連載
» 2005年08月30日 00時00分 公開

怪しいサイトに飛ばされるんだけどコマンドを使ってトラブルシューティング(11)(2/3 ページ)

[山本洋介@IT]

4種類のDNSサーバをひいてみる

 名前解決をするためのコマンドにはdigとnslookupがありますが、ここでは律子さんはdigを使ってみることにします(参照記事:DNS Tips ネームサーバの設定を確認するには)。前回のトラブルを解決してからちょっとLinux使いに興味を持ち始めた律子さんです。

 まず、普通にAレコードを引いてみることにします。 まず、普通に会社にあるDNSサーバからAレコードを引いてみることにします。

DNSサーバからAレコードを引いてみる
参照:DNS Tips ネームサーバの3つの働きとは(ルートドメインの名前サーバ)

$ dig A shopping.itmedia.co.jp. 
; <<>> DiG 9.2.2 <<>> A shopping.itmedia.co.jp
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34960
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;shopping.itmedia.co.jp. IN A
;; ANSWER SECTION:
shopping.itmedia.co.jp. 64763 IN A 218.187.44.55
;; AUTHORITY SECTION:
itmedia.co.jp. 64763 IN NS shopping.itmedia.co.jp.
;; ADDITIONAL SECTION:
shopping.itmedia.co.jp. 64763 IN A 218.187.44.55
;; Query time: 7 msec
;; SERVER: 219.166.170.244#53(ns.example.co.jp)
;; WHEN: Thu Aug 25 00:39:52 2005
;; MSG SIZE rcvd: 78

 shopping.itmedia.co.jpのIPアドレスは218.187.44.55か。

 次に別のDNSサーバから同じサイトのIPアドレスを引いてみます。とはいえ相手サイトのNSレコードに書かれているのは偽のIPアドレスを返すDNSかもしれないので、ルートネームサーバから順に引いていくことにします

ルートサーバはhttp://www.internic.net/zones/named.rootにリストが載っています。ちなみにM.ROOT-SERVERS.NETが日本にあるルートネームサーバです。


ルートネームサーバからshopping.itmedia.co.jpのIPアドレスを引いてみる
参照:DNS Tips ネームサーバの3つの働きとは(jpドメインの名前サーバ)

$ dig @202.12.27.33 A shopping.itmedia.co.jp. +norec
; <<>> DiG 9.2.2 <<>> @202.12.27.33 A shopping.itmedia.co.jp. +norec
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52989
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 9
;; QUESTION SECTION:
;shopping.itmedia.co.jp. IN A
;; AUTHORITY SECTION:
jp. 172800 IN NS F.DNS.jp.
jp. 172800 IN NS D.DNS.jp.
jp. 172800 IN NS E.DNS.jp.
jp. 172800 IN NS A.DNS.jp.
jp. 172800 IN NS B.DNS.jp.
;; ADDITIONAL SECTION:
F.DNS.jp. 172800 IN A 150.100.2.3
D.DNS.jp. 172800 IN A 210.138.175.244
E.DNS.jp. 172800 IN A 192.50.43.53
A.DNS.jp. 172800 IN A 203.119.1.1
B.DNS.jp. 172800 IN A 202.12.30.131
F.DNS.jp. 172800 IN AAAA 2001:2f8:0:100::153
D.DNS.jp. 172800 IN AAAA 2001:240::53
E.DNS.jp. 172800 IN AAAA 2001:200:0:1::4
A.DNS.jp. 172800 IN AAAA 2001:dc4::1
;; Query time: 7 msec
;; SERVER: 202.12.27.33#53(202.12.27.33)
;; WHEN: Thu Aug 25 00:29:34 2005
;; MSG SIZE rcvd: 316

 jpドメインに関する情報を管理しているDNSサーバがわかったので、次に一番上にあるF.DNS.jp.(150.100.2.3)に聞いてみることにします。

itmedia.co.jpドメインを管理しているDNSサーバをF.DNS.jp.に聞いてみる
参照:DNS Tips ネームサーバの3つの働きとは(example.jpゾーンの名前サーバ)

$ dig @150.100.2.3 A shopping.itmedia.co.jp. +norec
; <<>> DiG 9.2.2 <<>> @150.100.2.3 A shopping.itmedia.co.jp. +norec
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20365
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 3
;; QUESTION SECTION:
;shopping.itmedia.co.jp. IN A
;; AUTHORITY SECTION:
itmedia.co.jp. 86400 IN NS ns2.iprevolution.co.jp.
itmedia.co.jp. 86400 IN NS ns01.itmedia.co.jp.
itmedia.co.jp. 86400 IN NS ns02.itmedia.co.jp.
;; ADDITIONAL SECTION:
ns2.iprevolution.co.jp. 86400 IN A 61.115.192.18
ns01.itmedia.co.jp. 86400 IN A 219.127.150.1
ns02.itmedia.co.jp. 86400 IN A 219.127.150.21
;; Query time: 14 msec
;; SERVER: 150.100.2.3#53(150.100.2.3)
;; WHEN: Thu Aug 25 00:33:34 2005
;; MSG SIZE rcvd: 157

 これでitmedia.co.jpドメインを管理しているDNSサーバがわかりました。最後に直接管理しているDNSサーバのns2.iprevolution.co.jp.(61.115.192.18)にshopping.itmedia.co.jpのIPアドレスを聞いてみることにします。

shopping.itmedia.co.jpのIPアドレスを直接管理しているDNSサーバに聞いてみる
参照:DNS Tips ネームサーバの3つの働きとは(キャッシュサーバ)

$ dig @61.115.192.18 A shopping.itmedia.co.jp. +norec
; <<>> DiG 9.2.2 <<>> @61.115.192.18 A shopping.itmedia.co.jp. +norec
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62500
;; flags: qr aa ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; QUESTION SECTION:
;shopping.itmedia.co.jp. IN A
;; ANSWER SECTION:
shopping.itmedia.co.jp. 3600 IN A 210.81.222.12
;; AUTHORITY SECTION:
itmedia.co.jp. 3600 IN NS ns2.iprevolution.co.jp.
itmedia.co.jp. 3600 IN NS ns01.itmedia.co.jp.
itmedia.co.jp. 3600 IN NS ns02.itmedia.co.jp.
;; ADDITIONAL SECTION:
ns2.iprevolution.co.jp. 3600 IN A 61.115.192.18
ns01.itmedia.co.jp. 3600 IN A 219.127.150.1
ns02.itmedia.co.jp. 3600 IN A 219.127.150.21
;; Query time: 7 msec
;; SERVER: 61.115.192.18#53(61.115.192.18)
;; WHEN: Thu Aug 25 00:36:33 2005
;; MSG SIZE rcvd: 173

 やはりIPアドレスが違います。

 どうやら律子さんの管理する社内DNSサーバがフィッシングサイトから偽のレコードを受け取ってしまっていたようです。そして、偽のレコードをキャッシュしてしまった社内DNSサーバが、社内のユーザーに偽のIPアドレスを配布して、ユーザーがフィッシングサイトにアクセスするような仕組みになっていたのでした。

 律子さんはすぐにDNSサーバを再起動させてサーバのキャッシュをクリアして、もう1度名前解決を行ってみると、正常なIPアドレスであることが確認できました。

 これで解決、と意気揚々と陽一さんのマシンに行って、「ほら大丈夫でしょ」ともう1度ショッピングサイトにアクセスしてみましたが、フィッシングサイトが表示されてしまいます。

律子 「え??」

 陽一さんの視線も冷たく感じます。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。