DNSシンクホールを用いた悪意あるFQDNに対する通信観測システムの運用
書誌事項
- タイトル別名
-
- 推薦論文
この論文をさがす
抄録
インターネットにおいてドメイン名を悪用した詐欺や攻撃が多く発生している.ユーザは攻撃者が用意したFQDN(以降,悪意あるFQDNと呼ぶ)をもつWebサーバへ接続することで,フィッシング詐欺やドライブ・バイ・ダウンロード攻撃などの被害を受ける可能性がある.悪意あるFQDNへの接続を阻止する手法の1つとしてDNSシンクホールがある.DNSシンクホールは,クライアントからのフィッシングサイトのFQDNやマルウェア配布サイトのFQDNなどの悪意あるFQDNの名前解決要求に対して,本来とは異なるIPアドレスを応答し,悪意あるサイトへの接続を防ぐ.本研究ではクライアントが悪意あるFQDNへ接続することを防ぎながら,接続時におけるクライアントの挙動を分析することを目的とする.本稿では,DNSシンクホールと観測サーバを用いてクライアントからの悪意あるFQDNに対する通信を観測するシステムの構築について述べる.現在運用しているDNSシンクホールは,問い合わせられた悪意あるFQDNに対してループバックアドレスを応答する.しかし,管理者はブロックした接続において,たとえばWebサーバからどのようなファイルがダウンロードされようとしていたのか,どのような情報を外部へ送信しようとしていたのかまでは把握できない.また,ユーザ側の視点でもなぜ接続がブロックされたのか把握できない.そこで,我々はDNSシンクホールから観測サーバのIPアドレスを応答することにより,当該通信を観測サーバへ誘導し,クライアントからの悪意あるFQDN宛の通信を分析する仕組みを構築した.本観測システムでは観測サーバで収集したHTTPリクエストを分析することで,ブラックリストに記載されたFQDNのみでは分析できない接続後の挙動や攻撃手法を分析する.本稿では,これまで筆者らが運用してきたDNSシンクホールの現状について述べ,改良したDNSシンクホールについて説明する.さらに,小規模な検証環境において改良したDNSシンクホールを稼働させた結果を報告する.
収録刊行物
-
- デジタルプラクティス
-
デジタルプラクティス 11 (3), 589-608, 2020-07-15
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050003824850871040
-
- NII論文ID
- 170000183187
-
- NII書誌ID
- AA1245124X
-
- ISSN
- 21884390
-
- Web Site
- http://id.nii.ac.jp/1001/00206167/
-
- 本文言語コード
- ja
-
- 資料種別
- article
-
- データソース種別
-
- IRDB
- CiNii Articles