WEKO3
アイテム
プロトコル異常検知によるAレコード型DNSパケット分散サービス妨害攻撃の阻止
https://ipsj.ixsq.nii.ac.jp/records/47003
https://ipsj.ixsq.nii.ac.jp/records/47003c76ed23d-75a6-420d-8ee1-abd5b807761a
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-DSM05038005.pdf (187.2 kB)
|
Copyright (c) 2005 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2005-08-05 | |||||||
| タイトル | ||||||||
| タイトル | プロトコル異常検知によるAレコード型DNSパケット分散サービス妨害攻撃の阻止 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Prevention of A-record based DNS Query Packets Distributed Denial-of-Service Attack by Protocol Anomaly Detection | |||||||
| 言語 | ||||||||
| 言語 | eng | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 熊本大学総合情報基盤センター | ||||||||
| 著者所属 | ||||||||
| 熊本大学総合情報基盤センター | ||||||||
| 著者所属 | ||||||||
| 熊本大学総合情報基盤センター | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Center for Multimedia and Information Technologies, Kumamoto University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Center for Multimedia and Information Technologies, Kumamoto University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Center for Multimedia and Information Technologies, Kumamoto University | ||||||||
| 著者名 |
武蔵, 泰雄
松葉龍一
杉谷賢一
× 武蔵, 泰雄 松葉龍一 杉谷賢一
|
|||||||
| 著者名(英) |
Yasuo, Musashi
RyuichiMatsuba
KenichiSugitani
× Yasuo, Musashi RyuichiMatsuba KenichiSugitani
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | ある大学のDNSサーバに対する大量のDNSアクセスがあり、そのアクセスに含まれるAレコード型DNS区エリパケットのコンテンツについて調査した。その結果、(1)大量のメール送信型ワーム(MMW)のワーム活動やspamメール発信活動に関するAレコード型のDNSクエリパケットのコンテンツには、主として”mail” ”smtp” “mx” “ns” “relay”および”gate” 等のキーワードが含まれていることが判明し、また、(2)スパイウェアやボットウィルスに乗っ取られているとPC端末からのAレコード型DNSクエリパケットのコンテンツには、IPアドレスがキーワードとして直接記述されていることが見い出された。以上の結果から、Aレコード型DNS区エリパケットのクエリコンテンツを監視することで、メール型ワームに感染している、また、ボットネットワークを構成単位としてのPC端末のIPアドレスを検知することが可能であることが判明した。 | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | The contents of the A record based DNS query packets between the DNS server and DNS clients in a university were investigated when receiving a large amount of DNS resolution access. The interesting results are: (1) Keywords of “mail”. “smtp”. “mix”. “ns”, “relay”, and “gate” are mainly included in the contents of the A record based DNS query packets from the PC clients that are infected with the Mass Mailing Worm (MMW) and/or hijacked as a spam mail sender, and (2) the IP addresses are directly described in the contents of the A record based DNS query packets from the PC clients that are infected with the spyware or the bot network virus. Therefore, we can clearly detect IP addresses of the PC clients that are the MMW-infected and/or bot network virus by only monitoring the contents of the A record based DNS query packets. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA12326962 | |||||||
| 書誌情報 |
情報処理学会研究報告インターネットと運用技術(IOT) 巻 2005, 号 83(2005-DSM-038), p. 23-28, 発行日 2005-08-05 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
