Wireshark等でアクセスログを収集しているとき、不意に全く知らないIPアドレスからのアクセスが確認されることってよくありませんか?
今回は気になるIPアドレスが一体何者なのかを。さらにそこから一歩踏み込んで、おまけの情報を少し調べる方法を需要を無視してお伝えしていこうと思います。
注意:こちらの記事は犯罪行為を助長するためのものではなく「このような情報からこれだけの情報が得られるので注意しようね」と言う注意喚起が趣旨になっておりますので、悪用してはいけません。少し踏み込めば悪用可能な情報も含まれております。故に、特にDNS周りは結構ぼかして書きますのでこの記事単体ではそれほど有益な情報を得られない可能性が高いことをあらかじめご了承ください。
まずはIPアドレスから
Whois
まずはWhoisを使って調べてみましょう。
実はドメインからでも色々と調べることはできますが、IPアドレスからドメイン名を調べる場合これが一番手っ取り早いので、下記のURLをご覧ください。
https://www.cman.jp/network/support/ip.html
まず、「グローバルIPアドレス または ドメイン」の入力欄に調べたいIPアドレスを入力しましょう。
「管理者情報照会実行」を押してみましょう。
※この時「無料でご利用いただけますが「ご注意・制約事項」を確認下さい」のチェックボックスにチェックを入れるのを忘れずしましょう。
実行が成功するれば結果としてドメインやIPアドレス。果てには「管理先URL」といった情報まで把握することが出来ます。
今回詳細まで紹介するWhoisのサイトは上のURLだけですが、他にも色々な物が存在し「JPNIC」や「APNIC」なども存在します。
それぞれ見やすさとか、得られる情報とか微妙に違い、物によっては担当連絡先や、そのIPアドレスが所属しているIPアドレス空間等が得られます。興味があったら調べてみましょう。
さて、ここまで情報が分ればもうあとは言うことはないでしょう。ここに出てきた情報をもとに、さらにWhoisを実行していき情報を探ったり、詳細は控えますがポートスキャンをして開いているいるポートを探ることだって出来てしまうでしょう。やっちゃだめですよ、ポートスキャン。
DNS(ドメインネームシステム)
続いては、DNSサーバーを調べて行ってみましょう。
こちらは「dig」「nslookup」と言ったコマンドを用いて調べられます。上記のURLで「このホスト確認」の項目から「DNS情報」を選択すればさあ準備は完了。見るべきものを見ていきましょう。
dig
こちらのコマンドで手に入れられる情報の羅列は以下の通りになります。
| NS | 権威DNSサーバ |
|---|---|
| A | ホストIPアドレス(IPv4) |
| AAAA | ホストIPアドレス(IPv6) |
| PTR | そのIPアドレスに対するホスト名 |
| CNAME | ホスト名のエイリアス |
| MX | ドメインメールサーバ |
| TXT | テキストデータ |
| HINFO | ホストのハードやソフト |
| WKS | 実行サービス |
| SOA | ゾーン情報 |
大体これぐらいの情報が最大で得られますが、まあ、全部ってのは大体無理でしょう。全部見えたらそれはそれでかなり心配になります。
一つ一つの情報についての細かい説明は省きます。興味があったら調べてみてください。
nslookup
こちらは「そんなコマンドもあるんだな」程度に認識していただく程度にしか紹介しませんが、大体得られる情報はdigコマンドとそう変わりません。ただ、個人的には、digの方が得られる情報も多いし使いやすいから基本的にはこっちは使わないかな。
まとめ
さて、これでIPアドレスからホスト名と、そいつが所属IPアドレス空間。おまけでDNSサーバとそれに関する様々な情報を知ることが出来ました。
これだけ知れば一体何が出来るのでしょうか?結構色々出来そうです。実際結構色々出来ます。
また、ここで紹介した以外にも、世の中にはいろいろなツールがWeb上に存在しており、この記事の内容で紹介した方法で得られる情報で簡易的な構成図を作成してくれるものも存在したりします。怖い怖い。
ドメインやIPアドレスだけでも結構な情報を知ることが出来るし、それ相応に色々と出来ます。ここにある手段を組み合わせ、さらに少し踏み込めば攻撃に転ずることだって可能です。やっちゃだめですよ。なので、サーバ等を公開しようと考えている方は、セキュリティに少し気を配ってみるのは如何でしょうか。