Admin
Администратор
Атака dns takeover в ipv6
Всех приветствую, по статистике на сентябрь 2025 года наиболее широко используемая версия интернет протокола в тир1 странах уже стала ipv6, которая активно заменяет ipv4, особенно на рынках мобильных устройств и ОпСоСов (операторов сотовой связи).Heat map по внедрению ipv6, статистика в основном для операторов и абонентов isp
В сети, состоящей из миллиардов цифровых устройств, подключенных к Интернету, твой ip адрес указывает, кто ты и где находитешься. Этот протокол сетевого уровня обеспечивает возможность связи по сети. Инженерный совет Интернета (IETF) разработал IPv6 в декабре 1998 года с целью замены IPv4 из-за быстро растущей базы пользователей всемирной сети. В этой статье мы подробно рассмотрим протокол IPv6, и его интересные отличия от IPv4
IPv6
IPv6, протокол адресации Интернета следующего поколения, предназначен для дополнения IPv4. Компьютеру, смартфону, датчику Интернета вещей (IoT), компоненту умного дома или другому устройству, подключенному к Интернету, необходим числовой IP-адрес для взаимодействия с другими устройствами.
Исходная система IP-адресов, известная как IPv4, исчерпывает количество доступных адресов из-за огромного числа подключенных устройств. Эта новая версия IP-адресов внедряется для удовлетворения потребности в большем количестве интернет-адресов. Она позволяет использовать 340 ундециллионов (10^36) уникальных адресных пространств, используя 128-битное адресное пространство. Теоретически IPv6 может поддерживать до 340 282 366 920 938 463 463 374 607 431 768 211 456 адресов.
Атака dns takeover через ipv6
В IPv6 есть несколько особенностей, которые делают подобные атаки более актуальными, чем в IPv4:
1. Автоматическая настройка (SLAAC) и RDNSS
-В IPv6 клиенты часто не используют вручную прописанные DNS-сервера, а получают их автоматически.
Это происходит через:
-Router Advertisements (RA) с опцией RDNSS (Recursive DNS Server) или через DHCPv6.
-Если злоумышленник запустит поддельный роутер в сети и раздаст RA-пакеты с «своим» DNS-сервером, устройства начнут использовать именно его.
2. DNS takeover в IPv6-сети
Нападающий внедряется в локальную сеть (например, в Wi-Fi или корпоративный сегмент).
Отправляет поддельные RA-пакеты с указанием "злой" DNSS.
Клиенты автоматически принимают этот DNS как доверенный (стандарт IPv6 это допускает).
Злоумышленник перенаправляет запросы:
-подменяет доменные имена (phishing, MITM);
-собирает статистику;
-перенаправляет трафик на вредоносные IP.
Практическая часть. Моя "лабораторная установка" включает 2 машины Windows (Punisher (fcastle), Spiderman (pparker)) и контроллер домена на Windows Server 2022 (admin).
Как работает эта атака:
Если на машине жертвы (Windows Server) включен IPv6, мы можем использовать инструмент ntlmrelayx.py (который предоставляет функционал для работы с IPv6). Этот инструмент помогает Linux-системе выступать в роли DNS-сервера для Windows Server с поддержкой IPv6. В результате, когда любая другая машина соединяется с контроллером домена (AD-DC), она запрашивает у нас службу DNS IPv6, аналогично NTLM, и мы используем эти хэши NTLM для проведения атаки подмены LDAP (LDAP relaying).
-Если войдет учетная запись администратора домена, в контроллере домена будет создан новый пользователь с помощью инструмента MITM6.
-Если войдет локальный администратор машины, информация о хэшах будет сброшена в папку.
LDAP (Lightweight Directory Access Protocol) — это протокол, который определяет, как приложения могут получать доступ и обрабатывать данные, хранящиеся в каталоге. Он предлагает стандартизированный метод передачи данных каталога и обмена ими между различными системами.
LDAP используется для ряда целей, включая:
Аутентификация: подтверждение личностей пользователей перед предоставлением доступа к ресурсам.
Авторизация: ограничение действий, которые пользователи могут выполнять с определенными ресурсами.
Службы каталогов: предоставление информации о машинах, сетях, пользователях и других объектах в каталоге.
Связь между LDAP и Active Directory
Active Directory использует LDAP: Active Directory реализует протокол LDAP для взаимодействия с клиентами и другими службами каталогов. Это позволяет приложениям использовать стандартные функции LDAP для доступа к данным Active Directory и управления ими.
LDAP — более широкий стандарт: LDAP — это более общий протокол, который может использоваться со службами каталогов, отличными от Active Directory. Хотя Active Directory является одной из самых распространенных реализаций LDAP, она не единственная.
Проверьте, установлен ли инструмент MITM6; если нет, то используйте следующие команды. (Установите pipmykali из GitHub.)
Bash:
bash
cd /opt/mitm6
sudo apt update
sudo pip2 install .
cd ~Инструмент запускается и ожидает ответов от машин Windows.
ntlmrelayx.py -6 -t ldaps://192.168.142.136 -wh fakewpad.marvel.local -l lootme
Пояснение:
ntlmrelayx.py -6 -t ldaps://[IP контроллера домена] -wh fakewpad.marvel.local (переменная) -l lootme (переменная)
-t = цель (target)
-l = создать папку (make a folder)
-wh = Обработка рабочей нагрузки (Workload Handling)
Шаг 2: Запустите mitm6
Теперь давайте запустим инструмент mitm6 (ldap domain dump).
sudo mitm6 -d marvel.localНажмите Enter.
Теперь ожидайте, когда пользователи войдут в систему.
-Если войдет администратор домена, в контроллере домена будет создан новый пользователь.
-Если войдет локальный администратор машины, информация будет сброшена в папку.
Эта атака направлена против локального администратора fcastle на машине Punisher.
Если на машине Punisher войдет администратор домена.
В домене создан новый пользователь
Еще раз проверю
Подытожим ключевые этапы:
1)Подготовка: Атакующий запускает mitm6 (создает поддельные RA/DHCPv6, DNS) и ntlmrelayx.py -6 (направляет перехваченные NTLM на AD через LDAPS).
2)Poisoning IPv6: Windows-хосты запрашивают IPv6/DNS; mitm6 отвечает и указывает злонамеренные WPAD/DNS.
3)Перехват NTLM: При попытке автонастройки/аутентификации клиент отдает NTLM-хэш атакующему (через IPv6/DNS/WPAD).
4)Relay в AD: ntlmrelayx пересылает захваченные NTLM-хэши в LDAP(S) контроллера домена; если учётные данные подходят - выполняются действия от лица пользователя.
5)Постэксплуатация: создание дом. пользователя, дамп хэшей, расширение привилегий
Когда атака не удается:
Не всегда все так сладко, и сисадмины не всегда дураки. Для полного понимания картины озвучу некоторые фиксы, с которыми вы можете столкнуться во время реального пентеста сетки:
Атака IPv6 poisoning (отравления) использует то, что Windows запрашивает адрес IPv6 даже в средах, где есть только IPv4. Для сисадмина лучший метод остановить Mitm6, если он не использует IPv6 внутри сети - использовать групповые политики (Group Policy) в Брандмауэре Windows, чтобы запретить трафик DHCPv6 и входящие объявления маршрутизаторов (router advertisements). Но полное отключение IPv6 может иметь непредвиденные последствия, поэтому обычно атаку могут заблокировать путем настройки следующих предустановленных правил фаервола (брандмауэра):
Сисадмин может добавить правила запрещающие:
-(Входящие) Основные сетевые протоколы - Динамический протокол конфигурации узла для IPv6 (DHCPV6-In)
-(Входящие) Основные сетевые протоколы - Объявление маршрутизатора (ICMPv6-In)
-(Исходящие) Основные сетевые протоколы - Динамический протокол конфигурации узла для IPv6 (DHCPV6-Out)
-Может быть отключена служба WinHttpAutoProxySvc и WPAD через групповые политики, если они не используются внутри сети.
Также админ может добавить административных пользователей в группу "Защищенные пользователи" (Protected Users) или пометить их как конфиденциальные учетные записи, которым нельзя делегировать права (sensitive accounts that cannot be delegated).
Захват DNS через IPv6 - это мощный и интересный вектор атаки, который полагается на слабые или дефолтные конфигурации фаервола для ipv6, и в случае успеха позволяет скомпрометировать ad корпы и получить доступ к конфиденциальным учетным данным, что обычно приводит к полному захвату сети, эксфильтрации данных из шар и шифрования всех дисков
