Mass Mailing Worm とDNS/SMTPトラフィック解析 Traffic Analysis on Mass Mailing Worm and DNS/SMTP

Search this Article

Author(s)

Abstract

Myparty、KLEZ、及びYarner. A等の大量メール送信型ワーム(MMW)の感染が拡大している時期に、DNS及びE-mailサーバ間の名前解決UDPパケットの流量について統計的に調査を行なった。我々の得た興味深い結果は以下の通りである:(1)SMTPアクセスが増加すれば、異常に大きなピークがDNS流量(D_q)に現れる。(2)このピークの位置とSMTPアクセス量(N_SMTP)のピークの位置は一致する。(3)N_SMTPピークの位置とある利用者のSMTPアクセス量のピークの位置は一致する。(4)我々の調査によれば、その利用者のPCはMMWに感染していた可能性がある。以上のことから、E-mailサーバのDNSサーバに対するD_qを監視することにより、MMWに感染したPC端末の利用者やIPアドレスなどを検知することが可能である。

The name resolving UDP packet traffic between the domain name system (DNS) server and the electronic mail (E-mail) server of Kumamoto University was statistically investigated when several PC terminals were infected by the mass mailing worm (MMW), such as Myparty, KLEZ, or Yarner. A. The interesting results are: (1) An abnormally large peak of the number of DNS query access (D_q) emerges when the number of the SMTP access (N_SMTP) increases drastically. (2) The N_SMTP peak occurs at the same point of the D_q peak. (3) Also, this N_SMTP peak is taken to be as the same peak point as the number of the SMTP access for a user. (4) From our survey, the PC terminal of the user is infected by MMW. Consequently, we can detect an owner and/or an IP address of the MMW-infected PC terminal by observing the D_q traffic from the E-mail server to the DNS server.

Journal

  • IPSJ SIG Notes

    IPSJ SIG Notes 19, 19-24, 2002-12-20

    Information Processing Society of Japan (IPSJ)

References:  16

Cited by:  3

Codes

  • NII Article ID (NAID)
    110002664771
  • NII NACSIS-CAT ID (NCID)
    AA11235941
  • Text Lang
    ENG
  • Article Type
    Journal Article
  • ISSN
    09196072
  • NDL Article ID
    6433207
  • NDL Source Classification
    ZM13(科学技術--科学技術一般--データ処理・計算機)
  • NDL Call No.
    Z14-1121
  • Data Source
    CJP  CJPref  NDL  NII-ELS 
Page Top