bindのバージョン探索
Published: 2009/03/10
ネタ的には古いネタですが、DNSなハニーポットに未だバージョンを調べるクエリが届くのでリマインダー。
bindに関しては、dig等を使ってこんなクエリを投げると、何も対策していない場合は、バージョンが調べられます。要はバナーネタの一つですね。
dig VERSION.BIND CH TXT @xxxxxxxxxxx ; <<>> DiG 9.3.4-P1 <<>> VERSION.BIND CH TXT @xxxxxxxxx ; (2 servers found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31147 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;VERSION.BIND. CH TXT ;; ANSWER SECTION: VERSION.BIND. 0 CH TXT "9.3.4-P1" ;; AUTHORITY SECTION: VERSION.BIND. 0 CH NS VERSION.BIND.
でまぁこれを隠すにはこんな設定をいれると。
options { ・・・ version "hoge"; ・・・ } ;
まぁ、いろんな啓蒙活動のおかげで対策をしていないDNSは少なくなっていると思いますが、、、
とりあえずISP各社のリゾルバサーバーについてみてみるとこんな感じ。
BIGLOBE
;; QUESTION SECTION: ;VERSION.BIND. CH TXT ;; ANSWER SECTION: VERSION.BIND. 0 CH TXT "ykd" ;; AUTHORITY SECTION: VERSION.BIND. 0 CH NS VERSION.BIND.
意味不明。
So-net
;; QUESTION SECTION: ;VERSION.BIND. CH TXT ;; ANSWER SECTION: VERSION.BIND. 0 CH TXT "So--net" ;; AUTHORITY SECTION: VERSION.BIND. 0 CH NS VERSION.BIND.
まぁ。
ODN
;; QUESTION SECTION: ;VERSION.BIND. CH TXT ;; ANSWER SECTION: VERSION.BIND. 0 CH TXT "" ;; AUTHORITY SECTION: VERSION.BIND. 0 CH NS VERSION.BIND.
なし。
YBB
;; QUESTION SECTION: ;VERSION.BIND. CH TXT ;; AUTHORITY SECTION: VERSION.BIND. 86400 CH SOA VERSION.BIND. hostmaster.VERSION.BIND. 0 28800 7200 604800 86400
ちがう反応。
OCN
;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 10326 ;; flags: qr rd ra; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; Query time: 3 msec ;; SERVER: 202.234.232.6#53(202.234.232.6) ;; WHEN: Tue Mar 10 16:18:28 2009 ;; MSG SIZE rcvd: 12
bindじゃない。
その他をみると、、、
;VERSION.BIND. CH TXT ;; ANSWER SECTION: VERSION.BIND. 0 CH TXT "9.4.2-P1" ;; AUTHORITY SECTION: VERSION.BIND. 0 CH NS VERSION.BIND.
ありゃ、見える。
Yahoo
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 35724 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;VERSION.BIND. CH TXT
Server Fail
microsoft
;; ->>HEADER<<- opcode: QUERY, status: NOTIMP, id: 54514 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;VERSION.BIND. CH TXT ;; Query time: 138 msec ;; SERVER: 207.68.160.190#53(207.68.160.190) ;; WHEN: Tue Mar 10 16:25:58 2009 ;; MSG SIZE rcvd: 30
ほぉ、実装してないメッセージ。
気持ち的には何かしらメッセージじゃないですけど、意味のある文字がほしかったなぁと。
で、これ以外にも企業系では見えちゃってますね。bind8とかもごろごろと、、、
こんなものだとは思っていますが、DDoSに利用されたり、ポイズニングされたりがないように対策はがんばらないとですね。
ただ、バナーネタに関しては、そんなにしてまでバージョン情報を隠す必要があるのか、重要なのはバージョンを隠すことではなくちゃんとした対策、バージョンアップ、パッチを施すことじゃないのかとも思える面もありますが、そんなにタイムリーな対策が打てるものではないという現実と、たしかに検索された後、そのバージョン用の攻撃が仕掛けられる事実もあるわけですし、隠すに越したことはないんだろうなということになるんですかね。
ハニポ的にはうそのバージョン情報を返してもいいか。どれにどんな攻撃が来るか比べるために。。。
by jyake