JP2001203762A - Dnsサーバフィルタ - Google Patents

Dnsサーバフィルタ

Info

Publication number
JP2001203762A
JP2001203762A JP2000012757A JP2000012757A JP2001203762A JP 2001203762 A JP2001203762 A JP 2001203762A JP 2000012757 A JP2000012757 A JP 2000012757A JP 2000012757 A JP2000012757 A JP 2000012757A JP 2001203762 A JP2001203762 A JP 2001203762A
Authority
JP
Japan
Prior art keywords
packet
dns server
inquiry
dns
session management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000012757A
Other languages
English (en)
Other versions
JP3596400B2 (ja
Inventor
Maki Shigesumi
牧 重住
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2000012757A priority Critical patent/JP3596400B2/ja
Priority to US09/750,914 priority patent/US7013343B2/en
Publication of JP2001203762A publication Critical patent/JP2001203762A/ja
Application granted granted Critical
Publication of JP3596400B2 publication Critical patent/JP3596400B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】組織外の者が組織のネットワーク構成情報を利
用して組織のネットワークに侵入を行うことを防ぎ、異
常な形式のパケットを受信することでDNSサーバの動
作が異常になることを未然に防ぐDNSサーバフィルタ
の提供。 【解決手段】DNSプロトコルにおける端末及びDNS
サーバからの問い合わせ、及びDNSサーバからの応答
パケットを受信するパケット受信部と、問い合わせ要求
を管理するためのセション管理テーブルを備え、問い合
わせ及び応答パケットを管理し全体の制御を行うセショ
ン管理部と、問い合わせ及び応答パケットが異常である
か否かを検査するパケット検証部と、DNSサーバへの
問い合わせパケットを生成する要求生成部と、問い合わ
せパケットの送信元に返す応答パケットを生成する応答
生成部と、問い合わせ及び応答パケットを送信するパケ
ット送信部と、を備え、受信したDNSパケットをDN
Sサーバに渡す前に、内容に異常があるか否か検査し、
異常を検出した際にエラー応答パケット生成して要求元
に返す。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークシス
テムに関し、特に、IPアドレスとドメイン名との対応
の管理を行うドメインネームシステム(DNS)のフィ
ルタ装置に関する。
【0002】
【従来の技術】DNS(Domain Name System)は、イ
ンターネット等のTCP/IP(Transport Control
Protocol/Internet Protocol)を用いたプロトコル(ト
ランスポート層としてUDP(User Datagram Protoc
ol)も含む)によるネットワークにおいて接続されたホ
ストの名前とIPアドレスとを関連付けた情報等をTC
P/IPネットワークに接続されたホストに提供する、
TCP/IPプロトコル上のサービスである。DNSで
は、ホストが属している組織に対してドメイン名と呼ば
れる名前でまとめられており、ドメイン名は、国家レベ
ル、企業、学術組織等の組織の種別毎、組織名毎、組織
内の部署毎に階層的に名付けられ、ホスト名はドメイン
名と組み合わせることで、TCP/IPネットワークに
おける唯一性が保証される。例えば、インターネットに
接続された日本の企業の日本電気株式会社のWWW(W
orld Wide Web)サーバは、日本を示す
“jp”、企業を示す“co”、日本電気株式会社を示
す“nec”、同社において名付けられたWWWサーバ
のホスト名を示す“www”を、“www.nec.c
o.jp”という記述方法で表現される。
【0003】“www.nec.co.jp”の“ne
c.co.jp”はインターネットにおけるドメイン名
割り当て機関であるNIC(Network Info
rmation Center)により割り当てられた
日本電気株式会社を示すドメイン名であり、“www”
は日本電気株式会社内で割り当てられたホスト名であ
る。TCP/IPプロトコルで通信しようとするホスト
は、接続先のホストのIPアドレスを知らなければなら
ず、このWWWサーバにTCP/IPで接続しようとす
るインターネットに接続されたホストは、“www.n
ec.co.jp”という名前に対応するIPアドレス
をDNSサーバに問い合わせる。“www.nec.c
o.jp”に接続しようとするホストは、まずルートサ
ーバと呼ばれるDNSにおけるドメイン階層構造の頂点
の情報を管理するDNSサーバに問い合わせ、“jp”
ドメインを管理しているDNSサーバを教えてもらい、
次にその“jp”ドメインを管理しているDNSサーバ
に問い合わせ、“co.jp”ドメインを管理している
DNSサーバを教えてもらい、次に“co.jp”ドメ
インを管理しているDNSサーバに問い合わせ、“ne
c.co.jp”を管理しているDNSサーバを教えて
もらい、次に“nec.co.jp”ドメインを管理し
ているDNSサーバに“www.nec.co.jp”
というホスト名に対するIPアドレスを問い合わせ、そ
のDNSサーバにその名前があればこのホストのIPア
ドレスを返す。
【0004】インターネットに接続する組織において、
セキュリティ上の理由により、インターネットに接続す
る部分にファイアウォールを設置して、直接、TCP/
IPプロトコルによる組織外との通信を制限する場合が
ある。
【0005】組織のセキュリティ要件として、組織外秘
の情報の保護の為に組織外からのTCP/IPプロトコ
ルを通じた組織内資源へのアクセスを制限することが挙
げられる。
【0006】DNSにおいても、組織内のネットワーク
に接続されたホストの名前やIPアドレスについての情
報やその組織の部署名やネットワーク構成が名付けられ
ているドメイン名をできる限り隠すことによって、侵入
者がこの情報を用いて、組織内のネットワークに侵入す
ることを防ぐことが要請されている。
【0007】
【発明が解決しようとする課題】上記要請に対して、従
来のシステムでは、組織内のDNSサーバとは別にファ
イアウォールの外に設置された組織外のホストからのア
クセスを許可するホストに関する情報を提供するDNS
サーバを設置し、組織内のDNSサーバは、組織内のホ
ストが組織外のホストのDNS情報を取得するためにフ
ァイアウォールの外に設置されたDNSサーバに対し
て、再帰的に問い合わせできるように設定し、ファイア
ウォールの外に設置されたDNSサーバから、組織内の
DNSサーバに対しては、問い合わせができないよう
に、DNSサーバ及びファイアウォールに設定すること
で対処している。
【0008】かかる構成の従来のシステムにおいては、
DNSサーバを複数台設置することや、DNSサーバの
管理が複雑化する、といった問題点が生じている。
【0009】また、セキュリティ上の問題としては、不
正な形式のパケットを攻撃対象のサーバに送信する事
で、バグ等のサーバプログラムの実装上の問題によりサ
ービスが停止させる「DoS(Denial of S
ervice)アタック」と呼ばれる攻撃に対しても防
御が必要となり、DNSサービスについても指摘されて
いる。
【0010】従来、このような問題が指摘されると、サ
ービスプログラムの開発者が、サービスプログラムを修
正する必要があった。
【0011】たしかに、一部のサービスプログラムは、
そのプログラムのソースファイルが公開されているため
(UNIXTM用bind等)、サービスプログラムの利
用者がソースに対する修正差分を入手するか、利用者が
修正を行ってコンパイルすることで、サービスプログラ
ムをDoSアタックに対応するものに交換することが可
能とされている。
【0012】しかしながら、ソースファイルが公開され
ていない場合(例えばMicrosoft社製Wind
ows NT Server 4.0に含まれるDNS
サーバ等の場合)、サービスプログラム開発者が修正モ
ジュールをサービスプログラム利用者に配布するまでに
時間を要し、DoSアタック等の問題が指摘されてから
長い間、この問題に対して、適切な対処を施すことがで
きない状態にあった。
【0013】またソースファイルが公開されていても、
利用者自身のプログラミングスキルの不足等の理由によ
り、適切に対処できない場合もある。
【0014】以上、DoSアタックについて説明した
が、サービスは停止しないにしても、サービスプログラ
ムの実装上の問題により、本来得られるべき正常な応答
が返らない場合も、同様の問題が発生する。
【0015】また、組織のネットワークセキュリティ管
理上、組織内部から組織外のホストに対してセキュリテ
ィ上脅威となる攻撃を行うことが可能とならないよう
に、対策を施さなければならないといったセキュリティ
要件を掲げる組織も存在する。
【0016】なお、米国特許第5,805,820号に
は、DNSにおいて、ドメインの内部情報に対する問い
合わせ要求をリダイレクト(redirect)することで、組
織内ネットワークのドメイン名及びIPアドレス等のネ
ットワーク構成情報(private information)をDNS
を通じて組織外に送信しないようにした方法及びこれを
実現する装置について提案されているが、DoSアタッ
ク等の問題には対処できていない。
【0017】したがって本発明は、上記問題点に鑑みて
なされたものであって、その目的は、組織外の者が組織
のネットワーク構成情報を利用して組織のネットワーク
に侵入を行う事を防ぐとともに、異常な形式のパケット
を受信する事でDNSサーバの動作が異常になる事を未
然に防ぐ、DNSサーバフィルタ及び記録媒体を提供す
ることにある。
【0018】
【課題を解決するための手段】前記目的を達成する本発
明のDNSサーバフィルタは、受信したDNSパケット
について、該パケットをDNSサーバに渡すまえに、該
パケットに異常があるか否か検査するパケット検証手段
を備え、異常を検出した際に、エラー応答パケット生成
して、要求元に返す、構成とされている。
【0019】本発明は、DNSプロトコルにおける端末
及びDNSサーバからの問い合わせ、及びDNSサーバ
からの応答パケットを受信するパケット受信部と、問い
合わせ要求を管理するためのセション管理テーブルを備
え、問い合わせ及び応答パケットを管理し全体の制御を
行うセション管理部と、問い合わせ及び応答パケットが
異常であるか否かを検査するパケット検証部と、DNS
サーバへの問い合わせパケットを生成する要求生成部
と、問い合わせパケットの送信元に返す応答パケットを
生成する応答生成部と、問い合わせ及び応答パケットを
送信するパケット送信部と、を備え、受信したDNSパ
ケットについて該パケットをDNSサーバに渡すまえ
に、内容に異常があるか否か検査し、異常を検出した際
に、エラー応答パケット生成して要求元に返す。
【0020】
【発明の実施の形態】本発明の実施の形態について説明
する。本発明のDNS(Domain Name Sy
stem)サーバフィルタは、RFC(Request
For Comments)1034、1035、及
びこれに関連するRFC文書により定義されたDNSプ
ロトコルによりIPアドレスとホスト名及びドメイン名
の対応を関連付けるサービスを行うDNSサーバを含む
ネットワークシステムにおいて、DNSパケットを、D
NSサーバに渡す前に、その内容を検査し、異常があれ
ば、エラー応答を返し、検査のための処理を、利用者が
追加及び削除する事を可能としている。
【0021】本発明によれば、 ・外部ネットワークからの異常な形式のDNSパケット
を受信することによりDNSサーバが異常動作を引き起
こすこと、 ・内部ネットワークのホストが異常な形式のDNSパケ
ットをDNSサーバが外部ネットワークに送信すること
で外部ネットワークに属するホストを異常動作させるこ
と、 ・組織外の侵入者が内部ネットワークの情報を得るため
に外部ネットワークからアクセスして内部ネットワーク
の名前情報を取得すること、等のセキュリティ上の攻撃
から、内部ネットワークのDNSサーバと内部ネットワ
ークシステムを防御し、外部ネットワークに対してDN
Sプロトコルを通じて異常な動作を引き起こさせたり、
セキュリティ上の攻撃を行うことを防ぎ、DNSに関す
る問題の素早い対応を可能としている。
【0022】本発明は、DNSプロトコルにおける端末
及びDNSサーバからの問い合わせ、及びDNSサーバ
からの応答パケットを受信するパケット受信部(2)
と、DNS問い合わせ要求を管理するためのセション管
理テーブル(8)を備え、問い合わせ及び応答パケット
を管理し全体の制御を行うセション管理部(3)と、問
い合わせ及び応答パケットが異常であるか否かを検査す
るパケット検証部(4)と、DNSサーバへの問い合わ
せパケットを生成する要求生成部(5)と、問い合わせ
パケットの送信元に返す応答パケットを生成する応答生
成部(6)と、問い合わせ及び応答パケットを送信する
パケット送信部(7)と、を備え、受信したDNSパケ
ットについて該パケットをDNSサーバに渡す前に、内
容に異常があるか否か検査し、異常を検出した際に、エ
ラー応答パケット生成して要求元へ返す。
【0023】パケット検証部(4)が、検証プログラム
のエントリポイントアドレスと、検証プログラムの実行
の優先順位と、検証プログラムの属性情報とを備えたプ
ログラム管理テーブル(40)を備え、前記検証ソフト
ウェアの属性を参照し、実行すべき検証プログラムを選
択して実行に移す制御を行う呼出管理部(30)と、管
理ツールもしくは設定ファイルで指示された検証プログ
ラムの実行ファイルをメモリ上にロードし、ロードされ
た検証プログラムを初期化し、検証プログラムのエント
リポイントを入手した属性と共に前記呼出管理部のプロ
グラム管理テーブルに登録し、及び前記管理ツールで削
除を指示された検証プログラムのメモリ上からの解放処
理を行うロード管理部(36)と、検証プログラムから
呼び出されるDNSサーバフィルタ本体の機能を利用す
るためのサブルーチン群よりなるサービスルーチン(3
1)と、を備えている。
【0024】本発明は、その好ましい一実施の形態にお
いて、セション管理テーブル(8)が、要求パケットへ
のポインタ(60)と、問い合わせ要求を行った要求元
のIPアドレス(61)と、問い合わせ要求を行った要
求元ポート番号(62)と、問い合わせ要求のパケット
形式が正常であった場合に問い合わせ要求を別のDNS
サーバに転送しているかどうかを示すフラグと(6
3)、を備え、パケット受信部(2)がDNSパケット
を受信すると、該パケットを前記セション管理部(3)
に渡し、セション管理部(3)は、セション管理テーブ
ル(8)に、受信したパケットの送信元のIPアドレ
ス、受信したパケットのポート番号を設定し、テスト中
を意味する値をフラグを設定したのち、セション管理部
(3)は、受信パケットをパケット検証部(4)に渡し
てパケットの検査を依頼し、パケット検証部(4)でパ
ケットの検査を行い、検査結果に問題がある場合、前記
セション管理部(3)が受信パケットの種別を調べ、そ
れが問い合わせ要求であるか否か判定し、問い合わせ要
求であれば、前記セション管理部は、前記応答生成部
(6)に対して、エラー応答パケットの生成を依頼し、
生成されたパケットを前記セション管理テーブル(8)
の要求元IPアドレス、ポート番号で指定される相手に
対して、パケット送信部(7)に送信を依頼し、受信し
た応答パケットについて、セション管理テーブル(8)
に登録された情報を削除し、受信した問い合わせ要求パ
ケットを解放する。
【0025】また受信パケットが問い合わせ要求でない
場合、セション管理部(3)が、セション管理テーブル
(8)を検索して、元の問い合わせ要求に関する部分を
取り出し、検索されたセション管理テーブル(8)のエ
ントリの要求パケットへのポインタから、問い合わせ要
求パケットを参照して、これを基に、応答生成部(6)
に対して、エラー応答パケットの生成を依頼し、セショ
ン管理テーブル(8)の要求元IPアドレス、及びポー
ト番号で指定される相手に対して、生成した応答パケッ
トを送信するように、パケット送信部(7)に対して依
頼し、受信した応答パケットについて、セション管理テ
ーブル(8)に登録されている情報を削除して応答パケ
ットを解放するとともに、該応答パケットに対応する問
い合わせ要求について、セション管理テーブルに登録さ
れているエントリも削除する。
【0026】またパケット検証部(4)でパケットの検
査を行い、検査結果に問題がない場合、セション管理部
(3)が受信パケットの種別を調べ、応答パケットの場
合、セション管理部(3)は該応答パケットに対応する
問い合わせ要求の情報を、前記セション管理テーブル
(8)から検索し、セション管理部(3)が受信した応
答パケットが元の問い合わせ要求に対する回答となって
いるかどうかを調べ、調査の結果、さらに問い合わせを
行う必要があれば、セション管理部(3)は、受信した
応答パケットの情報から次の問い合わせ先を決定し、セ
ション管理部(3)は、要求生成部(5)に問い合わせ
要求パケットの生成を依頼し、前記パケット送信部
(7)に対して次の問い合わせ先への送信を依頼し、セ
ション管理部(3)は、受信した問い合わせの途中経過
である応答パケットに関する情報を前記セション管理テ
ーブルから削除し応答パケットを解放し、前記調査の結
果、元々の問い合わせパケットに対する回答となる応答
パケットを受信した場合、セション管理部(3)は、応
答パケットを受信した応答パケットの結果を反映させた
元の問い合わせ要求に対する応答パケットの生成を前記
応答生成部(6)に依頼し、パケット送信部(7)に元
の問い合わせ要求の送信元に対して送信を依頼し、受信
した応答パケットに関連する情報をセション管理テーブ
ル(8)から削除し、元の問い合わせ要求に関する情報
を前記セション管理テーブル(8)から削除し応答パケ
ットを解放する。
【0027】受信したパケットが問い合わせ要求である
場合、セション管理部(3)が受信パケットの送信元を
調べ、前記送信元が組織内部のネットワークからの問い
合わせでない場合、組織外のネットワークの問い合わせ
要求を解決するために前記セション管理部は、まず最初
に問い合わせる組織外のDNSサーバを決定し、元の問
い合わせ要求を元にした問い合わせ要求の生成を要求生
成部(5)に依頼し、その問い合わせ要求パケットを、
前記決定されたDNSサーバに対して送信するようにパ
ケット送信部に対して依頼し、前記送信元が組織内部の
ネットワークからの問い合わせである場合、セション管
理部(3)は受信した問い合わせ要求パケットを元に要
求生成部(5)に問い合わせ要求パケットの生成を依頼
し、DNSサーバに対する問い合わせパケットの送信を
パケット送信部(7)に依頼し、セション管理部(3)
は、受信したパケットに対応するセション管理テーブル
(8)のエントリ中のフラグに、「問い合わせ中」の値
を設定し、受信パケットへのポインタをセション管理テ
ーブル(8)のエントリのポインタに設定する。
【0028】本発明においては、(a)DNSプロトコ
ルにおける端末及びDNSサーバからの問い合わせ、及
びDNSサーバからの応答パケットを通信装置を介して
受信するパケット受信処理と、(b)DNS問い合わせ
要求を管理するためのセション管理テーブルを備え、問
い合わせ及び応答パケットを管理し全体の制御を行うセ
ション管理処理と、(c)問い合わせ及び応答パケット
が異常であるか否かを検査するパケット検証処理と、
(d)DNSサーバへの問い合わせパケットを生成する
要求生成処理と、問い合わせパケットの送信元に返す応
答パケットを生成する応答生成処理と、(e)問い合わ
せ及び応答パケットを通信装置を介して送信するように
制御するパケット送信処理と、を備え、受信したDNS
パケットについて該パケットをDNSサーバに渡すまえ
に、内容に異常があるか否か検査し、異常を検出した際
に、エラー応答パケット生成して返す、DNSサーバフ
ィルタの前記各処理は、コンピュータ上で実行プログラ
ムを実行することで実現される。この場合、該プログラ
ムを記録した記録媒体からプログラムを読み出し装置を
介して、もしくは通信媒体を介してダウンロードしてコ
ンピュータに読み出しインストールし該プログラムの実
行形式をコンピュータの主メモリにロードして実行する
ことで、本発明のDNSサーバフィルタを実施すること
ができる。
【0029】
【実施例】本発明の実施例について図面を参照して以下
に説明する。図1は、本発明の一実施例のDNSサーバ
フィルタの構成を示す図である。図1を参照すると、D
NSサーバフィルタ1は、DNSプロトコルにおける端
末及びDNSサーバからの問い合わせ及びDNSサーバ
からの応答パケットを受信するパケット受信部2と、問
い合わせ及び応答パケットを管理し全体の制御を行うセ
ション管理部3と、問い合わせ及び応答パケットが異常
であるか否かを検査するパケット検証部4と、DNSサ
ーバへの問い合わせパケットを生成する要求生成部5
と、問い合わせパケットの送信元に返す応答パケットを
生成する応答生成部6と、問い合わせ及び応答パケット
を送信するパケット送信部7と、を備えて構成されてい
る。またセション管理部3は、DNS問い合わせ要求を
管理するためのセション管理テーブル8を持つ。
【0030】図2は、本発明の一実施例のDNSサーバ
フィルタ1をファイアウォール内に実装した場合の構成
の一例を示す図である。図2において、ファイアウォー
ル10は、インターネットの様な、これが置かれる組織
の管理外のネットワーク15と、組織内のネットワーク
16とを、セキュリティを保ちながら相互接続する役割
を持ち、DNSについて、 ・ネットワーク15に属する端末17がネットワーク1
6に属する端末18のホスト名とIPアドレスの情報や
ネットワーク16の名前空間に関する情報を取得するこ
と、 ・端末17からネットワーク15を通じてDNSサーバ
11に対してDNSプロトコル上不正なパケットを送付
することで、DNSサーバ11に動作異常を引き起こす
こと、 ・端末18やDNSサーバ11が端末17やネットワー
ク15に属するホストに対してDNSプロトコル上異常
なパケットを送付すること、を防ぐ機能を具備すること
が要請されており、本発明の一実施例においては、DN
Sサーバフィルタ1により、これらの機能要件を満たし
ている。
【0031】DNSサーバ11は、NIC(Netwo
rk Interface Card)13が属するサ
ブネットワーク等のネットワーク15のDNS情報の一
部と、ネットワーク16のDNS情報の一部を管理し、
DNSプロトコルに従い問い合わせに対する応答する機
能を持つ。
【0032】TCP/IPドライバ12は、NIC13
及びNIC14を通じて、TCP/IPプロトコルで通
信を行うための制御を行うものであり、DNSサーバフ
ィルタ1やDNSサーバ11はこのTCP/IPドライ
バ12上で動作するプロセスである。
【0033】また、ファイアウォール10は、端末17
から直接TCP/IPプロトコルにより端末18と通信
を行うことを許可しない設定(一般的にこの様な設定を
IPforward(フォワード)がoff(オフ)で
あるという)となっており、DNSサーバフィルタ1は
NIC13、DNSサーバ11はNIC14のIPアド
レス宛に送付された問い合わせ要求のみ受け付けるよう
に設定されている。
【0034】図3は、本発明の一実施例のDNSサーバ
フィルタ1を1台の装置に実装し、組織のネットワーク
に設置した場合の構成を示す図である。図3において、
ファイアウォール20は、パケットフィルタリング型フ
ァイアウォールであり、図2のファイアウォールとは異
なり、組織外ネットワーク15に属する端末17と組織
のネットワーク16に属する端末18間での直接のTC
P/IPプロトコルによる通信を、ファイアウォール2
0の設定により、許可されたポートやアドレスに限り可
能としている。
【0035】図3において、ファイアウォール20は、
ネットワーク16を保護する目的で設置され、DNSプ
ロトコルについてみると、端末17がネットワーク15
を経由してDNSプロトコルでアクセスできるのは、D
NSサーバフィルタ1のみであり、組織内のDNSサー
バ11にはアクセスが許可されておらず、また、DNS
サーバ11や端末18も、直接DNSプロトコルでネッ
トワーク15上のホストへのアクセスは許可されていな
い設定とされている。
【0036】組織のネットワーク16に属するファイア
ウォール20、DNSサーバフィルタ1、DNSサーバ
11、端末18の間は、DNSプロトコルに限らず、任
意のTCP/IP上のプロトコルで通信可能である。
【0037】DNSサーバ11は、DNSサーバフィル
タ1に対してフォワーダの設定を行っている。即ち、D
NSサーバ11に対して、端末18からのネットワーク
15に属する端末17のドメイン名やIPアドレスの問
い合わせ要求を受信すると、DNSサーバ11は、該問
い合わせ要求が、ネットワーク16に属さないホストに
関するものであると認識し、該問い合わせ要求を、DN
Sサーバフィルタ1に転送(フォワード)する。また端
末18が参照するDNSサーバは、DNSサーバ11に
設定されている。
【0038】図4は、本発明の一実施例のDNSサーバ
フィルタ1におけるパケット検証部4の構成を示す図で
ある。図4を参照すると、呼出管理部30は、検証プロ
グラム(ソフトウェア)32、33、34、35の属性
を参照して実行すべきものを選択して実行に移す制御を
行うものであり、検証プログラムを管理するためのプロ
グラム管理テーブル40を備えている。
【0039】ロード管理部36は、 ・管理端末を備え操作指示情報を入力する管理ツール3
8、もしくは設定ファイル39の情報で指示された検証
プログラムの実行ファイル37を不図示のメモリ(DN
Sサーバフィルタが実装されるコンピュータのメモリ)
上にロードする処理、 ・メモリ上にロードされた検証プログラムの初期化処理
を実行させ、 ・検証プログラムのエントリポイントを入手した属性と
共に呼出管理部30が持つプログラム管理テーブル40
に登録する処理、 ・管理ツール38で削除を指示された検証プログラムの
メモリ上からの解放処理、を行う。
【0040】サービスルーチン31は、検証プログラム
32、33、34、35の開発を容易にするための検証
プログラムから呼び出されるDNSサーバフィルタ本体
の機能を使うためのサブルーチン群である。
【0041】図7は、図4のプログラム管理テーブル4
0のエントリの一例である。テーブルの各エントリは、 ・検証プログラムのエントリポイントアドレス50と、 ・検証プログラムにより指定される実行の優先順位51
と、 ・検証プログラムにより指定される検証プログラムの属
性52と、を備えて構成されている。
【0042】図8は、本発明の一実施例のDNSサーバ
フィルタにおけるセション管理テーブル8のエントリの
一例である。テーブルの各エントリは、 ・要求パケットへのポインタ60と、 ・問い合わせ要求を行った要求元IPアドレス61と、 ・問い合わせ要求を行った要求元ポート番号62と、 ・問い合わせ要求のパケット形式が正常であった場合に
問い合わせ要求を別のDNSサーバに転送しているかど
うかを示すフラグ63と、を備えている。
【0043】図5及び図6は、DNSサーバフィルタ1
の動作処理を説明するためのフローチャートである。図
9は、図4のパケット検証部4の検証プログラムの実行
のフローチャートである。
【0044】本発明の一実施例のDNSサーバフィルタ
1の動作について以下に説明する。
【0045】まず、図1、図5乃至図8を参照して、D
NSサーバフィルタ1の動作について説明する。
【0046】ステップS101において、DNSパケッ
トを、パケット受信部2が受信すると、そのパケットを
セション管理部3に渡し、ステップS102では、セシ
ョン管理部3は、管理テーブル8にその受信したパケッ
トの送信元のIPアドレスを項目61(図8参照)に、
受信したパケットのポート番号を項目62に入れ、フラ
グ63に「テスト中」を意味する値を設定する。
【0047】次のステップS103において、セション
管理部3は、受信パケットを、パケット検証部4に渡し
てパケットの検査を依頼し、パケット検証部4でパケッ
トの検査を行う。
【0048】ステップS104において、パケット検証
部4による検査結果に問題があるか否か判定し、正常終
了すれば(問題がない場合)、ステップS111に進
み、異常終了すれば、ステップS105に進む。
【0049】ステップS105では、セション管理部3
が受信パケットの種別を調べ、それが問い合わせ要求
(DNS要求)か否か判定し、DNS要求であれば、ス
テップS106、応答パケットであればステップS10
8に進む。
【0050】ステップS106では、この情報の問い合
わせ元に対してエラー応答を返さなければならない状態
であるため、セション管理部3は、応答生成部6に対し
て、エラー応答パケットの生成を依頼し、生成されたパ
ケットを、管理テーブル8の項目61、62の相手に対
して、パケット送信部7に送信を依頼する。
【0051】次のステップS107では、受信した応答
パケットについて、管理テーブル8に登録された情報を
削除し、受信した問い合わせ要求パケットを解放して終
了する。
【0052】一方、ステップS105において、受信パ
ケットがDNS要求でなく、ステップS108に移行す
るという状態は、以前、このDNSサーバフィルタ1に
対して正常な問い合わせ要求が送られ、別のDNSサー
バに対して問い合わせ要求を行っている状態であるが、
その結果が異常であったため、元々の問い合わせ要求を
行ったホストに対して、問い合わせが失敗したことを示
すエラー応答を返さなければならないことを意味してい
る。このため、ステップS108では、セション管理部
3が、セション管理テーブル8を検索して、元の問い合
わせ要求に関する部分を取り出す。
【0053】次のステップS109では、検索された管
理テーブル8のエントリの項目60から、問い合わせ要
求パケットを参照して、これを基に、応答生成部6に対
して、エラー応答パケットの生成を依頼し、管理テーブ
ル8の項目61、62の相手に対して、生成した応答パ
ケットを送信するように、パケット送信部7に対して依
頼する。
【0054】次のステップS110では、受信した応答
パケットについて、管理テーブル8に登録されている情
報を削除し、応答パケットを解放し、また、これに対応
する問い合わせ要求について、管理テーブル8に登録さ
れているエントリも削除して、終了する。
【0055】ステップS104の判定の結果、検査結果
正常であった場合には、図6のステップS111に分岐
する。
【0056】図6のステップS111において、セショ
ン管理部3が受信パケットの種別を調べ、それが問い合
わせ要求パケットであれば、ステップS119に進み、
応答パケットであればステップS112に進む。
【0057】ステップS112では、セション管理部3
が、この応答パケットに対応する問い合わせ要求の情報
を、管理テーブル8から検索する。
【0058】次のステップS113では、セション管理
部3が受信した応答パケットが元の問い合わせ要求に対
する回答となっているかどうかを調べる。
【0059】元々の問い合わせ要求に、DNSプロトコ
ルにおける再帰問い合わせが指定されていない場合に
は、そのまま応答パケットとほぼ同じ形の応答パケット
を返せば良いが、再帰問い合わせが指定されている場合
には、DNSサーバフィルタ1が回答を得るまでDNS
サーバに対して問い合わせを行う必要がある。例えば、
“www.foo.co.jp”というホスト名に対す
るIPアドレスを検索する場合には、 ・ルートDNSサーバ、 ・“jp”ドメインを管理しているDNSサーバ、 ・“co.jp”ドメインを管理しているDNSサー
バ、 ・“foo.co.jp”ドメインを管理しているDN
Sサーバ、 を順に問い合わせることになり、その途中のDNSサー
バからは次のDNSサーバのアドレスしか教えてもらえ
ない(例えば“co.jp”ドメインのDNSサーバか
らは“foo.co.jp”ドメインを管理しているD
NSサーバのアドレスについて教えてもらえない)た
め、元々の問い合わせ要求に対しては、この応答パケッ
トは問い合わせ途中の状況を示すに過ぎず、回答にはな
り得ない。
【0060】ステップS113において、このような調
査を行い、さらに問い合わせを行う必要があれば、ステ
ップS114に、必要がなければステップS117に進
む。
【0061】ステップS114の状態は、DNSサーバ
フィルタ1で、さらに他のDNSサーバに対して問い合
わせが必要であることを意味している。このため、ステ
ップS114において、セション管理部3は、受信した
応答パケットの情報から次の問い合わせ先を決定する。
【0062】そして、次のステップS115では、セシ
ョン管理部3が問い合わせ要求パケットを要求生成部5
に問い合わせ要求パケットの生成を依頼し、次の問い合
わせ先にパケット送信部7に送信を依頼する。
【0063】次のステップS116では、セション管理
部3は、受信した問い合わせの途中経過である応答パケ
ットに関する情報を管理テーブル8から削除し、応答パ
ケットを解放して終了する。
【0064】ステップS117の状態は、元々の問い合
わせパケットに対する回答となる応答パケットを受信し
たことを意味している。このため、ステップS117で
は、セション管理部3は、応答パケットを受信した応答
パケットの結果を反映させた元の問い合わせ要求に対す
る応答パケットの生成を応答生成部6に依頼し、パケッ
ト送信部7に元の問い合わせ要求の送信元に対して送信
を依頼する。
【0065】次のステップS118では、受信した応答
パケットに関連する情報を管理テーブル8から削除し、
元の問い合わせ要求に関する情報を管理テーブル8から
削除し、応答パケットを解放して終了する。
【0066】ステップS111の判定の結果、受信した
パケットが問い合わせ要求(DNS要求)であれる場
合、ステップS119において、セション管理部3が受
信パケットの送信元を調べ、それが組織内部のネットワ
ークからの問い合わせであればステップS122に進
み、そうでなければステップS120に進む。
【0067】ステップS120の状態は、組織外のネッ
トワークの問い合わせ要求を解決するために、DNSサ
ーバフィルタ1が問い合わせ元に代わって組織外のDN
Sサーバに対して問い合わせを開始しなければならない
ことを意味している。このため、ステップS120で
は、セション管理部3は、まず最初に問い合わせる組織
外のDNSサーバを決定する(多くの場合これは通常ル
ートサーバである)。
【0068】次のステップS121では、セション管理
部3は、元の問い合わせ要求を元にした問い合わせ要求
の生成を要求生成部5に依頼し、その問い合わせ要求パ
ケットをステップS120で決定したDNSサーバに対
して送信することをパケット送信部7に依頼する。
【0069】一方、ステップS122の状態は、組織内
部のネットワークに関する問い合わせを受けたことを意
味する。組織内部のネットワークに関する情報を得るた
めには、DNSサーバフィルタ1は、組織内部のDNS
サーバ11に問い合わせを転送(フォワード)する様に
なっている。
【0070】このため、ステップS122では、セショ
ン管理部3は受信した問い合わせ要求パケットを元に要
求生成部5に問い合わせ要求パケットの生成を依頼し、
DNSサーバ11に問い合わせパケットをパケット送信
部7に送信を依頼する。
【0071】ステップS123の状態は、問い合わせ要
求を受信して現在DNSサーバフィルタ1が別のDNS
サーバに問い合わせを行っていることを意味している。
このため、ステップS123では、セション管理部3
は、受信したパケットに対応する管理テーブル8のエン
トリ中のフラグ63に、「問い合わせ中」の値を入れ、
受信パケットへのポインタを管理テーブル8のエントリ
中の項目60に入れて終了する。
【0072】次に、図9を参照して、パケット検証部4
について説明する。
【0073】ステップS201では、パケット検証部4
の呼出管理部30が持つ管理テーブル40を検索して、
管理テーブル40中の優先順位51が最も大きい値のエ
ントリを探し(実装では、各エントリは優先順位順に並
んでいることが望ましい)、エントリを確定する。
【0074】次のステップS202では、未参照のエン
トリがあるかどうかを調べ、未参照のエントリが存在す
る場合、ステップS203に進む。
【0075】ステップ203では、呼出管理部30が、
管理テーブル40のエントリ中の属性52を調べて、対
応する検証プログラムを実行すべきか否かを判断する。
【0076】属性52は、各検証プログラムにより指定
され、DNSサーバフィルタ1の初期化時に、設定ファ
イル38により、もしくは、実行中に、管理ツール38
により、ロード管理部36による検証プログラムファイ
ル37のロード後の検証プログラムの初期化処理時にロ
ード管理部36に渡る値をロード管理部36が設定する
ものであり、問い合わせ要求パケットのチェックを行う
もの、応答パケットのチェックを行うものといった検証
プログラムの種類を示す値である。
【0077】次のステップS204では、管理テーブル
40の当該エントリに対応する検証プログラムを呼出管
理部30が実行することに決定した場合、ステップS2
05に、そうでない場合はステップS207に進む。
【0078】ステップS205では、呼出管理部30
は、管理テーブル40の項目50にある検証プログラム
のエントリポイントを呼び出す。
【0079】ステップS206において、呼出管理部3
0は、ステップS205で呼び出した検証プログラムの
結果を見て、正常終了か否か判定し、正常終了した場合
ステップS207に進み、異常終了した場合、検証プロ
グラムでエラーが発生した、すなわち受信したDNSの
パケットは組織のセキュリティ要件に合致しない等の理
由により受け付けられないと判断されたことになるた
め、エラーをパケット検証部4の呼出元であるセション
管理部3に渡して終了する。
【0080】ステップS207では、次の検証プログラ
ムによる受信パケットのチェックを行うため、呼出管理
部30は、先に行った検証プログラムの次に優先順位が
高いもしくは同じ優先順位である検証プログラムを、管
理テーブル40の優先順位51を参照して検索を行い、
ステップS202に進む。
【0081】この様にして、パケット検証部4は、ステ
ップS202からステップS207を繰り返し、ステッ
プS202において、これ以上実行する検証プログラム
が存在しないと判断された場合、これまで実行された全
ての検証プログラムが正常終了したことを意味してお
り、受信したDNSパケットは組織のセキュリティ要件
を満たしたものであることから、パケット検証部4は正
常終了する。
【0082】次に、具体例に即して説明する。
【0083】図2は、DNSサーバフィルタ1をファイ
アウォール10内に実装した場合の構成を示す図であ
る。組織外のネットワーク15に属する端末17が、組
織内のネットワーク16に属する端末18のIPアドレ
スを取得しようと試みたとする。端末17は端末18の
ホスト名は知っているがその情報が格納されているDN
Sサーバは知らないものとする。
【0084】まず端末18は、組織外ネットワーク15
に属するDNSサーバから組織のドメインを管理してい
るDNSサーバの情報を入手し、そのIPアドレスがフ
ァイアウォール10のNIC13に対応するIPアドレ
スであることが判明する。
【0085】次に端末17は、組織のDNSサーバと思
っているファイアウォール10のNIC13のIPアド
レス上で待ち合わせているDNSサーバフィルタ1に接
続し、端末18のホスト名に対応するIPアドレスを問
い合わせる。
【0086】問い合わせ要求を受けたDNSサーバフィ
ルタ1は、パケット検証部4を呼び出して、このDNS
パケットが組織のセキュリティ要件を満たすかどうかを
検査する。
【0087】もし、端末17が送信したDNSパケット
の形式が異常であり、検証プログラムとして、これを検
査するものが含まれていれば、そのパケットに対して検
証プログラムはエラーを返し、DNSサーバフィルタ1
は、端末17に対してエラー応答を返す。
【0088】もし端末17が送信したDNSパケットの
形式が正常であるが、検証プログラムに、組織内部のホ
ストに関する情報は提供しないことをセキュリティ要件
を実現するためのプログラムが登録されている場合に
は、そのパケットに対して、検証プログラムはエラーを
返し、DNSサーバフィルタ1は端末17に対してエラ
ー応答を返す。
【0089】もし端末17が送信したDNSパケットの
形式が正常であるが、検証プログラムに組織内部のホス
トに関する情報は提供しないことをセキュリティ要件を
実現するためのプログラムが登録されていない場合に
は、DNSサーバフィルタ1はDNSサーバ11に要求
を転送して端末18のIPアドレスを取得して応答とし
て端末17に返す。
【0090】次に、図2に示した構成において、端末1
8が端末17のIPアドレスを入手する場合について説
明する。
【0091】まず端末18は、組織内ネットワーク16
のDNSサーバに組織外ネットワークの情報を要求する
ため、そのDNSサーバはその問い合わせをファイアウ
ォール10のNIC14で待ち合わせているDNSサー
バ11に転送する。
【0092】DNSサーバ11は、組織外ネットワーク
についての問い合わせはDNSサーバフィルタ11に転
送する様に設定されている。
【0093】問い合わせ要求パケットを受け取ったDN
Sサーバフィルタ1は、そのDNSパケットが正常であ
ることを確認すると、組織外のDNSサーバに問い合わ
せ、応答パケットを得て、そのパケットが正常であれ
ば、DNSサーバ11を通じて端末18に結果が返され
る。
【0094】もし端末17のDNSサーバが異常な応答
パケットを返してきた場合には、DNSサーバフィルタ
1はDNSサーバ11にエラー応答を返し、端末18に
もそのエラー応答が返る。
【0095】異常な応答パケットとしては、例えば、形
式が異常である他に、組織外との通信を盗聴する等の目
的でDNSパケットの付加情報に偽の情報が書き加えら
れているといった事例が報告されている。
【0096】図3は、DNSサーバフィルタ1が独立し
て組織内ネットワーク16に設置された例である。
【0097】図3に示す構成において、DNSパケット
のやりとりは、上述した図2に示すものとほぼ同じであ
る。図2に示す構成では、端末17が直接DNSサーバ
11にアクセスすることがTCP/IPドライバ12で
禁じられているのに対し、図3に示す構成では、パケッ
トフィルタ型ファイアウォール20により、禁止の設定
が行われる点が相違している。
【0098】本発明においては、パケット検証部4にあ
らかじめ登録しておいたドメインに属するホストに対す
る問い合わせがあった場合には、否定応答をを返すよう
に判断する処理を実装することで、WWWサーバにおけ
る「コンテンツフィルタリング」と呼ばれる技術の様
な、組織の業務に無関係なホストへのアクセスを禁止す
るという要件を満たすためのシステムを構築することが
できる。
【0099】また、本発明においては、DNSサーバフ
ィルタに、DNSサーバ情報をあらかじめ蓄えておくキ
ャッシュメモリを追加することで、余分な問い合わせを
減らすことができる。
【0100】前記実施例では、本発明を説明するため
に、セキュリティに関連する処理を例に説明したが、本
発明は、セキュリティに関連する目的にのみに限定され
るものでないことは勿論である。
【0101】
【発明の効果】以上説明したように、本発明によれば、
組織外の者が組織外のネットワークから送信するホスト
名、ドメイン名、IPアドレス等の情報をDNSプロト
コルを通じて取得するためのDNSパケットを検査し、
異常があればエラー応答を返す構成としたことにより、 ・組織外の者が組織のネットワーク構成情報を利用して
組織のネットワークに侵入を行うこと、及び、 ・異常な形式のパケットを受信する事でDNSサーバの
動作が異常になること、を未然に防ぐことができる、と
いう効果を奏する。
【0102】また本発明によれば、組織内の者が組織外
のネットワークに属するDNSサーバに送信するホスト
名、ドメイン名、IPアドレス等の情報をDNSプロト
コルを通じて取得するためのDNSパケットを検査し、
異常があればエラー応答を返す構成としたことにより、
組織外のネットワークに属するDNSサーバの動作を異
常にさせる事未然に防ぐ事が可能となり、組織外のネッ
トワークに属する他組織に対する組織の管理責任を果た
すことができる、という効果を奏する。
【0103】本発明のDNSサーバフィルタのパケット
検証手段において、利用者による追加及び削除を可能と
し、検証プログラムの記述方法を明示して、利用者自身
で検証プログラムの作成を可能としたことにより、新た
に判明したDNSサーバの問題に利用者による素早い対
処を可能とし、またDNSサーバ自体を問題に対応され
たものに置換する場合は、問題に対応する不要な検証プ
ログラムを削除してDNSサーバフィルタの性能を向上
させることができる、という効果を奏する。
【図面の簡単な説明】
【図1】本発明の一実施例のDNSサーバフィルタの構
成を示す図である。
【図2】本発明の一実施例のDNSサーバフィルタをフ
ァイアウォール内に実装した場合の構成を示す図であ
る。
【図3】本発明の一実施例のDNSサーバフィルタを1
台の装置に実装し、組織のネットワークに設置した場合
の構成を示す図である。
【図4】本発明の一実施例におけるパケット検証部の構
成を示す図である。
【図5】本発明の一実施例におけるDNSサーバフィル
タの処理を説明するためのフローチャートである。
【図6】本発明の一実施例におけるDNSサーバフィル
タの処理を説明するためのフローチャートである。
【図7】本発明の一実施例におけるパケット検証部のプ
ログラム管理テーブルのエントリの一例を示す図であ
る。
【図8】本発明の一実施例におけるセション管理テーブ
ルのエントリの一例を示す図である。
【図9】本発明の一実施例におけるパケット検証部の検
証プログラムの処理手順を示すフローチャートである。
【符号の説明】
1 DNSサーバフィルタ 2 パケット受信部 3 セション管理部 4 パケット検証部 5 要求生成部 6 応答生成部 7 パケット送信部 8 管理テーブル(セション管理テーブル) 10 ファイアウオール 11 DNSサーバ 12 TCP/IPドライバ 13、14 NIC 15、16 ネットワーク 17、18 端末 20 ファイアウォール 30 呼出管理部 31 サービスルーチン 32〜35 検証プログラム 36 ロード管理部 37 検証プログラム 38 管理ツール 39 設定ファイル 40 管理テーブル(検証プログラム管理テーブル) 50 エントリポイントアドレス 51 優先順位 52 属性 60 要求パケットへのポインタ 61 要求元IPアドレス 62 要求元ポート番号 63 フラグ
フロントページの続き Fターム(参考) 5B045 BB01 BB02 BB42 JJ02 JJ12 JJ21 JJ48 5B089 GA11 HB10 KA17 KB06 KC15 KC21 KC44 KC51 KD02 5K030 GA15 HB19 HD00 JA05 KA02 KX24 LA02 5K033 AA05 AA08 CB04 CC01 DA05 DB12 DB14 EC03 9A001 CC07 DD10 LL03 LL09

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】受信したDNS(Domain Name System)
    パケットについて、該パケットをDNSサーバに渡すま
    えに、該パケットの内容に異常があるか否か検査するパ
    ケット検証手段を備え、異常を検出した際にエラー応答
    パケットを生成して要求元に返す、ことを特徴とするD
    NSサーバフィルタ装置。
  2. 【請求項2】組織外の者が組織外のネットワークから送
    信するホスト名、ドメイン名、IP(Internet Protoc
    ol)アドレスに関する情報をDNSプロトコルを通じて
    取得するためのDNSパケットを前記パケット検証手段
    で検査し、異常があればエラー応答を返し、組織外の者
    が組織のネットワーク構成情報を利用して組織のネット
    ワークに侵入を行うこと、及び、異常な形式のパケット
    を受信することでDNSサーバが動作異常になること、
    を未然に防ぐようした、ことを特徴とする請求項1記載
    のDNSサーバフィルタ装置。
  3. 【請求項3】組織内の端末から組織外のネットワークに
    属するDNSサーバに送信するホスト名、ドメイン名、
    IPアドレスに関する情報をDNSプロトコルを通じて
    取得するためのDNSパケットを、前記パケット検証手
    段で検査し、異常があればエラー応答を返し、組織外の
    ネットワークに属するDNSサーバを動作異常とさせる
    ことを未然に防ぐようにした、ことを特徴とする請求項
    1記載のDNSサーバフィルタ装置。
  4. 【請求項4】前記パケット検証手段によるパケットの異
    常検出の条件について、追加、及び削除自在とされてい
    る、ことを特徴とする請求項1乃至3のいずれか一に記
    載のDNSサーバフィルタ装置。
  5. 【請求項5】請求項1乃至4のいずれか一に記載の前記
    DNSサーバフィルタ装置を、ファイアウォール装置内
    に実装し、 前記ファイアウォール装置の前記DNSサーバフィルタ
    装置は、前記ファイアウォール装置が設置される組織の
    管理外の第1のネットワークと、組織内の第2のネット
    ワークとをセキュリティを保ちながら相互接続し、DN
    Sについて、前記第1のネットワークに属する端末が前
    記第2のネットワークに属する端末のホスト名とIPア
    ドレスの情報やネットワークの名前空間に関する情報を
    取得すること、 前記第1のネットワークに属する端末から前記第1のネ
    ットワークを通じてDNSサーバに対してDNSプロト
    コル上不正なパケットを送付してDNSサーバに動作異
    常を引き起こすこと、 前記第2のネットワークに属する端末やDNSサーバが
    前記第1のネットワークに属する端末や前記第1のネッ
    トワークに属するホストに対してDNSプロトコル上異
    常なパケットを送付すること、 を防ぐようにした、ことを特徴とするファイアウォール
    装置。
  6. 【請求項6】パケットフィルタリング型のファイアウォ
    ール装置と、 ファイアウォール装置と通信接続する請求項1乃至4の
    いずれか一に記載の前記DNSパケットフィルタ装置
    と、 前記DNSパケットフィルタ装置と通信接続するDNS
    サーバと、を備えたことを特徴とするネットワークシス
    テム。
  7. 【請求項7】DNSプロトコルにおける端末及びDNS
    サーバからの問い合わせ、及び、DNSサーバからの応
    答パケットを受信するパケット受信部と、 問い合わせ要求を管理するためのセション管理テーブル
    を備え、問い合わせ及び応答パケットを管理し全体の制
    御を行うセション管理部と、 問い合わせ及び応答パケットが異常であるか否かを検査
    するパケット検証部と、 DNSサーバへの問い合わせパケットを生成する要求生
    成部と、 問い合わせパケットの送信元に返す応答パケットを生成
    する応答生成部と、 問い合わせ及び応答パケットを送信するパケット送信部
    と、 を備え、受信したDNSプロトコルのパケットについて
    該パケットをDNSサーバに渡すまえに、内容に異常が
    あるか否か検査し、異常を検出した際に、エラー応答パ
    ケット生成して要求元に返す、ことを特徴とするDNS
    サーバフィルタ装置。
  8. 【請求項8】前記パケット検証部が、 検証プログラムのエントリポイントアドレス情報と、検
    証プログラムの実行の優先順位情報と、検証プログラム
    の属性情報とを備えたプログラム管理テーブルを備え、
    前記検証プログラムの属性を参照し、実行すべき検証プ
    ログラムを選択して実行に移す制御を行う呼出管理部
    と、 検証プログラムを格納した記憶装置と、 管理ツールもしくは設定ファイルで指示された検証プロ
    グラムの実行ファイルをメモリ上にロードし、ロードさ
    れた検証プログラムを初期化し、検証プログラムのエン
    トリポイントを、入手した属性と共に、前記呼出管理部
    のプログラム管理テーブルに登録し、前記管理ツールで
    削除が指示された検証プログラムをメモリ上から解放処
    理を行うように制御するロード管理部と、 実行される検証プログラムから呼び出されるDNSサー
    バフィルタ本体の機能を利用するためのサブルーチン群
    よりなるサービスルーチンと、 を備えている、ことを特徴とする請求項7記載のDNS
    サーバフィルタ装置。
  9. 【請求項9】前記セション管理テーブルが、要求パケッ
    トへのポインタと、問い合わせ要求を行った要求元のI
    Pアドレスと、問い合わせ要求を行った要求元ポート番
    号と、問い合わせ要求のパケット形式が正常であった場
    合に問い合わせ要求を別のDNSサーバに転送している
    かどうかを示すフラグと、を備え、 前記パケット受信部が、DNSパケットを受信すると、
    該パケットを前記セション管理部に渡し、 前記セション管理部は、前記セション管理テーブルに、
    受信したパケットの送信元のIPアドレス、受信したパ
    ケットのポート番号を設定し、テスト中を意味する値を
    フラグを設定したのち、受信パケットを、前記パケット
    検証部に渡してパケットの検査を依頼し、 前記パケット検証部で前記受信パケットの検査を行った
    結果、検査結果に問題がある場合、前記セション管理部
    が、前記受信パケットの種別を調べて、問い合わせ要求
    であるか否か判定し、問い合わせ要求であれば、前記セ
    ション管理部は、前記応答生成部に対して、エラー応答
    パケットの生成を依頼し、 生成されたパケットを、前記セション管理テーブルの要
    求元IPアドレス、ポート番号で指定される相手に対し
    て、前記パケット送信部に送信を依頼し、受信したパケ
    ットについて、前記セション管理テーブルに登録されて
    いる情報を削除して、受信した問い合わせ要求パケット
    を解放し、 受信パケットが問い合わせ要求でない場合には、前記セ
    ション管理部は、前記セション管理テーブルを検索し
    て、元の問い合わせ要求に関する部分を取り出し、検索
    された前記セション管理テーブルのエントリの要求パケ
    ットへのポインタから、問い合わせ要求パケットを参照
    して、これを基に、前記応答生成部に対して、エラー応
    答パケットの生成を依頼し、前記セション管理テーブル
    の要求元IPアドレス、及びポート番号で指定される相
    手に対して、生成した応答パケットを送信するように、
    前記パケット送信部に対して依頼し、受信した応答パケ
    ットについて、前記セション管理テーブルに登録されて
    いる情報を削除して応答パケットを解放するとともに、
    該応答パケットに対応する問い合わせ要求について、前
    記セション管理テーブルに登録されているエントリも削
    除する、ことを特徴とする請求項8記載のDNSサーバ
    フィルタ装置。
  10. 【請求項10】前記パケット検証部でパケットの検査を
    行い、検査結果に問題がない場合、前記セション管理部
    が受信パケットの種別を調べ、応答パケットの場合、前
    記セション管理部は、該応答パケットに対応する問い合
    わせ要求の情報を、前記セション管理テーブルから検索
    し、前記セション管理部が受信した応答パケットが元の
    問い合わせ要求に対する回答となっているかどうかを調
    べ、 前記調査の結果、さらに問い合わせを行う必要があれ
    ば、前記セション管理部は、受信した応答パケットの情
    報から次の問い合わせ先を決定して、前記要求生成部に
    問い合わせ要求パケットの生成を依頼し、前記パケット
    送信部に対して次の問い合わせ先への送信を依頼し、 前記セション管理部は、受信した問い合わせの途中経過
    である応答パケットに関する情報を、前記セション管理
    テーブルから削除して応答パケットを解放し、 前記調査の結果、元々の問い合わせパケットに対する回
    答となる応答パケットを受信した場合には、前記セショ
    ン管理部は、応答パケットを受信した応答パケットの結
    果を反映させた元の問い合わせ要求に対する応答パケッ
    トの生成を前記応答生成部に依頼し、前記パケット送信
    部に元の問い合わせ要求の送信元に対して送信を依頼
    し、受信した応答パケットに関連する情報を前記セショ
    ン管理テーブルから削除し、元の問い合わせ要求に関す
    る情報を前記セション管理テーブルから削除し応答パケ
    ットを解放する、ことを特徴とする請求項9記載のDN
    Sサーバフィルタ装置。
  11. 【請求項11】前記パケット検証部でパケットの検査を
    行い、検査結果に問題がない場合、前記セション管理部
    が受信パケットの種別を調べ、受信したパケットが問い
    合わせ要求である場合、前記セション管理部が受信パケ
    ットの送信元を調べ、前記送信元が組織内部のネットワ
    ークからの問い合わせでない場合、組織外のネットワー
    クの問い合わせ要求を解決するために前記セション管理
    部は、まず最初に問い合わせる組織外のDNSサーバを
    決定し、元の問い合わせ要求を元にした問い合わせ要求
    の生成を前記要求生成部に依頼し、その問い合わせ要求
    パケットを、前記決定されたDNSサーバに対して送信
    するようにパケット送信部に依頼し、 前記送信元が組織内部のネットワークからの問い合わせ
    である場合、前記セション管理部は受信した問い合わせ
    要求パケットを元に要求生成部に問い合わせ要求パケッ
    トの生成を依頼し、DNSサーバに対する問い合わせパ
    ケットの送信を前記パケット送信部に依頼し、 前記セション管理部は、受信したパケットに対応する前
    記セション管理テーブルのエントリ中のフラグに、「問
    い合わせ中」の値を設定し、受信パケットへのポインタ
    を前記セション管理テーブルのエントリのポインタに設
    定する、ことを特徴とする請求項9又は10記載のDN
    Sサーバフィルタ装置。
  12. 【請求項12】DNSサーバ情報をあらかじめ蓄えてお
    くキャッシュメモリを備えたことを特徴とする請求項7
    記載のDNSサーバフィルタ装置。
  13. 【請求項13】(a)DNSプロトコルにおける端末及
    びDNSサーバからの問い合わせ、及びDNSサーバか
    らの応答パケットを通信装置を介して受信するパケット
    受信処理と、 (b)問い合わせ要求を管理するためのセション管理テ
    ーブルを備え、問い合わせ及び応答パケットを管理し全
    体の制御を行うセション管理処理と、 (c)問い合わせ及び応答パケットが異常であるか否か
    を検査するパケット検証処理と、 (d)DNSサーバへの問い合わせパケットを生成する
    要求生成処理と、 問い合わせパケットの送信元に返す応答パケットを生成
    する応答生成処理と、 (e)問い合わせ及び応答パケットを通信装置を介して
    送信するように制御するパケット送信処理と、 を備え、受信したDNSパケットについて該パケットを
    DNSサーバに渡すまえに、内容に異常があるか否か検
    査し、異常を検出した際に、エラー応答パケット生成し
    て返すという、DNSサーバフィルタの処理を、コンピ
    ュータ上で実行させるためのプログラムを記録した記録
    媒体。
  14. 【請求項14】請求項13記載の記録媒体において、検
    証プログラムのエントリポイントアドレス情報と、検証
    プログラムの実行の優先順位情報と、検証プログラムの
    属性情報とを備えたプログラム管理テーブルを備え、 前記パケット検証処理が、前記検証ソフトウェアの属性
    を参照し、実行すべき検証プログラムを選択して実行に
    移す制御を行う呼出管理処理と、 管理ツールもしくは設定ファイルで指示された検証プロ
    グラムの実行ファイルをメモリ上にロードし、ロードさ
    れた検証プログラムを初期化し、検証プログラムのエン
    トリポイントを入手した属性と共に前記プログラム管理
    テーブルに登録し、及び前記管理ツールで削除を指示さ
    れた検証プログラムのメモリ上からの解放処理を行うロ
    ード管理処理と、 検証プログラムから呼び出されるDNSサーバフィルタ
    本体の機能を利用するためのサブルーチン群よりなるサ
    ービスルーチン処理と、 の各処理を、前記コンピュータ上で実行させるためのプ
    ログラムを記録した記録媒体。
JP2000012757A 2000-01-21 2000-01-21 Dnsサーバフィルタ Expired - Fee Related JP3596400B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000012757A JP3596400B2 (ja) 2000-01-21 2000-01-21 Dnsサーバフィルタ
US09/750,914 US7013343B2 (en) 2000-01-21 2001-01-02 DNS server filter checking for abnormal DNS packets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000012757A JP3596400B2 (ja) 2000-01-21 2000-01-21 Dnsサーバフィルタ

Publications (2)

Publication Number Publication Date
JP2001203762A true JP2001203762A (ja) 2001-07-27
JP3596400B2 JP3596400B2 (ja) 2004-12-02

Family

ID=18540435

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000012757A Expired - Fee Related JP3596400B2 (ja) 2000-01-21 2000-01-21 Dnsサーバフィルタ

Country Status (2)

Country Link
US (1) US7013343B2 (ja)
JP (1) JP3596400B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100425025C (zh) * 2004-06-21 2008-10-08 Lgcns株式会社 应用服务器安全法与网络安全法的安全系统与方法
US7970878B1 (en) * 2005-11-16 2011-06-28 Cisco Technology, Inc. Method and apparatus for limiting domain name server transaction bandwidth
JP2012216023A (ja) * 2011-03-31 2012-11-08 Toshiba Corp 通信装置、通信プログラム、及び通信システム
WO2013035309A1 (ja) * 2011-09-06 2013-03-14 日本電気株式会社 エージェント装置及び通信中継方法
JP2014030099A (ja) * 2012-07-31 2014-02-13 Fujitsu Ltd 通信装置、プログラムおよびルーティング方法
JP2014519751A (ja) * 2011-05-24 2014-08-14 パロ・アルト・ネットワークス・インコーポレーテッド ドメイン名をフィルタリングするためのdns通信の使用

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9603582D0 (en) 1996-02-20 1996-04-17 Hewlett Packard Co Method of accessing service resource items that are for use in a telecommunications system
US7640434B2 (en) * 2001-05-31 2009-12-29 Trend Micro, Inc. Identification of undesirable content in responses sent in reply to a user request for content
US20030182447A1 (en) * 2001-05-31 2003-09-25 Schilling Frank T. Generic top-level domain re-routing system
US7356031B1 (en) * 2002-02-01 2008-04-08 Cisco Technology, Inc. Inter-v4 realm routing
US7734745B2 (en) 2002-10-24 2010-06-08 International Business Machines Corporation Method and apparatus for maintaining internet domain name data
JP3809429B2 (ja) * 2003-07-25 2006-08-16 キヤノン株式会社 管理装置及びその制御方法
US8661158B2 (en) 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US7783769B2 (en) * 2004-03-31 2010-08-24 Intel Corporation Accelerated TCP (Transport Control Protocol) stack processing
US20080028073A1 (en) * 2004-07-09 2008-01-31 France Telecom Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks
WO2006044820A2 (en) 2004-10-14 2006-04-27 Aventail Corporation Rule-based routing to resources through a network
US20060174324A1 (en) * 2005-01-28 2006-08-03 Zur Uri E Method and system for mitigating denial of service in a communication network
US7386633B2 (en) * 2005-04-21 2008-06-10 International Business Machines Corporation Priority based differentiated DNS processing
KR100735321B1 (ko) 2005-09-09 2007-07-04 삼성전자주식회사 무선 패킷 네트워크에서의 착신 패킷 필터링 장치 및 방법
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
JP4668775B2 (ja) * 2005-11-28 2011-04-13 株式会社日立製作所 Dnsサーバ装置
US7827280B2 (en) * 2006-02-28 2010-11-02 Red Hat, Inc. System and method for domain name filtering through the domain name system
FI20065179A0 (fi) * 2006-03-20 2006-03-20 Nixu Sofware Oy Kokonaisuudeksi koottu nimipalvelin
US20080148340A1 (en) * 2006-10-31 2008-06-19 Mci, Llc. Method and system for providing network enforced access control
US8862735B1 (en) 2006-12-05 2014-10-14 Aol Inc. IP address management of multiple DHCP and DNS servers
US20080281696A1 (en) * 2007-05-11 2008-11-13 Verizon Services Organization Inc. Systems and methods for using dns records to provide targeted marketing services
US7860982B2 (en) * 2008-03-14 2010-12-28 Microsoft Corporation Internet connectivity verification
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8024777B2 (en) * 2008-11-20 2011-09-20 Mark Kevin Shull Domain based authentication scheme
US8238538B2 (en) 2009-05-28 2012-08-07 Comcast Cable Communications, Llc Stateful home phone service
FR2950769B1 (fr) * 2009-09-30 2022-09-16 Trustseed Sas Systeme et procede de gestion de sessions de correspondance electronique securisee
US8463887B2 (en) * 2009-12-23 2013-06-11 Citrix Systems, Inc. Systems and methods for server surge protection in a multi-core system
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
KR101223931B1 (ko) 2011-01-28 2013-02-05 주식회사 코닉글로리 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
JP6057115B2 (ja) * 2012-03-24 2017-01-11 日本電気株式会社 情報処理システム、情報処理方法、携帯端末、情報処理装置およびその制御方法と制御プログラム
US9264395B1 (en) 2012-04-11 2016-02-16 Artemis Internet Inc. Discovery engine
US8990392B1 (en) 2012-04-11 2015-03-24 NCC Group Inc. Assessing a computing resource for compliance with a computing resource policy regime specification
US9083727B1 (en) 2012-04-11 2015-07-14 Artemis Internet Inc. Securing client connections
US9106661B1 (en) 2012-04-11 2015-08-11 Artemis Internet Inc. Computing resource policy regime specification and verification
US8799482B1 (en) 2012-04-11 2014-08-05 Artemis Internet Inc. Domain policy specification and enforcement
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
JP6084023B2 (ja) * 2012-11-14 2017-02-22 キヤノン株式会社 情報処理装置、プログラム及び制御方法
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
JP6506522B2 (ja) * 2014-09-29 2019-04-24 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US10178195B2 (en) * 2015-12-04 2019-01-08 Cloudflare, Inc. Origin server protection notification
US10505985B1 (en) 2016-04-13 2019-12-10 Palo Alto Networks, Inc. Hostname validation and policy evasion prevention
US10547636B2 (en) * 2016-12-28 2020-01-28 Verisign, Inc. Method and system for detecting and mitigating denial-of-service attacks
US10375020B2 (en) 2017-01-18 2019-08-06 Cisco Technology, Inc. Security policy for HTTPS using DNS
CN109451090B (zh) * 2018-11-13 2021-08-10 郑州云海信息技术有限公司 一种域名解析方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09266475A (ja) * 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム
WO1998026555A1 (en) * 1996-12-09 1998-06-18 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5805820A (en) * 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US6128279A (en) * 1997-10-06 2000-10-03 Web Balance, Inc. System for balancing loads among network servers
US6119171A (en) * 1998-01-29 2000-09-12 Ip Dynamics, Inc. Domain name routing
US6557037B1 (en) * 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
JP2002518726A (ja) * 1998-06-19 2002-06-25 サンマイクロシステムズ インコーポレーテッド プラグインフィルタを用いた拡張性の高いプロキシサーバ
US6256671B1 (en) * 1998-06-24 2001-07-03 Nortel Networks Limited Method and apparatus for providing network access control using a domain name system
US6400707B1 (en) * 1998-08-27 2002-06-04 Bell Atlantic Network Services, Inc. Real time firewall security
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US6434600B2 (en) * 1998-09-15 2002-08-13 Microsoft Corporation Methods and systems for securely delivering electronic mail to hosts having dynamic IP addresses
US6728885B1 (en) * 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
KR100295457B1 (ko) * 1998-11-10 2001-07-12 이계철 서비스 게이트웨이를 이용한 인터넷 액세스 단말간 인터넷 프로토콜(ip) 레벨 연결성 제공 장치 및 방법
US6457061B1 (en) * 1998-11-24 2002-09-24 Pmc-Sierra Method and apparatus for performing internet network address translation
US6480508B1 (en) * 1999-05-12 2002-11-12 Westell, Inc. Router-based domain name system proxy agent using address translation
US6442602B1 (en) * 1999-06-14 2002-08-27 Web And Net Computing System and method for dynamic creation and management of virtual subdomain addresses
US6374292B1 (en) * 1999-07-20 2002-04-16 Sun Microsystems, Inc. Access control system for an ISP hosted shared email server
US6321267B1 (en) * 1999-11-23 2001-11-20 Escom Corporation Method and apparatus for filtering junk email
US6732165B1 (en) * 2000-08-31 2004-05-04 International Business Machines Corporation Simultaneous network configuration of multiple headless machines
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09266475A (ja) * 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム
WO1998026555A1 (en) * 1996-12-09 1998-06-18 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100425025C (zh) * 2004-06-21 2008-10-08 Lgcns株式会社 应用服务器安全法与网络安全法的安全系统与方法
US7970878B1 (en) * 2005-11-16 2011-06-28 Cisco Technology, Inc. Method and apparatus for limiting domain name server transaction bandwidth
JP2012216023A (ja) * 2011-03-31 2012-11-08 Toshiba Corp 通信装置、通信プログラム、及び通信システム
JP2014519751A (ja) * 2011-05-24 2014-08-14 パロ・アルト・ネットワークス・インコーポレーテッド ドメイン名をフィルタリングするためのdns通信の使用
WO2013035309A1 (ja) * 2011-09-06 2013-03-14 日本電気株式会社 エージェント装置及び通信中継方法
JPWO2013035309A1 (ja) * 2011-09-06 2015-03-23 日本電気株式会社 エージェント装置及び通信中継方法
JP2014030099A (ja) * 2012-07-31 2014-02-13 Fujitsu Ltd 通信装置、プログラムおよびルーティング方法

Also Published As

Publication number Publication date
US7013343B2 (en) 2006-03-14
JP3596400B2 (ja) 2004-12-02
US20010052007A1 (en) 2001-12-13

Similar Documents

Publication Publication Date Title
JP3596400B2 (ja) Dnsサーバフィルタ
US7840699B2 (en) Name resolution server and packet transfer device
JP4546382B2 (ja) 機器検疫方法、および、機器検疫システム
US6687732B1 (en) Adaptive traffic bypassing in an intercepting network driver
US8584195B2 (en) Identities correlation infrastructure for passive network monitoring
US8447856B2 (en) Policy-managed DNS server for to control network traffic
US8479048B2 (en) Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained
JP5167225B2 (ja) 1つのファイラー上の複数の仮想ファイラーが重複するネットワークアドレスを有する複数のアドレス空間に参加することを可能にする技術
US7188366B2 (en) Distributed denial of service attack defense method and device
US6574666B1 (en) System and method for dynamic retrieval loading and deletion of packet rules in a network firewall
US7844710B2 (en) Proxy caching for directory services
JPWO2006067951A1 (ja) アクセス制御装置およびアクセス制御方法
US20080089233A1 (en) Traffic control system and management server
US20080104241A1 (en) Terminal device management system, data relay device, internetwork connection device, and quarantine method of terminal device
CN114253707B (zh) 一种基于api网关的微服务请求方法
US8326919B1 (en) Network address translation auto-discovery in data storage networks
US11522832B2 (en) Secure internet gateway
CN113839938B (zh) 一种域名接管漏洞的检测方法和装置
JP5267893B2 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
CN115913583A (zh) 业务数据访问方法、装置和设备及计算机存储介质
US20080148354A1 (en) Controlling Transmission of Private Information Based on Privacy Item Types
JP2002108729A (ja) ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体
US20230362132A1 (en) Rule selection management based on currently available domain name system (dns) servers
CN117857411B (zh) 一种基于混合方式的资产识别方法
JP4447479B2 (ja) データ処理装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040726

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040830

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080917

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080917

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090917

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090917

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100917

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110917

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees