WEKO3
アイテム
DNSサーバのsyslog解析による大量メール送信型ワーム感染端末IPアドレスの特定
https://ipsj.ixsq.nii.ac.jp/records/47151
https://ipsj.ixsq.nii.ac.jp/records/47151cb27e9ef-9d09-4278-90ae-a0b7d1e769f0
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-DSM03032012.pdf (180.0 kB)
|
Copyright (c) 2004 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2004-03-29 | |||||||
| タイトル | ||||||||
| タイトル | DNSサーバのsyslog解析による大量メール送信型ワーム感染端末IPアドレスの特定 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Detection of Mass Mailing Worm - infected IP address by Analysis of Syslog for DNS server | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 熊本大学総合情報基盤センター | ||||||||
| 著者所属 | ||||||||
| 熊本大学総合情報基盤センター | ||||||||
| 著者所属 | ||||||||
| 熊本大学総合情報基盤センター | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Center for Multimedia and Information Technologies, Kumamoto University. | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Center for Multimedia and Information Technologies, Kumamoto University. | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Center for Multimedia and Information Technologies, Kumamoto University. | ||||||||
| 著者名 |
松葉, 龍一
武藏, 泰雄
杉谷, 賢一
× 松葉, 龍一 武藏, 泰雄 杉谷, 賢一
|
|||||||
| 著者名(英) |
Ryuichi, Matsuba
Yasuo, Musashi
Kenichi, Sugitani
× Ryuichi, Matsuba Yasuo, Musashi Kenichi, Sugitani
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 熊本大学のトップドメイン-セカンダリDNSサーバのsyslogについて統計解析を行った。我々の得た興味深い結果は以下の通りである: (1)大量メール送信型ワームに感染したPC端末はワーム活動中にAおよびMXレコードパケットをDNSサーバへ送信する。(2)乗っとられたUNIX系のPC端末等はspamリレー活動中にA、MXおよびPTRレコードをDNSサーバへ送信する。以上の結果、DNSサーバのログを監視するだけで大量メール送信型ワームに感染したPC端末を検知可能であることが示された。) | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | The syslog messages of the topdomain-secondary DNS server in Kumamoto University were statistically investigated when infection of mass mailing worm (MMW) like W32/Sobig, W32/Mydoom, and W32/Netsky were increased worldwidely. The interesting results are: (1) The MMW-infected PC terminal sends packets including only both A and MX records to the DNS server when going on MMW-infection. (2) The hijacked/UNIX-like PC terminal transmits packets including A, MX, and PTR records to the DNS server in a spam relay. Therefore, we can detect MMW-infected PC terminals by only monitoring the DNS query traffic from the DNS clients like PC terminals.) | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA12326962 | |||||||
| 書誌情報 |
情報処理学会研究報告インターネットと運用技術(IOT) 巻 2004, 号 37(2003-DSM-032), p. 67-72, 発行日 2004-03-29 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
