Methodik

Wir verwenden Serien von " Borderline"-Anfrage-Antwort-Nachrichten, um Implementierungen zu identifizieren. Serien von Abfrage-Antwort-Nachrichten bilden eine Sequenz. Wie bereits erwähnt, werden bei dieser Methode Antworten auf eine "Borderline"-Abfrage verwendet. Um einigermaßen effizient zu sein, kann ein Baum erstellt werden, der aus Abfragen (Knoten) und Antworten (Zweigen) besteht, wobei die Ausgangsknoten die Implementierung identifizieren. Jeder Pfad vom Wurzelknoten (Anfangsabfrage) bis zu einem Ausgangsknoten (Endabfrage) ist eine Sequenz oder ein "Stamm". Die Stämme werden verwendet, um zwischen verschiedenen Implementierungen zu unterscheiden und diese letztendlich zu identifizieren.

DNS Fingerprinting Tool

fpns ist ein Programm, welche die DNS-Server-Versionen aus der Ferne ermittelt. Dazu sendet es eine Reihe von Borderline-DNS-Anfragen, die mit einer Tabelle von Antworten und Serverversionen verglichen werden. False Positives oder falsche Versionen können so angezeigt werden, wenn versucht wird, eine Reihe von Servern zu identifizieren, die sich hinter einer Load Balancing-Infrastruktur befinden und unterschiedliche Implementierungen aufweisen oder wenn sich eine bestimmte Implementierung wie ein Forwarder verhält oder wenn sich die Server hinter einer Firewall ohne Statefull Inspection oder ohne Application Intelligence befinden. 

DNS-Fingerprinting Tool - Download: DNS-Fingerprint