うちのネットワークでなぜか誰も使っていない筈のLINE関係のDNSクエリが発行されたのが検知されたので急遽作成したNAVER/LINE/NHN関係のIPアドレスリスト(CIDR)とホストリスト。
これをファイアウォールやリゾルバに仕掛けることでNAVER/LINE/NHN関係のホストとの通信をさせないようにする。
あくまでも個人的な目的で作成したもので、「皆さん、これを使いましょう」というものではない。
でも、L○NEとかN○VERとか糞食らえと思っているなら、もしくは家庭や職場のネットワークでLI○Eとかするんじゃねぇと思っているなら利用するのもアリかなと思って公開。
IPアドレスのリストを見ると意外と纏まっている。細切れではないのでおもちゃみたいな家庭用のブロードバンドルーターであっても登録制限内で十分に余裕ってくらいCIDRの数(IPアドレスレンジの数)は少ない。(ファイアウォール機能でIPアドレス範囲による拒否/許可を指定できる機種での話)
ホストリストについては無料情報漏○いアプリ関係がメインで他はまだこれから。そして「がとらぼ」の中の人がLIN○を使っていないので、十分にホスト名が収集できているのかできていないのかも不明。あのアプリ使うと他にこんなホストにもアクセスするよという情報があれば、また、あのアプリ以外でもこの記事のタイトルに関係するサービスのホスト名を知っていたら是非お知らせいただきたくお願いします。
なお、無料情報漏え○アプリの他に幾つかのサービスが使えない、ウェブサイトが閲覧できない、ということになるだろうけど、どうせここを利用してるようなのはまともなのが無いだろうから構わないだろう。(「がとらぼ」の中の人の勝手な思い込みです。)
- CIDR / pfのテーブル用 (pfでの使い方)
- pf_naver.txt
- hostsファイル/ Windows,Linux用 (Windowsでの使い方はこの記事の最後)
- hosts_naver.txt
- local-data / unbound用 (使い方)
- local_data_naver.conf.txt
- local-zone / unbound用 (使い方)
- local_zone_naver.conf.txt
全部または組み合わせて使うのではなく、基本的にはどれか1つ好きなのを使うというつもりで作っている。
個人的に調べた範囲だけなので全てを網羅できてはいない筈。また、AkamaiなどのCDNも絡むが殆ど取れていない。ホントAkamaiとか関係すると嫌だわ。
Windows Hostsファイルの編集方法。
スタートボタンを右クリック。「コマンドプロンプト(管理者)」を左クリックcd drivers\etc [Enter] notepad hosts [Enter]
ノートパッドが開くので編集して上書き保存。
はじめまして。ラインの通信先を特定されたことに非常に感銘を受けております。差し支えなければ、どのようにして、特定されてのか、ご教示いただけませんでしょうか?
LAN内にDHCPサーバがあります。そのDHCPサーバではリゾルバとしてLAN内にあるDNSを指定する設定にしておきます。LAN内の端末(DHCPクライアント)側は特に外部のDNSを使う設定にしていなければDHCPで指定されたLAN内のDNSをリゾルバとして使用します。LAN内のDNSでは名前解決を行う際にログ(クエリ)を出力させるようにしておきます。
単にログとして出力すると肥大するし、その活用も難しいのでFilebeatでElasticSearchに送り、Kibanaで可視化するとラクです。ただし、現在はELK-Stackを利用していないのでこの辺りは行っていません。
調べたいホスト名があればIPアドレスを引いて、whoisでそのIPアドレスを引きます。これでそのIPアドレスを持っているネットワークの範囲を得ることができます。
そのネットワークに隣接するIPアドレスをwhoisで引いて所有者が同じか違うかを確認し、同じならCIDRをマージするなどします。これを繰り返すとある程度は調べられます。ただし、調査対象の会社がDNSのログに登場しない別のIPアドレス(ネットワーク)を持っている場合は、この方法では調べることはできません。細切れのネットワークをたくさん持っているような会社だとやっかいです。