Since 12/1/2007
Home > Security > BIND > BINDのバージョンを調べる

[BIND] BINDのバージョンを調べる - itochif.com

バージョン情報から脆弱性を検索できるサイトもある昨今、バージョン情報が第三者から簡単にわかる設定が良いとは思えません。ここでは、第三者がBINDのバージョン情報を調べる方法とその対策を記載します。

BINDのバージョンを調べる

デフォルト設定のBIND DNSサーバの場合、バージョン情報の問い合わせの返答に正しいバージョン情報を返します。以下ではdigコマンドとnslookupコマンドでの調べ方を記載します。

# dig @192.168.10.2 chaos txt version.bind	digコマンドで192.168.10.2のBINDバージョンを問い合わせている
; <<>> DiG 9.3.4-P1 <<>> @192.168.10.2 chaos txt version.bind
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3996
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
version.bind.           0       CH      TXT     "9.3.4-P1"

;; AUTHORITY SECTION:
version.bind.           0       CH      NS      version.bind.

;; Query time: 9 msec
;; SERVER: 192.168.10.2#53(192.168.10.2)
;; WHEN: Sun Aug 10 19:00:00 2008
;; MSG SIZE  rcvd: 65
図1.digコマンドでBINDのバージョンを問い合わせている

上記の赤色、「9.3.4-P1」がBINDのバージョンです。
nslookupコマンドでは以下のように問い合わせます。

# nslookup -type=txt -class=chaos version.bind 192.168.10.2	nslookupコマンドで192.168.10.2のBINDバージョンを問い合わせている
Server:         192.168.10.2
Address:        192.168.10.2#53

version.bind    text = "9.3.4-P1"
図2.nslookupコマンドでBINDのバージョンを問い合わせている

BINDのバージョン情報を出ないようにする

上記のようにBINDのバージョン情報は外部から容易に問い合わせる事ができます。これは、設定ファイルに追記をすることで変更できます。具体的には以下の行をoptionsの項目内に追記します。

# vi /etc/named.conf
------------------------------ 次の行からnamed.confの中身
options{
	version "XXX";
};
------------------------------ named.conf終了
図3.設定ファイルのoptions項目に「version "XXX";」を追記

BINDを再起動した上で、バージョン情報を問い合わせて見ます。

#  nslookup -type=txt -class=chaos version.bind 192.168.10.2
Server:         192.168.10.2
Address:        192.168.10.2#53

version.bind    text = "XXX"
図4.nslookupコマンドでbindのバージョンを問い合わせている。

上記のようにBINDのバージョン情報変更され「XXX」となっている事を確認します。

掲載日 8/10/2008