- 著者
-
竹森 敬祐
藤長 昌彦
西垣 正勝
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 情報処理学会研究報告. マルチメディア通信と分散処理研究会報告 (ISSN:09196072)
- 巻号頁・発行日
- vol.2008, no.21, pp.61-66, 2008-03-06
- 参考文献数
- 9
- 被引用文献数
-
1
Source IPを詐称した攻撃対策として,ネットワークを通過する攻撃パケットを被害者側(Destination)から加害者側(Source)へと遡って追跡するIPトレースバックが注目されている.しかし,トレースバックに必要な機能を,通信経路上の多数のルータに組み込むこと,もしくは専用の装置を多数設置することが導入への障壁となっている.そこで本研究では,既存のDNSサーバのログ,もしくは,DNS通信をキャプチャする装置だけでSource IPを探し出す,詐称IP探索方式を提案する.これは,攻撃の直前に被害者ホストのFully Qualified Domain Name(FQDN)に該当するDestination IPをDNSサーバに問い合わせたログから,Source IPを探し出す手法である.また,Source IPが詐称されていることを,通信に関与しないドメインに漏洩しないように,Source IPとFQDNのハッシュ値を用いて確認する手法と,複数のDNSログを照合することで探索結果の信頼性を向上させる手法についても検討する.本手法の有効性を確認するために,Botから発信されるパケットを収集することで,DNS検索型の攻撃割合を調査する.