2024-03-29T00:32:51Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:001031002022-10-21T05:24:51Z00581:07397:07668
DNSハニーポットによるDNSアンプ攻撃の観測Observing DNS Amplification Attacks with DNS Honeypotjpn[特集:新しいリスクに対応するコンピュータセキュリティ技術] DNSアンプ攻撃,DNSハニーポットhttp://id.nii.ac.jp/1001/00103076/Journal Articlehttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=103100&item_no=1&attribute_id=1&file_no=1Copyright (c) 2014 by the Information Processing Society of Japan横浜国立大学横浜国立大学横浜国立大学牧田, 大佑吉岡, 克成松本, 勉Domain Name System(DNS)は,インターネット上でドメイン名とIPアドレス等の情報を対応付ける重要な役割を果たしている.DNSはインターネット上の不正活動によっても利用されており,特に,インターネット上の任意のホストからの再帰的な名前解決を許可するDNSキャッシュサーバは,DNSアンプ攻撃と呼ばれる分散型サービス妨害が行える要因となっている.近年,DNSアンプ攻撃による被害が深刻化しており早急な対策が求められている.しかし,DNSアンプ攻撃の実態には不明確な部分が多いため,攻撃を観測して分析し,その傾向や特徴を把握することがその対策を行うために重要である.本論文では,DNSサーバを悪用する不正活動を観測する手法としてDNSハニーポットを提案する.DNSハニーポットとは,囮(おとり)となるDNSサーバソフトウェアを中心としたシステムであり,このシステムをインターネット上で運用し,DNSサーバを悪用する不正活動を観測する.我々はDNSアンプ攻撃と推測される通信をDNSハニーポットが多数観測できていることを検証実験により確認した.また,DNSハニーポットを用いた1年間以上の長期観測の事例からDNSアンプ攻撃の傾向や特徴を分析する.この結果,DNSハニーポットを用いてDNSアンプ攻撃の動向を継続的に観測・分析することは,DNSアンプ攻撃への対策技術を検討するにあたり有効であることを示す.Domain Name System (DNS) plays an important role to map domain names to their information such as IP addresses on the Internet. DNS is also used for malicious activities. In particular, DNS cache servers which allow recursive queries from anywhere on the Internet can be the root cause of DNS amplification attack, a kind of Distributed Denial-of-Service attack. These days, problems posed by DNS amplification attacks become serious and there is a compelling need for effective countermeasures. However, since the details of these attacks are not well studied or reported, it is important to observe and understand their trends and characteristics. In this paper, we propose a concept of DNS honeypot - a method for observing malicious activities that abuse DNS servers. DNS honeypot is a system based on a dummy DNS server, and observes malicious activities that abuse DNS servers on the Internet. The result of our experiment with DNS honeypots shows that our method is effective for observing and analyzing DNS amplification attacks. As a result of long-term evaluation experiment over one year, we also analyze the trends and characteristics of DNS amplification attacks which our DNS honeypots observed.AN00116647情報処理学会論文誌559202120332014-09-151882-77642014-09-10