلیل حملات dns spoofing - لینک - #dns #dnsspoofing #dns_spoofing #yashar_esmaildokht @unixmens

معرفی ابزار DSNIFF

ا dsniff مجموعه ای از ابزارهای حسابرسی و تست نفوذ شبکه است. dsniff، پرونده های narf ، mailsnarf ، msgsnarf ، urlsnarf و webspy یک شبکه را برای داده های مهم (گذرواژه ها ، ایمیل ها ، پرونده ها ، و غیره) نظارت می کنند. arpspoof ، dnsspoof و macof رهگیری ترافیک شبکه را که معمولاً برای یک مهاجم در دسترس نیست را آسان می کنند.


#security #hack @unixmens #dns #pentest

تحلیل حملات dns spoofing - لینک - #dns #dnsspoofing #dns_spoofing #yashar_esmaildokht @unixmens

تحلیل حملات dns spoofing - لینک - #dns #dnsspoofing #dns_spoofing #yashar_esmaildokht @unixmens

مقاله ddns که سالها پیش نوشته بودم ، تقدیم عزیزان

#dns #ddns #linux #yashar_esmaildokht @unixmens

حمله cache poisoning
همانطور که می‌دانید هر سرور DNS هنگام دریافت کوئری‌ها، یک سری مراحل را برای یافتن آدرس‌های مورد نظر طی می‌کند. در این روند، وظیفه Forwarder، هدایت کوئری‌هایی است که در سرور DNS داخلی برای آن‌ها پاسخی یافت نمی‌شود. سرورهای DNS هم معمولا پاسخ کوئری‌ها را برای یک بازه زمانی مشخص در حافظه cache ذخیره می‌کنند تا بتوانند سریعتر پاسخگو باشند. اما همین موضوع، می‌تواند مورد سوءاستفاده مهاجمین واقع شود. در حمله DNS cache poisoning، درخواست‌های DNS به سمت یک DNS cache آلوده هدایت می‌شود. در نتیجه آدرس اشتباهی به دست مرورگر و یا سایر برنامه‌های کاربردی قربانی خواهد رسید و قربانی به سمت سایت‌های مخرب هدایت می‌شود. بازدید از این سایت‌ها هم نتایج مهلکی مانند به سرقت رفتن اطلاعات مهم و یا آلوده شدن سیستم به باج افزار خواهد داشت.
در سال‌های اخیر، استفاده از روش‌هایی مانند DNSSEC و یا RCF 7873 DNS Cookie در مقابله با cache DNS poisoning موثر بوده‌اند. اما روش SAD DNS دوباره خطر حملات DNS cache poisoning را پر رنگ کرده است.
SAD DNS چگونه راه اندازی می‌شود؟
در روش SAD DNS، مهاجم با کمک یک سیستم آسیب‌پذیر در شبکه، سرور DNS را وادار به ارسال درخواست می‌کند. مثلا در مکان‌هایی مثل کافی‌شاپ‌ها یا مراکز خرید که اینترنت عمومی از طریق یک روتر/مودم بی‌سیم مدیریت می‌شود ممکن است این اتفاق بیفتد. در واقع مهاجم با کمک یک کانال جانبی در پشته پروتکل شبکه، ابتدا شبکه را برای یافتن پورت مبدا اسکن می‌کند. سپس یک کوئری DNS را ارسال کرده و از طریق حمله Brute-force بر روی شناسه‌های تراکنش، حجم زیادی از پاسخ‌های جعلی را به سیستم قربانی تزریق می‌کند.

برای بررسی دقیق‌تر، محققان از کانال استفاده شده در درخواست‌های نام دامنه استفاده کردند تا تعداد دقیق پورت مبدا را با ارسال بسته‌های جعلی UDP به سرور قربانی، کاهش دهند و از این طریق متوجه شوند که بر اساس درخواست‌های ICMP، آیا پاسخ‌های جعلی به پورت مبدا درست رسیده‌اند یا خیر؟
در این روش، مهاجم قادر است ۱۰۰۰ پورت در ثانیه را اسکن کند که اسکن تمام پورت‌ها (۶۵۵۳۶) حدودا ۶۰ ثانیه طول می‌کشد. با دانستن شماره پورت مبدا، فقط کافی است مهاجم با وارد کردن یک آدرس IP مخرب، ترافیک وب‌سایت را هدایت کرده و حمله Cache Poisoning DNS را با موفقیت اجرا کند.
آسیب‌پذیری‌های منجر به SAD DNS
آسیب‌پذیری منجر به این حملات با شناسه CVE-2020-25705 به ثبت رسیده است. این آسیب‌پذیری، سیستم‌عامل‌های ویندوز سرور ۲۰۱۹، لینوکس با کرنل نسخه ۳٫۱۸ تا ۵٫۱۰، ویندوز سرور ۲۰۱۹ (نسخه ۱۸۰۹)، مک او اس ۱۰٫۱۵ و بالاتر و همچنین FreeBSD نسخه ۱۲٫۱٫۰ و بالاتر را تحت تاثیر قرار می‌دهد. آسیب‌پذیری CVE-2020-25705 یکی از موضوعات داغ کنفرانس جهانی کامپیوترACM در حوزه کامپیوتر و امنیت ارتباطات امسال نیز بوده است.
هر چند این ضعف از اهمیت بالایی برخوردار است، اما بهتر است بدانید که اثربخشی این قبیل حملات، بدلیل وجود پروتکل‌هایی مثل DNSSEC تاحدودی کمرنگ‌تر شده است. پروتکل DNSSEC در واقع یک لایه امنیتی به رکوردهای DNS اضافه می‌کند و باعث می‌شود سرور DNS بتواند به ازای هر درخواست، از یک شماره پورت و شناسه تراکنش متفاوت استفاده کند.
هر چند این حمله به دلایل مختلفی از جمله انگیزه و سازگاری، هنوز به صورت گسترده مورد استفاده قرار نگرفته، اما پژوهشگران اعلام کرده‌اند که سرورهای DNS محبوب مثل Cloudflare (1.1.1.1) و گوگل (۸٫۸٫۸٫۸) در برابر این حمله آسیب‌پذیر هستند.
چه باید کرد؟
تحقیقات نشان می‌دهد که ۳۴ درصد DNSهای عمومی در اینترنت، نسبت حمله SAD DNS آسیب‌پذیرند که ۸۵ درصد از آن‌ها، سرویس‌های محبوبی مثل گوگل و Cloudflare هستند. در حال حاضر برای کاهش خطرات احتمالی در برابر حملات SAD DNS، می‌بایست مدیران شبکه‌، پاسخ‌های ICMP یا همان outgoing ICMP responses را غیرفعال کنند. همچنین نصب اصلاحیه‌های امنیتی مرتبط با این آسیب‌پذیری، از جمله اقداماتی است که باید در دستور کار شبکه‌های مختلف قرار گیرد. البته در این صورت برخی امکانات عیب‌یابی را از دست خواهید داد. اختصاص زمان کمتر از یک ثانیه برای time out درخواست‌های DNS نیز موثر هست.
محققان ابزاری را نیز برای بررسی آسیب‌پذیر بودن سرورها نسبت به این حمله، توسعه داده‌اند. این گروه، با همکاری تیم امنیتی هسته لینوکس، در تلاشند تا وصله‌ای را برای کاهش نرخ کلی بسته‌های ICMP فراهم کنند.


#security #dns

اتحادیه اروپا علاقه مند به ساخت سرویس DNS بازگشتی خود است که به صورت رایگان در اختیار مؤسسات اتحادیه اروپا و عموم مردم قرار خواهد گرفت.
در این زیرساخت تلاش شده است از وابستگی کنونی DNS به شرکت های خاص جلوگیری شود و همچنین فلیترینگ جامعی برای بستن سایتهای حاوی کدهای مخرب و تهدیدات امنیت سایبری اعمال گردد.

منبع :‌
https://therecord.media/eu-wants-to-build-its-own-dns-infrastructure-with-built-in-filtering-capabilities/amp/


#dns
#security

@unixmens

#jobs #linux #bind #dns #storage


@unixmens

مقاله ddns که سالها پیش نوشته بودم ، تقدیم عزیزان

#dns #ddns #linux #yashar_esmaildokht @unixmens

تحلیل حملات dns spoofing - لینک - #dns #dnsspoofing #dns_spoofing #yashar_esmaildokht @unixmens

#iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks #DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used #ProtonVPN and #Wireshark. Details in the video

OpenStack Designate is a DNS as a Service (DNSaaS) solution that is part of the OpenStack cloud computing platform. It provides a scalable, reliable, and highly available DNS infrastructure for cloud-based applications and services.

Designate enables users to manage their domain names and DNS records through a RESTful API or a web-based dashboard. It supports various record types, including A, AAAA, CNAME, MX, NS, PTR, SRV, and TXT. Users can also create and manage zones, which are collections of DNS records that define a domain name's authoritative name servers.

Designate integrates with other OpenStack services such as Keystone, Nova, Neutron, and Horizon. It also supports integration with external DNS providers, allowing users to easily switch between providers or use multiple providers for redundancy.

Designate is designed to be highly scalable and fault-tolerant. It uses a distributed architecture that allows it to handle millions of DNS queries per second and ensures high availability even in the event of node failures.

Overall, OpenStack Designate provides a flexible and powerful DNSaaS solution that simplifies the management of domain names and DNS records in cloud-based environments.


#yashar_esmaildokht #book #linux #cloud #openstack #designate #dns


https://www.slideshare.net/yasharesmaildokht/designate

با sni یا server name indicator آشنا شویم :



ا   SNI یک پروتکل امنیتی است که برای ارتباط امن بین مرورگر و سرور در اینترنت استفاده می‌شود. با استفاده از SNI، مرورگر می‌تواند به سرور بگوید که درخواست خود را برای کدام دامنه ارسال کند. این به سرور کمک می‌کند تا به درستی به درخواست‌های مختلف پاسخ دهد.

قبلاً، SSL/TLS به صورت دسته جمعی برای همه دامنه‌های موجود در یک سرور فعال بود. اما با SNI، SSL/TLS برای هر دامنه جداگانه فعال می‌شود. این به مرورگر کمک می‌کند تا بتواند با دقت بیشتری به سرور ارتباط برقرار کند و درخواست‌های خود را به درستی ارسال کند.

با استفاده از SNI، همچنین می‌توانید چندین دامنه را روی یک سرور فعال کنید و SSL/TLS را برای همه آن‌ها فعال کنید. این به شما کمک می‌کند تا هزینه‌های خود را کاهش دهید و به بهترین شکل ممکن از منابع خود استفاده کنید.

ا  SNI در واقع یک افزونه برای پروتکل TLS است که در ابتدا در RFC 3546 معرفی شد. با استفاده از SNI، مرورگر می‌تواند نام دامنه مورد نظر خود را به سرور ارسال کند. این اطلاعات در بخش Extension Data در پروتکل TLS ارسال می‌شود. سرور با دریافت این اطلاعات، می‌تواند SSL/TLS را برای دامنه مورد نظر فعال کند و به درستی به درخواست‌های مختلف پاسخ دهد.

با استفاده از SNI، می‌توانید چندین دامنه را روی یک سرور فعال کنید و SSL/TLS را برای همه آن‌ها فعال کنید. این به شما کمک می‌کند تا هزینه‌های خود را کاهش دهید و به بهترین شکل ممکن از منابع خود استفاده کنید. همچنین، با استفاده از SNI، می‌توانید از خدمات CDN (شبکه توزیع محتوا) استفاده کنید و دامنه‌های مختلف خود را بر روی سرورهای مختلف قرار دهید.

اگرچه SNI به طور کلی به عنوان یک پروتکل امنیتی در نظر گرفته می‌شود، اما همچنین ممکن است به دلایل امنیتی به کار نرود. برای مثال، اگر شما از یک شبکه عمومی برای ارتباط با سرور استفاده می‌کنید، اطلاعات SNI شما ممکن است توسط شخص ثالثی که در این شبکه حضور دارد، ردیابی شود. بنابراین، برای این کار می‌توانید از VPN استفاده کنید تا اطلاعات SNI شما رمزگذاری شود و از دسترسی شخص ثالث جلوگیری شود.

نکته بعدی : برای حل این مشکل ESNI موجود هست

وقتی قرار باشد بسته‌ای را به خانه‌ای ویلایی بفرستید، فقط باید آدرس خیابان و نهایتاً پلاک خانه را در قسمت آدرس گیرنده بنویسید؛ اما اگر بخواهید همان بسته را به آپارتمانی در همان خیابان بفرستید، علاوه بر شماره خیابان و پلاک آپارتمان، باید شماره واحد را هم ذکر کنید.
اگر هاست اشتراکی را به آپارتمان تشبیه کنیم، آدرس IP این هاست می‌شود همان آدرس آپارتمان متشکل از شماره خیابان و پلاک آپارتمان؛ اما برای اینکه هر سایت بتواند از TLS بهره ببرد، به SNI نیاز داریم تا گواهی هر سایت به‌صورت جداگانه تشخیص داده شود.

ا sni proxy چیست ؟

ا SNI Proxy یک ابزار است که برای مسیریابی ترافیک SSL/TLS بر اساس نام دامنه استفاده می‌شود. این ابزار به شما اجازه می‌دهد تا چندین دامنه را به یک سرور متصل کنید و به صورت همزمان برای همه آن‌ها SSL/TLS را فعال کنید.

ا SNI Proxy به شما این امکان را می‌دهد که ترافیک SSL/TLS را برای هر دامنه به یک سرور مختص توزیع کنید. این به شما کمک می‌کند تا بار سرور را توزیع کنید و به بهترین شکل ممکن از منابع خود استفاده کنید. همچنین، با استفاده از SNI Proxy، می‌توانید از خدمات CDN (شبکه توزیع محتوا) استفاده کنید و دامنه‌های مختلف خود را بر روی سرورهای مختلف قرار دهید.

به طور کلی، SNI Proxy یک ابزار قدرتمند است که به شما این امکان را می‌دهد تا ترافیک SSL/TLS را بر اساس نام دامنه به سرورهای مختلف توزیع کنید. این به شما کمک می‌کند تا به بهترین شکل ممکن از منابع خود استفاده کنید و بار سرور را توزیع کنید.

#security #tls #dns #smartdns #smart_dns
https://en.m.wikipedia.org/wiki/Server_Name_Indication


https://www.cloudflare.com/learning/ssl/what-is-sni/

https://t.iss.one/unixmens