[BIND] BINDのバージョンを調べる - itochif.com

バージョン情報から脆弱性を検索できるサイトもある昨今、バージョン情報が第三者から簡単にわかる設定が良いとは思えません。ここでは、第三者がBINDのバージョン情報を調べる方法とその対策を記載します。

デフォルト設定のBIND DNSサーバの場合、バージョン情報の問い合わせの返答に正しいバージョン情報を返します。以下ではdigコマンドとnslookupコマンドでの調べ方を記載します。

# dig @192.168.10.2 chaos txt version.bind	digコマンドで192.168.10.2のBINDバージョンを問い合わせている
; <<>> DiG 9.3.4-P1 <<>> @192.168.10.2 chaos txt version.bind
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3996
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
version.bind.           0       CH      TXT     "9.3.4-P1"

;; AUTHORITY SECTION:
version.bind.           0       CH      NS      version.bind.

;; Query time: 9 msec
;; SERVER: 192.168.10.2#53(192.168.10.2)
;; WHEN: Sun Aug 10 19:00:00 2008
;; MSG SIZE  rcvd: 65

上記の赤色、「9.3.4-P1」がBINDのバージョンです。
nslookupコマンドでは以下のように問い合わせます。

# nslookup -type=txt -class=chaos version.bind 192.168.10.2	nslookupコマンドで192.168.10.2のBINDバージョンを問い合わせている
Server:         192.168.10.2
Address:        192.168.10.2#53

version.bind    text = "9.3.4-P1"

上記のようにBINDのバージョン情報は外部から容易に問い合わせる事ができます。これは、設定ファイルに追記をすることで変更できます。具体的には以下の行をoptionsの項目内に追記します。

# vi /etc/named.conf
------------------------------ 次の行からnamed.confの中身
options{
	version "XXX";
};
------------------------------ named.conf終了

BINDを再起動した上で、バージョン情報を問い合わせて見ます。

#  nslookup -type=txt -class=chaos version.bind 192.168.10.2
Server:         192.168.10.2
Address:        192.168.10.2#53

version.bind    text = "XXX"

上記のようにBINDのバージョン情報変更され「XXX」となっている事を確認します。