Архив спецвыпуска журнала Хакер на www.realsoft.by.ru, номер #023, стр. 023-036-1, ПЕРЕНОС ЗОНЫ DNS

ПЕРЕНОС ЗОНЫ DNS

Рваный Нерв

Спецвыпуск Xakep, номер #023, стр. 023-036-1

Прежде чем куда-то что-то переносить, перетаскивать, кантовать и забрасывать давай присядем и постараемся ответить на вопрос: "ЗАЧЕМ?". Как ты уже понял, залог удачного хака - тщательная разведка. То есть хакер перед боем должен тщательно исследовать условного противника.

Изучение таблиц DNS (Domain Name System) – один из эффективных способов выяснить топологию вражеской сети. И что же мы хотим увидеть в таблице? А в таблице мы хотим увидеть структуру вражеской сети. Дело в том, что современные админы активно используют DNS в своих локальных сетях. Если присвоить имена каждому компьютеру в локалке, то ее удобнее администрировать. При этом админы любят для максимального удобства написать в базе DNS, в какой комнате стоит компьютер, какая на нем операционная система, как зовут его хозяина.

ТАК ЧТО ЖЕ ТАКОЕ DNS?

Служба доменных имен нужна для того, чтобы превратить сложные для восприятия цифры IP-адреса в слова на человеческом языке. При этом таблицы соответствия адресов именам хранятся на специальном сервере. Когда пользователь обращается к компьютеру по имени, его система формирует серверу DNS-запрос с требуемым именем компьютера. В ответ на такой запрос DNS-сервер отправляет DNS-ответ, в котором указывает IP-адрес, по которому находится нужное имя. Это конечно неудобно, но в сети TCP/IP машины могут находить друг друга только по электронному адресу. Для того, чтобы можно было использовать удобные имена, нужен DNS-сервер, или другая похожая служба. Этим и пользуются хакеры в своих гнусных целях.

КАК ВЫГЛЯДИТ БАЗА DNS?

Обычно это небольшая текстовая табличка (это смотря какая сеть! не хотел бы я получить такую "небольшую" табличку себе на мыло :) – прим. ред.), которую серверы время от времени посылают друг другу, для того, чтобы быть в курсе изменений имен в сети. Каждому компьютеру или домену отводиться несколько строчек, давай мы в них поковыряемся!

Каждая строчка помечается в начале специальным маркером, вот примерный список этих маркеров, которые могут быть интересны хакеру.

С этого маркера начинается запись, в которой храниться IP адрес. Самое интересное, когда адрес начинается на 192.168.ХХХ.ХХХ., это означает, что хакер видит запись компьютера из локальной сети. Такие адреса в Интернет зарезервированы только для локальной сети и из глобальной сети не видны, поскольку их прикрывают злобные шлюзы. Изучение базы DNS позволяет хакеру узнать даже о таких скрытых компьютерах локальной сети, если администратор не прикрыл эту великолепную возможность.

HINFO

Важнейшая запись для хакера. В поле с этим маркером храниться информация об операционной системе, которая стоит на компьютере. Кроме того, из этого поля, если повезет, можно узнать даже аппаратную платформу удаленного компьютера.

CNAME

Эта запись позволяет узнать псевдоним и официальное имя чужой машины. Официальное имя может быть типа: moi_compuster.moi_lan.net. То есть это и есть доменное имя компьютера. Хотя в локальной сети можно не указывать хвост moi_lan.net, достаточно указать moi_compuster и DNS вернет тебе нужный айпишник.

Содержание Вперед на стр. 023-036-2