潜在的な攻撃者はIPv6アドレスとAAAA名をどの程度発見できますか？

SSHやSMTPなどのサービスの一般的なユーザー名/パスワードを試行する毎日の大量のマイナーハッキングの試行を受信することは、かなり標準的なことです。私は常に、これらの試みがIPアドレスを推測するためにIPv4の「小さな」アドレス空間を使用していると考えてきました。私のドメインにはすべてのA NameレコードをミラーリングするAAAA Nameレコードがあり、すべてのIPv4サービスもIPv6に開かれていますが、IPv6でのハッキング試行はゼロです。

合理的にランダム化された/ 64サフィックスを指すあいまいなサブドメインを持つパブリックDNS（AWSルート53）を想定しています。IPv6アドレスおよび/サブドメインは、/ 64ビットプレフィックス内のすべてのアドレスまたは共通名の非常に長いリスト内のすべてのサブドメインを試すことなく、リモートで検出できますか？

もちろん、リストされた（サブ）ドメイン名を探してWebをクロールするのは十分簡単であることを認識しています。同じサブネット上のマシンがNDPを使用できることも認識しています。DNSまたはIPv6の基礎となるプロトコルが、リモートによる不明なドメインとアドレスの検出/リストを許可するかどうかにもっと興味があります。

悪意のあるボットはIPv4アドレスを推測しなくなりました。彼らは単にそれらすべてを試す。最新のシステムでは、これには数時間しかかかりません。

あなたが推測したように、IPv6では、これはもはや実際には不可能です。アドレス空間は非常に大きいため、人間の寿命内で単一の/ 64サブネットをブルートフォーススキャンすることさえできません。

ボットがIPv4と同様にIPv6でブラインドスキャンを続行する場合、ボットはより創造的になる必要があり、悪意のあるボットオペレーターは、脆弱なマシンはもちろんのこと、マシンを見つけるまでの時間が長くなることに慣れる必要があります。

残念なことに、悪者にとっても、残念なことに、他のすべての人にとっても、IPv6の採用は、本来あるべきよりもずっとゆっくりと進んでいます。IPv6は23歳ですが、ここ5年ほどで重要な採用が見られました。しかし、誰もがIPv4ネットワークをアクティブに維持しており、IPv6専用のホストはごくわずかであるため、悪意のあるボットオペレーターは切り替えを行う動機がほとんどありません。IPv5が大幅に放棄されるまで、おそらく今後5年間は実現しません。

悪意のあるボットが最終的にIPv6に移行した場合、ブラインド推測はおそらく生産的ではないことを期待しています。各サブネット。

たとえば、一般的なDHCPv6サーバー構成は、デフォルトでアドレスを::100スルーで提供::1ffします。これは、/ 64のうち256個のアドレスです。DHCPv6サーバーを再構成して、はるかに広い範囲からアドレスを選択すると、この問題が軽減されます。

また、修正されたEUI-64アドレスをSLAACに使用すると、検索スペースが2 ²⁴ ×割り当てられたOUIの数に減少します。これは1,000億を超えるアドレスですが、2 ^64をはるかに下回っています。ランダムボットはこのスペースを検索することはありませんが、状態レベルの悪意のある攻撃者は、特にどのNICが使用されているかについて経験に基づいた推測を行うことができる場合、検索スペースをさらに削減します。SLAACにRFC 7217の安定したプライバシーアドレスを使用することは簡単で（少なくともそれをサポートする最新のオペレーティングシステムでは）、このリスクを軽減します。

RFC 7707は、IPv6アドレスを特定するためにIPv6ネットワークで偵察を実行する他のいくつかの方法と、それらの脅威を軽減する方法について説明しています。

最近では、IPv4またはIPv6を使用した多くのボットが推測していないことがわかりました。あいまいさによるセキュリティは、まったくセキュリティではありません。あいまいさは、しばらくの間、攻撃の数を単に遅らせたり減らしたりしますが、それは無関係です。

ハッカーはあなたのウェブサイトまたはメールアドレスから会社のドメイン名、メール、SPF、ウェブサーバーなどのために公開する公開サーバーIPを知っています。ランダムなサーバー名を学ぶのに少し時間がかかるかもしれませんが、彼らは推測しますwww、mail、smtp、imap、pop、pop3、ns1などの一般的な名前を使用し、Webサイトをスクレイピングして追加のデータを見つけます。彼らは以前のスキャンのストアからDNS名、IP、およびどのポートに焦点を合わせるかを取得します。また、見つけたデータ侵害から電子メールアドレスとパスワードのペアのリストを取得し、それらすべてのログインに加えて、ポートで実行していると思われるシステムで追加のログインを試行します。ソーシャルエンジニアリング攻撃を試みるために、スタッフの名前と職務を学習する程度まで行っています。当社のスパムフィルターは、資金の緊急の電信送金を必要とする経営者の誰かであると主張する詐欺師による攻撃で絶えず攻撃されています。また、彼らはあなたのビジネスパートナーが誰であるかを知り、彼らであることを主張し、彼らの銀行の詳細が変更されたことをあなたに知らせます。ビジネスパートナーが請求に使用しているクラウドプラットフォームを知っている場合もあります。

犯罪者は他の皆と同じようにビッグデータツールにアクセスでき、驚くほど膨大な量のデータを蓄積しています。米国議会への一部のIT専門家によるこの証言を参照してくださいhttps://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

データ侵害について言えば、企業がWebサーバーログのように一見役に立たないような何かを失った場合、これにはそのサーバーを使用した全員のIPアドレスv4またはv6、およびアクセスしたページが含まれます。

結論として、これらの方法では、攻撃者が使用しているIPを推測する必要はありません。

編集：ちょっとした練習として、（プロファイルから）サイトを閲覧し、ここにリンクされているオンラインスキャンツールの1つを試し、nslookupで少し調べて、あなたに関するいくつかのことを見つけました。 。あなたが話しているあいまいなアドレスの1つには、

• 公開するもののいずれかに似た惑星名
• freeddns
• および2e85：eb7aで終わるIPv6アドレス
• そして、それはsshを実行します

他の公開されたIPv6アドレスのほとんどは:: 1で終わっています。これは、わずかな推測で公開した情報からのみです。これは、隠したいIPからのものですか？

編集2：別のクイックルック、あなたのウェブサイトにあなたのメールアドレスを公開するのを見ます。https://haveibeenpwned.com/サイトをチェックして、そのアドレスに侵入したデータや、闇市場に出回っているデータを確認します。私はそれが違反にあったことがわかります

• アドビの侵害2013年10月：侵害されたデータ：メールアドレス、パスワードのヒント、パスワード、ユーザー名
• MyFitnessPal：2018年2月侵害されたデータ：電子メールアドレス、IPアドレス、パスワード、ユーザー名
• MySpace：およそ2008年に侵害されたデータ：電子メールアドレス、パスワード、ユーザー名
• PHPフリーク：2015年10月侵害されたデータ：生年月日、電子メールアドレス、IPアドレス、パスワード、ユーザー名、ウェブサイトアクティビティ
• QuinStreet：およそ2015年後半に侵害されたデータ：生年月日、電子メールアドレス、IPアドレス、パスワード、ユーザー名、ウェブサイトのアクティビティ

電子メールアドレスのそのユーザー名の部分が他の一般的な電子メールプロバイダーで使用されているかどうかを確認すると、さらに多くのデータがあります。これは、ボットが作成できる別の小さな推測です。その一部がすでにあなたについて知られている部分と相関している場合、ボットはそれがすべてであると仮定できます。これらの違反に追加データがある場合

• Verifications.io：2019年2月侵害されたデータ：生年月日、メールアドレス、雇用主、性別、地理的位置、IPアドレス、役職、名前、電話番号、物理アドレス
• 2017年1月のリバーシティメディアスパムリスト侵害されたデータ：メールアドレス、IPアドレス、名前、物理アドレス
• Apollo：2018年7月、セールスエンゲージメントのスタートアップ侵害されたデータ：メールアドレス、雇用者、地理的位置、役職、名前、電話番号、挨拶文、ソーシャルメディアプロファイル
• B2B USAビジネス2017年半ば侵害されたデータ：電子メールアドレス、雇用主、役職、名前、電話番号、住所
• Bitly：2014年5月、侵害されたデータ：メールアドレス、パスワード、ユーザー名
• コレクション＃1（未検証）：2019年1月、クレデンシャルスタッフィングリスト（他のサービスのアカウントをハイジャックするために使用されるメールアドレスとパスワードの組み合わせ）の大規模なコレクションが、人気のあるハッキングフォーラムで配布されていることが発見されました
• Dropbox：2012年半ばに侵害されたデータ：メールアドレス、パスワード
• Exploit.In（未検証）：2016年後半、「Exploit.In」と呼ばれる「コンボリスト」にメールアドレスとパスワードのペアの膨大なリストが登場しました。
• HauteLook：2018年中頃侵害されたデータ：生年月日、メールアドレス、性別、地理的位置、名前、パスワード
• Pemiblanc（未検証）：2018年4月、Pemiblancとして知られる1億1,100万の電子メールアドレスとパスワードを含む資格情報スタッフ一覧がフランスのサーバーで発見されました
• ShareThis：2018年7月侵害されたデータ：生年月日、メールアドレス、名前、パスワード
• Ticketfly：2018年5月侵害されたデータ：メールアドレス、名前、電話番号、物理アドレス

ボットがその間、facebookをチェックし、あなたの名前のFacebookページの1つがあなたのウェブサイトと同じ写真を持っていることを見ることができ、あなたとあなたの友人についてもう少し知っています。加えて、あなたがリストする家族はあなたの母親であり、「あなたの母親の旧姓」をリストしていると推測しています。facebookから、どのlinkinプロファイルがあなたのものかを確認することもできます。

私たちについては、人々が知っているよりもはるかに多くの情報がオンラインにあります。ビッグデータと機械学習の分析は本物です。今ここにあり、オンラインで投稿またはリークされたデータの多くを相関させて使用できます。2003年から2007年にAIとコンピューターサイエンスの学士号を取得したことをリストアップすることで、これを知っておく必要があります。それ以来、特にGoogleが学位取得の終わり頃に向けて発表していた進歩により、大きな進歩がありました。人々は人々であり、ほとんどはあなたから利益を得ようとしているだけで、一部は合理的かつ合法的にデータを使用していますが、他の人はそれを可能な限り使用しています。

これに関する私のポイントは2つあります。私たちが考えているよりも多くの情報を公開することです。DNSのポイントは、名前からIPアドレスへの変換を公開することです。

AAAAレコードについて：

DNSは従来、暗号化されていません。DNSに署名するための一連の標準（DNSSEC）がありますが、DNSレコードの暗号化ははるかに無計画な展開プロセスがあります。暗号化されたDNSをクライアント側で明示的に構成するための方法がありません。ので、あなたがそうやっていればあなたは知っているだろう、それはかなりの試練です。

（また、ドメインを解決した後、WebブラウザはおそらくTLSハンドシェイクで暗号化されていないSNIを送信します。VPNまたはTorが出口間でMitMされる可能性があるため、この穴を塞ぐ方法は明らかではありませんノードまたはVPN終端ポイントとリモートサーバー。で良い人々にCloudFlareが良いため、この問題の修正に取り組んでいるが、ESNIは、特にために、クライアントの実装に依存しますクローム本当に地面を降りるために起こっている場合は、。）

ただし、脅威モデルに応じて、MitM攻撃が問題になる場合とそうでない場合があります。さらに重要なのは、DNS名が公開情報であることを意図しているという単純な事実です。多くの人々（検索エンジン、DNSレジストラなど）が、完全に良性の理由でDNS名を収集して公表します。通常、DNSリゾルバーはレート制限を適用しますが、これらの制限はサブドメインの列挙ではなくDoS攻撃を阻止するためのものであるため、通常はかなり寛大です。HTTPS証明書の作成には、多くの場合、CAに応じて、すべての人が見られるようにドメイン名を公開する必要があります（Let's Encryptが行います。実際には、ドメインまたはサブドメインを秘密にしておくことはまったく不可能です。なぜなら、ほぼ全員がパブリックであると想定し、それらを隠す努力をしないからです。

したがって、この質問に答えるには：

DNSまたはIPv6の基礎となるプロトコルが、リモートによる不明なドメインとアドレスの発見/リストを許可するかどうかにもっと興味があります。

技術的には、そうではありません。しかし、それは問題ではありません。膨大な量の上位層の技術は、DNSレコードが公開されていることを前提としているため、必然的に公開されます。