cNotes 検索 一覧 カテゴリ

bindのバージョン探索

Published: 2009/03/10

ネタ的には古いネタですが、DNSなハニーポットに未だバージョンを調べるクエリが届くのでリマインダー。

bindに関しては、dig等を使ってこんなクエリを投げると、何も対策していない場合は、バージョンが調べられます。要はバナーネタの一つですね。

 dig VERSION.BIND CH TXT @xxxxxxxxxxx
 
 ; <<>> DiG 9.3.4-P1 <<>> VERSION.BIND CH TXT @xxxxxxxxx
 ; (2 servers found)
 ;; global options:  printcmd
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31147
 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 
 
 ;; QUESTION SECTION:
 ;VERSION.BIND.                  CH      TXT
 
 ;; ANSWER SECTION:
 VERSION.BIND.           0       CH      TXT     "9.3.4-P1" 
 
 ;; AUTHORITY SECTION:
 VERSION.BIND.           0       CH      NS      VERSION.BIND.

でまぁこれを隠すにはこんな設定をいれると。

 options {
            ・・・
            version "hoge";
            ・・・
 } ; 

まぁ、いろんな啓蒙活動のおかげで対策をしていないDNSは少なくなっていると思いますが、、、

とりあえずISP各社のリゾルバサーバーについてみてみるとこんな感じ。

BIGLOBE

 ;; QUESTION SECTION:
 ;VERSION.BIND.                  CH      TXT
 ;; ANSWER SECTION:
 VERSION.BIND.           0       CH      TXT     "ykd"
 ;; AUTHORITY SECTION:
 VERSION.BIND.           0       CH      NS      VERSION.BIND.

意味不明。

So-net

 ;; QUESTION SECTION:
 ;VERSION.BIND.                  CH      TXT
 ;; ANSWER SECTION:
 VERSION.BIND.           0       CH      TXT     "So--net"
 ;; AUTHORITY SECTION:
 VERSION.BIND.           0       CH      NS      VERSION.BIND.

まぁ。

ODN

 ;; QUESTION SECTION:
 ;VERSION.BIND.                  CH      TXT
 ;; ANSWER SECTION:
 VERSION.BIND.           0       CH      TXT     ""
 ;; AUTHORITY SECTION:
 VERSION.BIND.           0       CH      NS      VERSION.BIND.

なし。

YBB

 ;; QUESTION SECTION:
 ;VERSION.BIND.                  CH      TXT
 ;; AUTHORITY SECTION:
 VERSION.BIND.           86400   CH      SOA     VERSION.BIND.   hostmaster.VERSION.BIND. 0 28800 7200 604800 86400

ちがう反応。

OCN

 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 10326
 ;; flags: qr rd ra; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
 
 ;; Query time: 3 msec
 ;; SERVER: 202.234.232.6#53(202.234.232.6)
 ;; WHEN: Tue Mar 10 16:18:28 2009
 ;; MSG SIZE  rcvd: 12

bindじゃない。

その他をみると、、、

Google

 ;VERSION.BIND.                  CH      TXT
 ;; ANSWER SECTION:
 VERSION.BIND.           0       CH      TXT     "9.4.2-P1"
 ;; AUTHORITY SECTION:
 VERSION.BIND.           0       CH      NS      VERSION.BIND.

ありゃ、見える。

Yahoo

 ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 35724
 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
 
 ;; QUESTION SECTION:
 ;VERSION.BIND.                  CH      TXT

Server Fail

microsoft

 ;; ->>HEADER<<- opcode: QUERY, status: NOTIMP, id: 54514
 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
 
 ;; QUESTION SECTION:
 ;VERSION.BIND.                  CH      TXT
 
 ;; Query time: 138 msec
 ;; SERVER: 207.68.160.190#53(207.68.160.190)
 ;; WHEN: Tue Mar 10 16:25:58 2009
 ;; MSG SIZE  rcvd: 30

ほぉ、実装してないメッセージ。

気持ち的には何かしらメッセージじゃないですけど、意味のある文字がほしかったなぁと。

で、これ以外にも企業系では見えちゃってますね。bind8とかもごろごろと、、、

こんなものだとは思っていますが、DDoSに利用されたり、ポイズニングされたりがないように対策はがんばらないとですね。

ただ、バナーネタに関しては、そんなにしてまでバージョン情報を隠す必要があるのか、重要なのはバージョンを隠すことではなくちゃんとした対策、バージョンアップ、パッチを施すことじゃないのかとも思える面もありますが、そんなにタイムリーな対策が打てるものではないという現実と、たしかに検索された後、そのバージョン用の攻撃が仕掛けられる事実もあるわけですし、隠すに越したことはないんだろうなということになるんですかね。

ハニポ的にはうそのバージョン情報を返してもいいか。どれにどんな攻撃が来るか比べるために。。。

[カテゴリ:DNS観察日記]

by jyake