2026-04-14T12:41:22Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00047151 2025-01-22T09:07:35Z 1164:4088:4122:4129

DNSサーバのsyslog解析による大量メール送信型ワーム感染端末IPアドレスの特定 Detection of Mass Mailing Worm - infected IP address by Analysis of Syslog for DNS server 松葉, 龍一 武藏, 泰雄 杉谷, 賢一 Ryuichi, Matsuba Yasuo, Musashi Kenichi, Sugitani 熊本大学のトップドメイン-セカンダリDNSサーバのsyslogについて統計解析を行った。我々の得た興味深い結果は以下の通りである: (1)大量メール送信型ワームに感染したPC端末はワーム活動中にAおよびMXレコードパケットをDNSサーバへ送信する。(2)乗っとられたUNIX系のPC端末等はspamリレー活動中にA、MXおよびPTRレコードをDNSサーバへ送信する。以上の結果、DNSサーバのログを監視するだけで大量メール送信型ワームに感染したPC端末を検知可能であることが示された。) The syslog messages of the topdomain-secondary DNS server in Kumamoto University were statistically investigated when infection of mass mailing worm (MMW) like W32/Sobig, W32/Mydoom, and W32/Netsky were increased worldwidely. The interesting results are: (1) The MMW-infected PC terminal sends packets including only both A and MX records to the DNS server when going on MMW-infection. (2) The hijacked/UNIX-like PC terminal transmits packets including A, MX, and PTR records to the DNS server in a spam relay. Therefore, we can detect MMW-infected PC terminals by only monitoring the DNS query traffic from the DNS clients like PC terminals.) technical report 情報処理学会 2004-03-29 application/pdf 情報処理学会研究報告インターネットと運用技術（IOT） 37(2003-DSM-032) 2004 67 72 AA12326962 https://ipsj.ixsq.nii.ac.jp/record/47151/files/IPSJ-DSM03032012.pdf jpn