DNS解決PTRレコード分散型サービス妨害攻撃の自動検知と自動阻止システムの開発 Development of Automatic Detection and Prevention Systems of DNS Query PTR record-based Distributed Denial-of-Service Attack

Search this Article

Author(s)

Abstract

我々の大学のトップドメインDNSサーバが大量のDNS解決パケット送りつけられる分散型サービス妨害攻撃(DDoS)を受けている時、DNSサーバのsyslogを統計的に解析したところ次のような結果を得た:(1)DNS解決DDoS攻撃パケットは主に逆引(PTR)レコードで構成されている。(2)そのPTRレコードで解決するIPアドレスは、主として本大学の未使用のIPアドレスである。従って、未使用IPアドレスのPTRレコードを監視すれば、DNS解決型DDoS攻撃検知すること可能である。またそのDDoS攻撃を自動的に検知し、自動的に阻止するシステム(IPS)を開発した.

The syslog messages of the top domain DNS servers in Kumamoto University were statistically investigated when having a distributed denial-of-service (DDoS) attack like receiving a large amount of DNS query packets. The interesting results are : (1) Contents of the DNS query-based DDoS attack packets mainly consist of reverse (PTR) records. (2) The PTR records include a lot of unused IP addresses of our university. Therefore, we can detect the DNS query-based DDoS attack by only monitoring the contents of DNS query PTR record packet traffic having unused IP addresses. Also, we developed and implemented a simple intrusion prevention system (IPS) for the DNS query-based DDoS attack on the our top domain DNS servers.

Journal

  • IPSJ SIG Technical Reports, Distributed System and Management 34th

    IPSJ SIG Technical Reports, Distributed System and Management 34th 34, 43-48, 2004-07-30

    Information Processing Society of Japan (IPSJ)

References:  12

Cited by:  4

Codes

  • NII Article ID (NAID)
    110002914399
  • NII NACSIS-CAT ID (NCID)
    AA11559681
  • Text Lang
    ENG
  • Article Type
    Journal Article
  • ISSN
    09196072
  • NDL Article ID
    7065469
  • NDL Source Classification
    ZM13(科学技術--科学技術一般--データ処理・計算機)
  • NDL Call No.
    Z14-1121
  • Data Source
    CJP  CJPref  NDL  NII-ELS 
Page Top