DNSによるスパムボットとホスト探索活動の検知 DNS Based Detection of Spam Bots and Host Search Activity

Search this Article

Author(s)

Abstract

2007年4月1日〜2008年7月31日の期間について学外からのとある大学のトップドメインDNSサーバへのDNSクエリパケットの流量のエントロピー研究を行ったところ、次の様な結果を得た。(1)期間中送信元IPアドレスに関する流量エントロピーの増加と同時にDNSクエリキーワードに関する流量エントロピーの減少が度々観察されることから、そのキャンパスネットワーク上では、ランダムスパムボットが現在も尚存在し、活動していることを示しており、また(2)学外の特定のIPアドレスやネットワークアドレスからキャンパス内部のネットワークアドレス範囲について逆引名前解決アクセスが多数行われているのが観察されている。これらの結果は、その大学のキャンパスネットワーク上に多数のランダムスパムボットが活動し、また学外から攻撃の対象となっていることを示している。

We carried out an entropy study on the DNS query traffic from the outside for a university campus network to the top domain DNS server in a university through April 1st, 2007 to July 31st, 2008. The following interesting results are given: (1) The random spam bots have been still alive and/or active in the campus network because we can observe that the unique source IP addresses-based DNS traffic entropy increases as well as the unique DNS query keywords-based one decreases frequently. (2) We have also observed a lot of the reverse name resolution access from the specific site on the campus IP address range. Therefore, it can be concluded that in the campus network, the random spam bots are still active and the campus network is also targeted by the attackers.

Journal

  • IPSJ SIG Technical Reports

    IPSJ SIG Technical Reports 3, 1-6, 2008-09-12

    Information Processing Society of Japan (IPSJ)

References:  9

Codes

  • NII Article ID (NAID)
    110006967162
  • NII NACSIS-CAT ID (NCID)
    AA12326962
  • Text Lang
    ENG
  • Article Type
    ART
  • ISSN
    09196072
  • NDL Article ID
    9668900
  • NDL Source Classification
    ZM13(科学技術--科学技術一般--データ処理・計算機)
  • NDL Call No.
    Z14-1121
  • Data Source
    CJP  NDL  NII-ELS 
Page Top