WEKO3
アイテム
DNSサーバのsyslog解析による大量メール送信型ワーム感染端末IPアドレスの特定
https://ipsj.ixsq.nii.ac.jp/records/47151
https://ipsj.ixsq.nii.ac.jp/records/47151cb27e9ef-9d09-4278-90ae-a0b7d1e769f0
名前 / ファイル | ライセンス | アクション |
---|---|---|
![]() |
Copyright (c) 2004 by the Information Processing Society of Japan
|
|
オープンアクセス |
Item type | SIG Technical Reports(1) | |||||||
---|---|---|---|---|---|---|---|---|
公開日 | 2004-03-29 | |||||||
タイトル | ||||||||
タイトル | DNSサーバのsyslog解析による大量メール送信型ワーム感染端末IPアドレスの特定 | |||||||
タイトル | ||||||||
言語 | en | |||||||
タイトル | Detection of Mass Mailing Worm - infected IP address by Analysis of Syslog for DNS server | |||||||
言語 | ||||||||
言語 | jpn | |||||||
資源タイプ | ||||||||
資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
資源タイプ | technical report | |||||||
著者所属 | ||||||||
熊本大学総合情報基盤センター | ||||||||
著者所属 | ||||||||
熊本大学総合情報基盤センター | ||||||||
著者所属 | ||||||||
熊本大学総合情報基盤センター | ||||||||
著者所属(英) | ||||||||
en | ||||||||
Center for Multimedia and Information Technologies, Kumamoto University. | ||||||||
著者所属(英) | ||||||||
en | ||||||||
Center for Multimedia and Information Technologies, Kumamoto University. | ||||||||
著者所属(英) | ||||||||
en | ||||||||
Center for Multimedia and Information Technologies, Kumamoto University. | ||||||||
著者名 |
松葉, 龍一
武藏, 泰雄
杉谷, 賢一
× 松葉, 龍一 武藏, 泰雄 杉谷, 賢一
|
|||||||
著者名(英) |
Ryuichi, Matsuba
Yasuo, Musashi
Kenichi, Sugitani
× Ryuichi, Matsuba Yasuo, Musashi Kenichi, Sugitani
|
|||||||
論文抄録 | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | 熊本大学のトップドメイン-セカンダリDNSサーバのsyslogについて統計解析を行った。我々の得た興味深い結果は以下の通りである: (1)大量メール送信型ワームに感染したPC端末はワーム活動中にAおよびMXレコードパケットをDNSサーバへ送信する。(2)乗っとられたUNIX系のPC端末等はspamリレー活動中にA、MXおよびPTRレコードをDNSサーバへ送信する。以上の結果、DNSサーバのログを監視するだけで大量メール送信型ワームに感染したPC端末を検知可能であることが示された。) | |||||||
論文抄録(英) | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | The syslog messages of the topdomain-secondary DNS server in Kumamoto University were statistically investigated when infection of mass mailing worm (MMW) like W32/Sobig, W32/Mydoom, and W32/Netsky were increased worldwidely. The interesting results are: (1) The MMW-infected PC terminal sends packets including only both A and MX records to the DNS server when going on MMW-infection. (2) The hijacked/UNIX-like PC terminal transmits packets including A, MX, and PTR records to the DNS server in a spam relay. Therefore, we can detect MMW-infected PC terminals by only monitoring the DNS query traffic from the DNS clients like PC terminals.) | |||||||
書誌レコードID | ||||||||
収録物識別子タイプ | NCID | |||||||
収録物識別子 | AA12326962 | |||||||
書誌情報 |
情報処理学会研究報告インターネットと運用技術(IOT) 巻 2004, 号 37(2003-DSM-032), p. 67-72, 発行日 2004-03-29 |
|||||||
Notice | ||||||||
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
出版者 | ||||||||
言語 | ja | |||||||
出版者 | 情報処理学会 |