2024-03-29T02:17:39Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:000471022023-04-27T10:00:04Z01164:04088:04122:04125
Development of Automatic Detection and Prevention Systems of DNS Query PTR record - based Distributed Denial -of- Service AttackDNS解決PTRレコード分散型サービス妨害攻撃の自動検知と自動阻止システムの開発enghttp://id.nii.ac.jp/1001/00047102/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=47102&item_no=1&attribute_id=1&file_no=1Copyright (c) 2004 by the Information Processing Society of Japan熊本大学総合情報基盤センター熊本大学総合情報基盤センター熊本大学総合情報基盤センター武藏, 泰雄松葉, 龍一杉谷, 賢一我々の大学のトップドメインDNSサーバが大量のDNS解決パケット送りつけられる分散型サービス妨害攻撃(DDoS)を受けている時、DNSサーバのsyslogを統計的に解析したところ次のような結果を得た: (1)DNS解決DDoS攻撃パケットは主に逆引(PTR)レコードで構成されている。(2)そのPTRレコードで解決するIPアドレスは、主として本大学の未使用のIPアドレスである。従って、未使用IPアドレスのPTRレコードを監視すれば、DNS解決型DDoS攻撃検知すること可能である。またそのDDoS攻撃を自動的に検知し、自動的に阻止するシステム(IPS)を開発した。)The syslog messages of the top domain DNS servers in Kumamoto University were statistically investigated when having a distributed denial-of-service (DDoS) attack like receiving a large amount of DNS query packets. The interesting results are: (1) Contents of the DNS query-based DDoS attack packets mainly consist of reverse (PTR) records. (2) The PTR records include a lot of unused IP addresses of our university. Therefore, we can detect the DNS query-based DDoS attack by only monitoring the contents of DNS query PTR record packet traffic having unused IP addresses. Also, we developed and implemented a simple intrusion prevention system (IPS) for the DNS query-based DDoS attack on the our top domain DNS servers. )AA12326962情報処理学会研究報告インターネットと運用技術(IOT)200477(2004-DSM-034)43482004-07-302009-06-30