로그 설정과 Brute Forcing Attack

실습> 로그 설정

file : "기록할 로그의 경로"
versions 숫자 : 로테이션해서 보관할 로그의 개수를 지정한다.
size 크기 : 로그 기록의 크기

severity 로그 레벨 : 아래 7개 중에서 지정하면 된다.
critical | error | warning | notice | info | debug [level] | dynamic
===================================================================>
오른쪽으로 갈수록 상세한 로그가 기록된다.

print-severity yes : 로그 기록을 On  (default no)
print-time yes : 로그파일에 날짜, 시간 정보를 기록한다. (default no)

Victim ~# vi /etc/named.conf 
-- /etc/named.conf --
logging {
       channel default_debug { null; };
       channel log_file {
        // 로그파일명 size 10M
        file "/var/log/named.log" versions 10 size 10M;
        severity  dynamic;  // 로그 정보의 레벨 설정
        print-severity yes;  // 정보 레벨을 기록
        print-time yes;     //  시간을 기록
       };
       category default { log_file; };  // 앞에서 설정한 로그 설정을 사용한다.
};
-- /etc/named.conf --

 

Victim ~# named-checkconf /etc/named.conf 
Victim ~# install -m 640 -o named -g named /dev/null /var/log/named.log
Victim ~# ls -l /var/log/named.log 
-rw-r-----. 1 named named 0 12월 29 20:08 /var/log/named.log
Victim ~# systemctl reload named
Victim ~# tail -f /var/log/named.log 
   <-- 로그가 기록이 안되어서 향후 확인후 다시 알려줌.

allow-transfer 를 주석처리하고 실행한다.
/etc/named.conf
//allow-transfer  { none; };  

/etc/named.rfc1912.zones 
// allow-transfer { none; };  

Victim# systemctl reload named

AXFR이 적용이 안되어 있다면 Brute forcing Attack을 하지 않는다.
AXFR이 적용이 되어 있다면 Brute forcing Attack을 공격을 한다.
Attacker# dnsenum -f /usr/share/dnsenum/dns.txt sbs.com   

---

사전 파일 20,000 개를 가지고 공격을 한다.

 

Victim# vi /var/named/sbs.com.zone
$TTL 60
@     IN  SOA ns  root (
        202108121; serial
        1D    ; refresh
        1H    ; retry
        1W    ; expire
        3H)   ; minimum

      IN  NS  ns
      IN  A   192.168.108.100
ns    IN  A   192.168.108.100
www   IN  A   192.168.108.100
admin IN  A   192.168.108.101
admin IN  A   192.168.108.10
phone IN  A   192.168.108.11
niapc IN  A   192.168.108.12
netma IN  A   192.168.108.13
navtest IN A  192.168.108.14
mail    IN A  192.168.108.100
ftp       IN A  192.168.108.120
webmail  IN A  192.168.108.121
smtp     IN A  192.168.108.122
pop      IN A  192.168.108.123
webdisk  IN A  192.168.108.125
cpanel   IN A  192.168.108.127
whm      IN A  192.168.108.128

 

Victim ~# systemctl reload named

!!! 주의 dns 결과가 내부 IP로 나오지 않으면 실습을 금함 !!!
Attacker# dig sbs.com +short
192.168.108.100

Attacker# dnsenum -f /usr/share/dnsrecon/subdomains-top1mil-20000.txt sbs.com