プロトコル異常検知によるAレコード型DNSパケット分散サービス妨害攻撃の阻止 Prevention of A-record based DNS Query Packets Distributed Denial-of-Service Attack by Protocol Anomaly Detection

Search this Article

Author(s)

Abstract

ある大学のDNSサーバに対する大量のDNSアクセスがあり、そのアクセスに含まれるAレコード型DNSクエリパケットのコンテンツについて調査した。その結果、(1)大量メール送信型型ワーム(MMW)のワーム活動やspamメール発信活動に関するAレコード型のDNSクエリパケットのコンテンツには、主として"mail", "smtp", "mx", "ns", "relay"および"gate"等のキーワードが含まれていることが判明し、また、(2)スパイウェアやボットウィルスに乗っ取られている思われるPC端末からのAレコード型DNSクエリパケットのコンテンツには、IPアドレスがキーワードとして直接記述されていることが見い出された。以上結果から、Aレコード型DNSクエリパケットのクエリコンテンツを監視することで、メール型ワームに感染している、また、ボットトネットワークを構成単位としてのPC端末のIPアドレスを検知することが可能であることが判明した。

The contents of the A record based DNS query packets between the DNS server and DNS clients in a university were investigated when receiving a large amount of DNS resolution access. The interesting results are : (1) Keywords of "mail", "smtp", "mx", "ns", "relay", and "gate" are mainly included in the contents of the A record based DNS query packets from the PC clients that are infected with the Mass Mailing Worm (MMW) and/or hijacked as a spam mail sender, and (2) the IP addresses are directly described in the contents of the A record based DNS query packets from the PC clients that are infected with the spyware or the bot network virus. Therefore, we can clearly detect IP addresses of the PC clients that are the MMW-infected and/or bot network virus by only monitoring the contents of the A record based DNS query packets.

Journal

  • 情報処理学会研究報告

    情報処理学会研究報告 2005(83), 23-28, 2005-08-05

    Information Processing Society of Japan (IPSJ)

Codes

  • NII Article ID (NAID)
    110002952307
  • NII NACSIS-CAT ID (NCID)
    AA11559681
  • Text Lang
    ENG
  • ISSN
    09196072
  • NDL Article ID
    7422320
  • NDL Source Classification
    ZM13(科学技術--科学技術一般--データ処理・計算機)
  • NDL Call No.
    Z14-1121
  • Data Source
    NDL  NII-ELS 
Page Top