ろーてくxyz blog

ローテクを駆使してIT関係でサヴァイヴしようとする人による備忘録

DNS関連調査にも利用できるWebツール

はじめに

本記事は、QiitaのDNS Advent Calendar 2024に参加させて頂いております。

今回の記事では、DNSのトラブルシュートや運用周り等でも利用できるような、Web上で公開されているツール中心に、個人的に良く使っている・使っていたツールを備忘録も込めて残しておきたいと思います。有料プラン等が存在する物もありますが、無料でも使えるものを掲載しています。また、具体的な使い方というよりは、ツールの簡単なおススメ用途を交えて紹介する程度になります。
私自身はセキュリティ専門業ではないですが、Shodanやcensysなども業務で使ってた事があるのですが、セキュリティ関連の方々も紹介するサイトを組み合わせて使える(というか恐らく既知)ものもあるかもしれません。

なお、ツールの利用にあたっては、基本的に自分の管理しているドメインの調査などでのみでの利用が推奨されます。

今回のツールのお品が書き

  • MXToolbox
  • DNSviz
  • DNSPerf
  • SecurityTrails
  • Hurricane Electric BGP Toolkit

MXToolbox

mxtoolbox.com

皆さんすでにご存じの方のほうが多いと思うMXToolBoxです。今回はDNSを軸にしていますがDNS関係の方以外にも、インターネットメールの運用等をした事のある方にも昔からお馴染みではないでしょうか。個人的にインターネットメールの運用をしていた際には、SMTPアドレスのRBL登録状況をBulkで確認できるので確認する事の方が多かったのではという記憶もあります。

こちらのMXToolboxでは数多くのツールが公開されており、ほとんどこのツールのみでDNS周りの確認もできてしまう感じがしますが、前途の通りインターネットメールにまつわるたとえば、SPF、DMARC、DKIM周りの状態確認などをする際に個人的には使えるかなと思います。なお、最近はSPFDMARCDNSリソースレコードのサジェスト作成等もできるので、参考までに使ってみるのも良いかもしれません。
あとは「Google/Yahoo Email Compliance」というものもあるので、システムを変更した際などに確認するのも良いかもしれませんね。

これらは、Sing Up無しでも上記のツール類が利用できます。ログインするとツールのFavarite機能なども利用できます。(恐らく)

DNSviz

dnsviz.net

こちらもDNS権威サーバの運用されてる方にはすでにおなじみ、現在はVerisign Labsが運営主体になっているらしい、DNSvizです。
特にDNSSECの認証チェーンを可視化できる点に優れており、DNSSECを試しに導入しようとしている方や、DNS Cacheサーバでのvalidationのトラブルシューティングにも、すでに役立てる方も多い事でしょう。 また、認証チェーンの連鎖可視化だけではなく、登録されてる各種DNSKEY/DS/NSECに関するエラー情報や、委任のエラー情報なども表示されるようになっているようなので、DNSSECを初期導入するときはもちろん、Keyの入れ替え時などの挙動を確認する際にもとても助けになります。
実際に私も、DNSSECでのKey ロールオーバーの際や、Cache DNS側でValidationに失敗する場合のトラブルシュートで利用していた事があり、とても助けられた覚えがあります。
なお、利用の際は、対象のドメインを入力後にDNSvizでの解析処理をする必要があり、いつのタイミングで処理をかけたかの処理履歴が残る点は覚えておいたほうが良いのかもしれません。(解析を依頼したクライアントPCのIP等は表面上は履歴には含まれてはいなさそう)。

ちなみに、DNSvizはお手元で動かせるバージョンとして、ソースコードが公開されていますので、履歴残したくない方や何か自動化されたりしたい場合は良いかもしれません。記事を書いてるタイミング起点でも、数か月前にReleaseファイルもアップデートされていたりするので、メンテナンスは現在もされているようです。
私自身もこちらは利用した事がないので、使ってみる際は記事化を検討したいと思います。

github.com

更におまけで、Verisign Labs側ではDNSSEC Debuggerというのも存在しています。

DNSPerf

www.dnsperf.com

DNSを構築する際のQuery性能測定ツールと同じ名前ですが、それとは異なるものです。
こちらのサイトでは以下の状態を確認する事が可能となっています。

  • 有名所の権威DNSホスティングのサービス状況
  • 有名所のPublic Cache DNSのサービス状況
  • DNS ROOT Serverの状況

個人的に使えそうなシチュエーションとしては、DNSホスティングの状態も気になるところですが、DNS ROOT Serverのステータスが見れる点も役に立つと考えています。DNS ROOT Serverも稀にダウンする事もあり、手元のCache DNSでエラーが出た際にも参考にできると思います。

SecurityTrails

securitytrails.com

こちらは、どちらかというとセキュリティ関連での調査等に使える用なものですが、DNSのレコードの変更履歴やサブドメインの抽出等ができます。無料の会員登録があるのですが、会員無しでは履歴情報などの参照はできないため、会員登録が必要です。

企業等でサブドメインの管理ができておらず調査する際の手助けや過去のレコード情報を確認したい場合等に有効な場合があります。(無料枠でどこまでの履歴が見れるかは不明)

Hurricane Electric BGP Toolkit

bgp.he.net

最後におまけのツールの紹介。Hurricane Electricが提供する、ツールの名前のとおりにBGP周りのツールを中心としたツール集で、BGPのPrefixやPeerに関する情報やLooking Glassなどはもちろん、DNSに関する、各TLDドメイン数やレコード数の情報も収集などする事もできます。ほかに、Whois、RDAPの情報も取得やこちらでも各種RBL関連でのBlacklist情報なども確認ができます。