この広告は、90日以上更新していないブログに表示しています。

2006-12-09

ネームサーバーとして登録されているプリンタ

mon arp

• 新しくIPアドレスが与えられたプリンタがLAN外部のアドレスに対して多数のARPを発行し始める.
• 現象としてはゲートウェイが設定されていないプリンタが多数のICMP不到達メッセージを受けた場合に似ているが,非常に発行数が多い.
  • 参照

• ARP発行の様子をgraphvizでグラフにしたもの.四角とダイヤモンドの赤はLAN外部のIPアドレスで名前が解決出来たものと出来なかったもの.黄色がプリンタ.赤の大部分は解決できるアドレス.
• プリンタに対してのアクセスはそのほとんどがネームサーバーからのDNS問い合わせパケット.
• 数年前に撤去された機械が過去に独自に取得したと思われる.orgドメインのネームサーバーをしており,同IPを使用していた.このドメインの権威あるネームサーバーからは登録が抹消されているもののセカンダリと思われる.orgドメインのネームサーバーには未だにNSレコードの登録にこのIPアドレスが残ったままになっている.
• ゲートウェイが多数のARPを発行しているが応答がないアドレスは,ポートスキャン対象によく選ばれるIPアドレス(末尾が87,88など)以外にも,現在使用されていないが過去にサーバーをしていたものがある.