JP2007243565A - Dns server device, dns query request control method, and dns query request control program - Google Patents

Dns server device, dns query request control method, and dns query request control program Download PDF

Info

Publication number
JP2007243565A
JP2007243565A JP2006062705A JP2006062705A JP2007243565A JP 2007243565 A JP2007243565 A JP 2007243565A JP 2006062705 A JP2006062705 A JP 2006062705A JP 2006062705 A JP2006062705 A JP 2006062705A JP 2007243565 A JP2007243565 A JP 2007243565A
Authority
JP
Japan
Prior art keywords
response
dns query
query request
dns
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006062705A
Other languages
Japanese (ja)
Other versions
JP4343914B2 (en
Inventor
Nobuo Fukushima
伸夫 福島
Yuichi Shimamura
祐一 島村
Taisuke Wakasugi
泰輔 若杉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006062705A priority Critical patent/JP4343914B2/en
Publication of JP2007243565A publication Critical patent/JP2007243565A/en
Application granted granted Critical
Publication of JP4343914B2 publication Critical patent/JP4343914B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To enable response control to be quickly and minutely performed when a DoS attack occurs. <P>SOLUTION: An authority server 30 is a server that manages optional domains and manages access control lists in which an authorization response or a reject response is specified by system, zone and domain. The authority server 30 performs response control referring successively to the access control lists prepared by system, zone and domain on the basis of a sending agency IP of a query request when the server 30 receives a DNS query request. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

この発明は、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムに関する。   The present invention relates to a DNS server device, a DNS query request control method, and a DNS query request control program that receive a DNS query request and control a response to the DNS query request.

従来より、一般的に多く利用されているインターネットサービスにおいて、ホスト名(ドメイン名)とIPアドレス(Internet Protocol Address)とを対応させるDNS(Domain Name System)が多く利用されている。そして、悪意のあるユーザによるこれらDNSサーバに対してのDoS攻撃(Denial of Service)が、DNSサーバを停止させるなど、インターネットサービスの混乱・停止を引き起こす原因となっている。そこで、これらDNSサーバに対してのDoS攻撃に対抗するための有効な手段として、DNSサーバにDNSクエリ要求を送信する発信元のIPアドレスにより、クエリ応答を制御するアクセスコントロール(応答制御)がある。   2. Description of the Related Art Conventionally, DNS (Domain Name System) that associates a host name (domain name) and an IP address (Internet Protocol Address) is widely used in Internet services that are generally used. And, a DoS attack (Denial of Service) against these DNS servers by a malicious user causes a disruption / stop of Internet services such as stopping the DNS server. Therefore, as an effective means for combating a DoS attack against these DNS servers, there is an access control (response control) for controlling a query response by an IP address of a transmission source that transmits a DNS query request to the DNS server. .

かかる応答制御を具体的に説明すると、DNSサーバでは、DNSクエリ要求を送信するIPアドレスごとに無応答、拒否応答またはリソースレコード応答などのクエリ応答を規定したアクセスコントロールリストを管理しておき、DNSクエリ要求を送信してきたIPアドレスに基づいてアクセスコントロールリストを参照し、クエリ応答の応答制御を行う。   This response control will be described in detail. The DNS server manages an access control list that defines a query response such as no response, rejection response, or resource record response for each IP address that transmits a DNS query request. Based on the IP address that has transmitted the query request, the access control list is referred to and response control of the query response is performed.

例を挙げると、DNSサーバで一般的に多く使用されるDNSソフトウエアのBINDでは、この応答制御をシステム単位およびゾーン単位で設定して行うことができる。具体的に説明すると、DNSクエリ要求を受け付けたDNSサーバは、まず、DNSクエリ要求を送信した発信元のIPアドレス(以下、発信元IP)に基づいてシステム単位およびゾーン単位に規定されたアクセスコントロールリストを参照し、応答制御を行う。このように、BINDでは、システム単位とゾーン単位の応答制御を行うことができる。   For example, in the BIND of the DNS software that is commonly used in the DNS server, this response control can be performed by setting the system unit and the zone unit. More specifically, a DNS server that has received a DNS query request firstly performs access control that is defined in units of systems and zones based on the IP address of the source that transmitted the DNS query request (hereinafter referred to as the source IP). Refer to the list and perform response control. Thus, in BIND, response control can be performed in units of systems and zones.

ところが、この技術では、ゾーンを構成するドメイン単位毎での応答制御ができないため、より細かい条件で応答制御を行うことができない。そこで、この問題を解決するために、ドメイン単位での応答制御を行う技術が開示されている(例えば、特許文献1参照)具体的に説明すると、DNSサーバは、システムやゾーンを構成する全てのドメイン単位で規定されたアクセスコントロールリストを管理する。そして、DNSクエリ要求を受け付けると、DNSサーバは、ドメイン単位に規定されたアクセスコントロールリストに基づいて、応答制御を行う。   However, with this technique, response control cannot be performed for each domain constituting the zone, and therefore response control cannot be performed under more detailed conditions. Therefore, in order to solve this problem, a technique for performing response control in units of domains has been disclosed (for example, refer to Patent Document 1). Specifically, the DNS server is configured so that all of the systems and zones are configured. Manages access control lists defined on a domain basis. When a DNS query request is received, the DNS server performs response control based on an access control list defined for each domain.

特開2005−210513号公報Japanese Patent Laying-Open No. 2005-210513

しかしながら、上記した特許文献1では、登録されている全てのドメインにおいて応答制御の設定をする必要があり、設定箇所が多く、作業が煩雑であるため、DoS攻撃発生時に迅速な応答制御を行うことができないという問題点があった。   However, in the above-mentioned Patent Document 1, it is necessary to set response control in all registered domains, and since there are many setting parts and work is complicated, quick response control is performed when a DoS attack occurs. There was a problem that could not.

そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能であるDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムを提供することを目的とする。   Therefore, the present invention has been made to solve the above-described problems of the prior art, and it is possible to realize detailed response control in units of domains in addition to simple and quick response control in units of systems and zones. An object of the present invention is to provide a DNS server device, a DNS query request control method, and a DNS query request control program.

上述した課題を解決し、目的を達成するため、請求項1に係る発明は、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSサーバ装置であって、システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごと前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶手段と、前記応答制御内容記憶手段に記憶された応答制御内容に基づいて、前記システム単位および/またはゾーン単位、並びに、前記ドメイン単位で前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手段と、を備えたことを特徴とする。   In order to solve the above-described problems and achieve the object, the invention according to claim 1 is a DNS server apparatus that receives a DNS query request and controls a response to the DNS query request, and is a system unit and / or zone Response control content for the DNS query request for each unit, response control content storage means for storing the response control content for the DNS query request for each domain unit, and response control content stored in the response control content storage means And DNS query response control means for controlling a response to the DNS query request in units of systems and / or zones and in units of domains.

また、請求項2に係る発明は、上記の発明において、前記応答制御内容記憶手段は、前記システム単位、ゾーン単位およびドメイン単位ごとにそれぞれ応答制御内容を記憶するものであって、前記DNSクエリ応答制御手段は、前記システム単位、ゾーン単位、ドメイン単位の順に、各単位で記憶された応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御することを特徴とする。   The invention according to claim 2 is the above invention, wherein the response control content storage means stores response control content for each of the system unit, the zone unit, and the domain unit, and the DNS query response The control means controls the response to the DNS query request based on the response control content stored in each unit in the order of the system unit, zone unit, and domain unit.

また、請求項3に係る発明は、上記の発明において、前記応答制御内容記憶手段は、前記システム単位の応答制御内容の少なくとも一つとして、前記ドメイン単位で応答を制御すべき旨の応答制御内容を記憶するものであって、前記DNSクエリ応答制御手段は、前記システム単位のアクセス制御内容に前記DNSクエリ要求が該当する場合には、前記ドメイン単位のアクセス制御内容に基づいて前記DNSクエリ要求に対する応答を制御することを特徴とする。   The invention according to claim 3 is the above-described invention, wherein the response control content storage means controls the response in the domain unit as at least one response control content in the system unit. The DNS query response control means responds to the DNS query request based on the access control content of the domain unit when the DNS query request corresponds to the access control content of the system unit. It is characterized by controlling the response.

また、請求項4に係る発明は、上記の発明において、前記応答制御内容記憶手段は、前記システム単位の応答制御内容の少なくとも一つとして、リソースレコードを記憶するものであって、前記DNSクエリ応答制御手段は、前記システム単位の応答制御内容に前記DNSクエリ要求が該当する場合には、前記DNSクエリ要求に対して前記リソースレコードを応答することを特徴とする。   According to a fourth aspect of the present invention, in the above invention, the response control content storage means stores a resource record as at least one of the response control contents of the system unit, and the DNS query response When the DNS query request corresponds to the response control content of the system unit, the control means responds the resource record to the DNS query request.

また、請求項5に係る発明は、上記の発明において、前記応答制御内容記憶手段は、前記DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに対応付けて、前記応答制御内容を記憶するものであって、前記DNSクエリ応答制御手段は、前記DNSクエリ要求に含まれる当該DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに基づいて、当該DNSクエリ要求に対する応答を制御することを特徴とする。   According to a fifth aspect of the present invention, in the above invention, the response control content storage means corresponds to a device address for identifying a DNS client device and / or a cache server device that is a transmission source of the DNS query request. In addition, the response control content is stored, and the DNS query response control means identifies a DNS client device and / or a cache server device that is a transmission source of the DNS query request included in the DNS query request. A response to the DNS query request is controlled based on a device address to be used.

また、請求項6に係る発明は、上記の発明において、前記応答制御内容記憶手段は、前記応答制御内容として、無応答、拒否応答、リソースレコードのいずれか一つを記憶するものであって、前記DNSクエリ応答制御手段は、前記無応答、拒否応答、リソースレコード応答のいずれか一つを行うことを特徴とする。   The invention according to claim 6 is the above invention, wherein the response control content storage means stores any one of no response, rejection response, and resource record as the response control content, The DNS query response control means performs any one of the non-response, rejection response, and resource record response.

また、請求項7に係る発明は、上記の発明において、前記DNSクエリ要求は、名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求であって、前記DNSクエリ応答制御手段は、前記名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求に対する応答を制御することを特徴とする。   The invention according to claim 7 is the above invention, wherein the DNS query request is a request for name resolution, a request for dynamic DNS, a request for zone update, or a request for zone transfer. The DNS query response control unit controls a response to a request related to name resolution, a request related to dynamic DNS, a request related to zone update, or a request related to zone transfer.

また、請求項8に係る発明は、上記の発明において、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法であって、システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を応答制御内容記憶手段に格納するとともに、ドメイン単位で前記DNSクエリ要求に対する応答制御内容を前記応答制御内容記憶手段に格納する応答制御内容格納工程と、前記応答制御内容記憶手段に格納された応答制御内容に基づいて、前記システム単位および/またはゾーン単位、並びに、前記ドメイン単位で前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御工程と、を含んだことを特徴とする。   The invention according to claim 8 is the DNS query request control method according to the above invention, wherein a DNS query request is received and a response to the DNS query request is controlled. A response control content storing step for storing response control content for the DNS query request in the response control content storage means, and storing response control content for the DNS query request in the response control content storage means for each domain, and the response control content A DNS query response control step of controlling a response to the DNS query request in units of systems and / or zones and in units of domains based on response control contents stored in a storage means. And

また、請求項9に係る発明は、上記の発明において、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法をコンピュータに実行させるDNSクエリ要求制御プログラムであって、システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を応答制御内容記憶手段に格納するとともに、ドメイン単位で前記DNSクエリ要求に対する応答制御内容を前記応答制御内容記憶手段に格納する応答制御内容格納手順と、前記応答制御内容記憶手段に格納された応答制御内容に基づいて、前記システム単位および/またはゾーン単位、並びに、前記ドメイン単位で前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手順と、をコンピュータに実行させることを特徴とする。   The invention according to claim 9 is the DNS query request control program for causing the computer to execute a DNS query request control method for receiving a DNS query request and controlling a response to the DNS query request in the above invention, The response control content for the DNS query request is stored in the response control content storage unit for each system unit and / or zone unit, and the response control content for the DNS query request is stored in the response control content storage unit for each domain unit A DNS query response for controlling a response to the DNS query request in the system unit and / or the zone unit and the domain unit based on the control content storage procedure and the response control content stored in the response control content storage means Control procedure to be executed by computer I am characterized in.

請求項1、8または9の発明によれば、DNSサーバ装置は、システム単位および/またはゾーン単位ごとにDNSクエリ要求に対する応答制御内容(アクセスコントロールファイル)を記憶するとともに、ドメイン単位ごとにDNSクエリ要求に対する応答制御内容を記憶しておき、システム単位および/またはゾーン単位、並びに、ドメイン単位でDNSクエリ要求に対する応答を制御するので、DNSクエリ要求に対して、システム単位および/またはゾーン単位による応答制御と、ドメイン単位による応答制御とを組み合わせて適用することができる結果、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。   According to the invention of claim 1, 8 or 9, the DNS server device stores the response control content (access control file) for the DNS query request for each system unit and / or zone unit, and for each domain unit DNS query. Since the response control content for the request is stored and the response to the DNS query request is controlled in the system unit and / or the zone unit and the domain unit, the response in the system unit and / or the zone unit is responded to the DNS query request. As a result of the combination of control and response control in units of domains, it is possible to realize detailed response control in units of domains as well as simple and quick response control in units of systems and zones.

また、請求項2の発明によれば、DNSサーバ装置は、システム単位、ゾーン単位およびドメイン単位ごとにそれぞれ応答制御内容を記憶しておき、システム単位、ゾーン単位、ドメイン単位の順に、各単位で記憶された応答制御内容に基づいて、DNSクエリ要求に対する応答を制御するので、ドメイン単位による応答制御を行った後に、システム単位やゾーン単位による応答制御を行う手法に比較して、全体として迅速な応答制御を実現することが可能である。   According to the invention of claim 2, the DNS server device stores the response control contents for each system unit, each zone unit, and each domain unit, and in each unit in the order of the system unit, the zone unit, and the domain unit. Since the response to the DNS query request is controlled on the basis of the stored response control content, the response control by the domain unit is performed, and then compared with the method of performing the response control by the system unit or the zone unit, it is quick as a whole. Response control can be realized.

また、請求項3の発明によれば、DNSサーバ装置は、システム単位の応答制御内容の少なくとも一つとして、ドメイン単位で応答を制御すべき旨の応答制御内容を記憶しておき、かかるシステム単位のアクセス制御内容にDNSクエリ要求が該当する場合には、ドメイン単位のアクセス制御内容に基づいてDNSクエリ要求に対する応答を制御するので、一部のDNSクエリ要求に対してはシステム単位に続いてドメイン単位で応答を制御するなど、ゾーン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。   According to the invention of claim 3, the DNS server device stores the response control content indicating that the response should be controlled in domain units as at least one of the response control content in system units. When the DNS query request corresponds to the access control content of the system, the response to the DNS query request is controlled based on the access control content of the domain unit. Therefore, for some DNS query requests, the domain follows the system unit. By omitting zone-based response control, such as controlling responses in units, it is possible to achieve faster response control as a whole.

また、請求項4の発明によれば、DNSサーバ装置は、システム単位の応答制御内容の少なくとも一つとして、リソースレコードを記憶しておき、かかるシステム単位の応答制御内容にDNSクエリ要求が該当する場合には、DNSクエリ要求に対してリソースレコードを応答するので、一部のDNSクエリ要求に対してはシステム単位に続いてリソースレコードを応答するなど、ゾーン単位およびドメイン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。   According to the invention of claim 4, the DNS server device stores a resource record as at least one of the response control contents of the system unit, and the DNS query request corresponds to the response control content of the system unit. In some cases, since resource records are responded to DNS query requests, response control in zone units and domain units, such as responding to resource records following system units, is omitted for some DNS query requests. Thus, it is possible to realize faster response control as a whole.

また、請求項5の発明によれば、DNSサーバ装置は、DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレス(クライアントIPアドレス、キャッシュサーバIPアドレス)に対応付けて、応答制御内容を記憶しておき、DNSクエリ要求に含まれる当該DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに基づいて、当該DNSクエリ要求に対する応答を制御するので、DNSクエリ要求の送信元であるDNSクライアント装置ごとやキャッシュサーバ装置ごとに、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。   According to the invention of claim 5, the DNS server device is a device address (client IP address, cache server IP address) for identifying the DNS client device and / or cache server device that is the source of the DNS query request. The response control content is stored in association with the DNS query request, and based on the device address for identifying the DNS client device and / or cache server device that is the transmission source of the DNS query request included in the DNS query request, Since the response to the DNS query request is controlled, for each DNS client device or cache server device that is the source of the DNS query request, in addition to simple and quick response control in units of systems and zones, detailed response control in units of domains Can be realized It is.

また、請求項6の発明によれば、DNSサーバ装置は、応答制御内容として、無応答、拒否応答、リソースレコードのいずれか一つを記憶しておき、無応答、拒否応答、リソースレコード応答のいずれか一つを行うので、システム単位やゾーン単位、ドメイン単位で、無応答、拒否応答、リソースレコード応答(例えば、全クライアント向けに用意された一つのリソースレコード、クライアントアドレスごとに用意されたリソースレコード、国ごとに用意されたリソースレコード、社内外ごとに用意されたリソースレコードなどの応答)のいずれか一つを行うという多様な応答制御を実現することが可能である。   According to the invention of claim 6, the DNS server device stores any one of no response, rejection response, and resource record as response control contents, and includes no response, rejection response, and resource record response. Since any one is performed, no response, rejection response, resource record response (for example, one resource record prepared for all clients, resource prepared for each client address) in system unit, zone unit, domain unit It is possible to realize a variety of response control in which any one of a record, a resource record prepared for each country, and a response such as a resource record prepared for each inside and outside the company is performed.

また、請求項7の発明によれば、DNSサーバ装置は、名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求(ノーティファイ)、または、ゾーン転送に係る要求に対する応答を制御するので、DNSサーバ装置が受信する各種の要求に対して、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。   According to the invention of claim 7, the DNS server device controls a response to a request related to name resolution, a request related to dynamic DNS, a request related to zone update (notify), or a request related to zone transfer. Therefore, it is possible to realize detailed response control in units of domains in addition to simple and quick response control in units of systems and zones in response to various requests received by the DNS server device.

以下に添付図面を参照して、この発明に係るDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムの実施例を詳細に説明する。   Exemplary embodiments of a DNS server device, a DNS query request control method, and a DNS query request control program according to the present invention will be described below in detail with reference to the accompanying drawings.

以下では、実施例1に係るDNSサーバ装置の概要および特徴、DNSサーバ装置の構成および処理の流れを説明し、最後に実施例1による効果を説明する。なお、以下の実施例1に登場する「権威サーバ」とは、特許請求の範囲に記載の「DNSサーバ装置」に対応する。   Below, the outline | summary and characteristic of the DNS server apparatus which concern on Example 1, the structure of a DNS server apparatus, and the flow of a process are demonstrated, and the effect by Example 1 is demonstrated finally. The “authoritative server” appearing in the first embodiment below corresponds to the “DNS server device” described in the claims.

[DNSサーバ装置(権威サーバ)の概要および特徴]
まず最初に、図1を用いて、実施例1に係るDNSサーバ装置(権威サーバ)の概要および特徴を説明する。図1は、実施例1に係るDNSサーバ装置(権威サーバ)を含むDNSシステムの全体構成を示すシステム構成図である。
[Outline and Features of DNS Server Device (Authoritative Server)]
First, the outline and characteristics of the DNS server device (authoritative server) according to the first embodiment will be described with reference to FIG. FIG. 1 is a system configuration diagram illustrating an overall configuration of a DNS system including a DNS server device (authoritative server) according to the first embodiment.

図1に示したように、実施例1に係るDNSシステムは、インターネットに複数の権威サーバ30とDNSクライアント10とが接続されて構成されている。かかるDNSシステムにおいて、DNSクライアント10からDNSクエリ要求を受け付けた権威サーバ30は、受信したDNSクエリ要求に対応したリソースレコードを送信元のDNSクライアント10に送信したり、発信元IPに基づいてクエリ応答を拒否する(拒否応答)など、クエリ要求に対する応答制御を行うことを概要とするものであり、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である点に主たる特徴がある。   As shown in FIG. 1, the DNS system according to the first embodiment is configured by connecting a plurality of authority servers 30 and a DNS client 10 to the Internet. In such a DNS system, the authority server 30 that has received a DNS query request from the DNS client 10 transmits a resource record corresponding to the received DNS query request to the source DNS client 10 or a query response based on the source IP. The response control to the query request such as refusal (rejection response) is outlined, and the simple response control by the system unit or zone unit and the detailed response control by domain unit are realized. The main feature is that this is possible.

この主たる特徴を具体的に説明すると、図1において、権威サーバ30は、任意のドメインを管理するサーバであり、DNSクライアント10のIPアドレスに対応付けて、システム単位、ゾーン単位およびドメイン単位で許可応答または拒否応答が規定されたアクセスコントロールリストを管理している。このような構成を有する権威サーバ30は、DNSクライアント10からDNSクエリ要求が送信されると(図1の(1))、当該DNSクエリ要求を受信し、受信した発信元IPに基づいて、応答制御を実行して(図1の(2))、その結果をクエリ応答として送信元のDNSクライアントに送信する(図1の(3))。   This main feature will be described in detail. In FIG. 1, the authority server 30 is a server that manages an arbitrary domain, and is permitted in units of systems, zones, and domains in association with the IP address of the DNS client 10. Manages access control lists that specify responses or denial responses. When the DNS query request is transmitted from the DNS client 10 ((1) in FIG. 1), the authoritative server 30 having such a configuration receives the DNS query request and responds based on the received source IP. The control is executed ((2) in FIG. 1), and the result is transmitted as a query response to the DNS client of the transmission source ((3) in FIG. 1).

具体的には、権威サーバ30は、受信したDNSクエリ要求の発信元IPに基づいて、まず、システム単位で規定されたアクセスコントロールリストを参照して、その発信元IPが許可応答として規定されている場合には、続いて、ゾーン単位で規定されたアクセスコントロールリストを参照して、同様に許可応答として規定されているか否かを判定する。そして、許可応答として規定されている場合には、次に、ドメイン単位で規定されているアクセスコントロールリストを参照して、同様に許可応答として規定されているか否かを判定し、許可応答として規定されている場合には、規定されているリソースレコードをクエリ応答として送信する。一方、システム単位、ゾーン単位またはドメイン単位でそれぞれ規定されているアクセスコントロールリストに拒否応答として規定されていた場合は、拒否応答をクエリ応答として送信する。   Specifically, the authority server 30 first refers to the access control list defined on a system basis based on the source IP of the received DNS query request, and the source IP is specified as a permission response. If it is, the access control list defined for each zone is referred to and it is determined whether or not it is similarly defined as a permission response. If the response is specified as a permission response, the access control list specified for each domain is referred to determine whether the response is specified as a permission response. If so, the specified resource record is transmitted as a query response. On the other hand, when the denial response is defined in the access control list defined for each system, zone, or domain, the denial response is transmitted as a query response.

このように、実施例1に係る権威サーバ30は、DNSクエリ要求に対して、システム単位および/またはゾーン単位による応答制御と、ドメイン単位による応答制御とを組み合わせて適用することができる結果、上記した主たる特徴の如く、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。   As described above, the authority server 30 according to the first embodiment can apply the response control in units of systems and / or zones and the response control in units of domains to the DNS query request in combination. As described above, in addition to simple and quick response control in units of systems and zones, fine response control in units of domains can be realized.

[DNSサーバ装置(権威サーバ)の構成]
次に、図2から図5を用いて、図1に示した権威サーバの構成を説明する。図2は、権威サーバ30の構成を示すブロック図であり、図3は、アクセスコントロールリスト(システム単位)の例を示した図であり、図4は、アクセスコントロールリスト(ゾーン単位)の例を示した図であり、図5は、アクセスコントロールリスト(ドメイン単位)の例を示した図である。図2に示すように、この権威サーバ30は、通信制御I/F部31と、記憶部32と、制御部33とから構成される。
[Configuration of DNS server device (authoritative server)]
Next, the configuration of the authority server shown in FIG. 1 will be described with reference to FIGS. 2 is a block diagram showing the configuration of the authority server 30, FIG. 3 is a diagram showing an example of an access control list (system unit), and FIG. 4 is an example of an access control list (zone unit). FIG. 5 is a diagram showing an example of an access control list (domain unit). As shown in FIG. 2, the authority server 30 includes a communication control I / F unit 31, a storage unit 32, and a control unit 33.

このうち、通信制御I/F部31は、DNSクライアントとの間でやり取りする各種情報に関する通信を制御する手段である。具体的には、DNSクライアントから送信されるDNSクエリ要求を受信し、クエリ応答を発信元のDNSクライアントに送信する。   Among these, the communication control I / F unit 31 is a means for controlling communication regarding various information exchanged with the DNS client. Specifically, a DNS query request transmitted from the DNS client is received, and a query response is transmitted to the originating DNS client.

記憶部32は、制御部33による各種処理に必要なデータおよびプログラムを格納する格納手段(記憶手段)であり、特に本発明に密接に関連するものとしては、アクセスコントロールリスト(システム単位)32aと、アクセスコントロールリスト(ゾーン単位)32bと、アクセスコントロールリスト(ドメイン単位)32cとを備える。なお、記憶部32は、特許請求の範囲に記載の「応答制御内容記憶手段」に対応する。   The storage unit 32 is a storage unit (storage unit) that stores data and programs necessary for various processes performed by the control unit 33. Particularly, as closely related to the present invention, an access control list (system unit) 32a , An access control list (zone unit) 32b and an access control list (domain unit) 32c. The storage unit 32 corresponds to “response control content storage unit” recited in the claims.

このうち、アクセスコントロールリスト(システム単位)32aは、DNSクエリ要求の送信元となるDNSクライアント10のIPアドレスに対応付けて、DNSクエリ要求に対する応答制御内容をシステム単位で記憶する手段である。具体的には、図3に例示するように、DNSクエリ要求に対して無応答となるIPアドレスやネットワークアドレス、DNSクエリ要求に対して許可応答となるIPアドレスやネットワークアドレスを列挙して記憶する手段である。例えば、図3では、DNSクエリ要求の発信元IPが172.168.23.1または1234::0:1であるか、172.168.23.192/26に入っているなら、無応答となり、DNSクエリ要求の発信元IPが172.168.23.0/24または1234::/112に入っていなければ、拒否応答となる。   Among these, the access control list (system unit) 32a is means for storing response control contents for the DNS query request in units of the system in association with the IP address of the DNS client 10 that is the source of the DNS query request. Specifically, as illustrated in FIG. 3, IP addresses and network addresses that do not respond to DNS query requests, and IP addresses and network addresses that are permitted responses to DNS query requests are listed and stored. Means. For example, in FIG. 3, if the DNS query request source IP is 172.168.23.1 or 1234 :: 0: 1 or is in 172.1168.23.192/26, there is no response and the DNS query request source IP Is not included in 172.168.23.0/24 or 1234 :: / 112, it will be a rejection response.

アクセスコントロールリスト(ゾーン単位)32bは、DNSクエリ要求の送信元となるDNSクライアント10のIPアドレスに対応付けて、DNSクエリ要求に対する応答制御内容をゾーン単位で記憶する手段である。具体的には、図4に例示するように、ゾーン単位(例えば、zone=AAAなど)にDNSクエリ要求に対して許可応答となるIPアドレスやネットワークアドレスを列挙して記憶する手段である。例えば、図4では、zoneがAAAであるネットワークに対してのDNSクエリ要求である場合、DNSクエリ要求の発信元IPが172.168.23.0/24または1234::1:0/120に入っているならば、許可応答となる。   The access control list (zone unit) 32b is means for storing response control contents for the DNS query request in units of zones in association with the IP address of the DNS client 10 that is the source of the DNS query request. Specifically, as illustrated in FIG. 4, it is means for enumerating and storing IP addresses and network addresses that are permitted responses to DNS query requests in zone units (for example, zone = AAA). For example, in FIG. 4, if the DNS query request is for a network whose zone is AAA, the source IP of the DNS query request is in 172.168.23.0/24 or 1234 :: 1: 0/120 In this case, a permission response is obtained.

アクセスコントロールリスト(ドメイン単位)32cは、DNSクエリ要求の送信元となるDNSクライアント10のIPアドレスに対応付けて、DNSクエリ要求に対する応答制御内容をリソースレコードファイルとしてドメイン単位で記憶する手段である。具体的には、図5に例示するように、ドメイン単位(例えば、ドメインaaa.AAAなど)にDNSクエリ要求に対して拒否応答となるIPアドレスやネットワークアドレス、拒否応答以外のIPアドレスやネットワークアドレスの場合に、クエリ応答として送信するリソースレコードを列挙して記憶する手段である。例えば、図5では、ドメインがaaa.AAAであるネットワークに対してのDNSクエリ要求である場合、DNSクエリ要求の発信元IPが192.168.23.1ならば拒否応答となり、それ以外ならば、クエリ応答として、DNSクエリ要求に対応したリソースレコードを送信する。   The access control list (domain unit) 32c is a means for storing the response control content for the DNS query request in a domain unit as a resource record file in association with the IP address of the DNS client 10 that is the source of the DNS query request. Specifically, as illustrated in FIG. 5, an IP address or network address that is a rejection response to a DNS query request in a domain unit (for example, domain aaa.AAA), an IP address or a network address other than the rejection response In this case, the resource record to be transmitted as a query response is enumerated and stored. For example, in FIG. 5, in the case of a DNS query request for a network whose domain is aaa.AAA, if the DNS query request source IP is 192.168.23.1, a rejection response is obtained; The resource record corresponding to the DNS query request is transmitted.

制御部33は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する処理部であり、特に本発明に密接に関連するものとしては、DNSクエリ応答制御部33aを備える。なお、DNSクエリ応答制御部33aは、特許請求の範囲に記載の「DNSクエリ応答制御手段」に対応する。   The control unit 33 is a processing unit that has a control program such as an OS (Operating System), a program that defines various processing procedures, and an internal memory for storing necessary data, and executes various processes using these. In particular, the DNS query response control unit 33a is closely related to the present invention. The DNS query response control unit 33a corresponds to “DNS query response control means” recited in the claims.

かかるDNSクエリ応答制御部33aは、DNSクライアント10からDNSクエリ要求を受信して、応答制御を実行する手段である。具体的には、DNSクエリ応答制御部33aは、DNSクエリ要求を受信すると、DNSクエリ要求の発信元IPに基づいて、記憶部32に記憶されているアクセスコントロールリスト(システム単位)32a、アクセスコントロールリスト(ゾーン単位)32b、アクセスコントロールリスト(ドメイン単位)32cを順に参照して、応答制御内容を決定し、クエリ応答を送信する応答制御を行う。   The DNS query response control unit 33a is means for receiving a DNS query request from the DNS client 10 and executing response control. Specifically, when receiving the DNS query request, the DNS query response control unit 33a, based on the source IP of the DNS query request, stores an access control list (system unit) 32a stored in the storage unit 32, access control By referring to the list (zone unit) 32b and the access control list (domain unit) 32c in order, the response control content is determined, and the response control for transmitting the query response is performed.

例えば、DNSクエリ要求を受信したDNSクエリ応答制御部33aは、DNSクエリ要求の発信元IPに対応付けてアクセスコントロールリスト(システム単位)32aに「無応答」が規定されている場合は、無応答の応答制御を行い、「許可応答」として規定されている場合には、続いて、アクセスコントロールリスト(ゾーン単位)32bを参照する。そして、アクセスコントロールリスト(ゾーン単位)32bに「許可応答」として規定されていない場合には、拒否応答のクエリ応答を行い、「許可応答」として規定されている場合には、次に、アクセスコントロールリスト(ドメイン単位)32cを参照する。そして、アクセスコントロールリスト(ドメイン単位)32cに「拒否応答」として規定されている場合に、拒否応答のクエリ応答を行い、それ以外の場合には、規定されているリソースレコードのクエリ応答を行う。   For example, the DNS query response control unit 33a that has received the DNS query request does not respond when “no response” is defined in the access control list (system unit) 32a in association with the source IP of the DNS query request. If the response control is defined as “permission response”, the access control list (zone unit) 32b is referred to. If the access control list (zone unit) 32b does not specify “permitted response”, a denial response query response is made. If it is specified as “permitted response”, then access control is performed. The list (domain unit) 32c is referred to. When the access control list (domain unit) 32c defines “rejection response”, a rejection response query response is performed; otherwise, the specified resource record query response is performed.

[DNSサーバ装置(権威サーバ)による応答制御処理]
次に、図6を用いて、権威サーバによる応答制御処理を説明する。図6は、応答制御処理の流れを示すフローチャートである。
[Response control processing by DNS server device (authoritative server)]
Next, response control processing by the authority server will be described with reference to FIG. FIG. 6 is a flowchart showing the flow of response control processing.

図6に示すように、権威サーバ30は、DNSクエリ要求を受信すると(ステップS601肯定)、アクセスコントロールリスト(システム単位)32aを参照して、DNSクエリ要求の発信元IPがblackhole(無応答)か否かを判定する(ステップS602)。そして、発信元IPがblackhole(無応答)である場合(ステップS602肯定)、権威サーバ30は、無応答の応答制御を行う(ステップS603)。   As shown in FIG. 6, when the authority server 30 receives the DNS query request (Yes at step S601), the access control list (system unit) 32a is referred to and the source IP of the DNS query request is blackhole (no response). It is determined whether or not (step S602). If the source IP is blackhole (no response) (Yes at step S602), the authority server 30 performs response control without response (step S603).

一方、blackhole(無応答)でない場合、権威サーバ30は、続いて、アクセスコントロールリスト(システム単位)32aを参照して、発信元IPがallow(許可応答)対象であるか否かを判定する(ステップS604)。そして、発信元IPがallow(許可応答)でない場合(ステップS604否定)、権威サーバ30は、拒否応答をクエリ応答として送信する(ステップS605)。   On the other hand, if it is not blackhole (no response), the authority server 30 then refers to the access control list (system unit) 32a to determine whether or not the source IP is an allow (allowed response) target ( Step S604). If the source IP is not “allow” (No in Step S604), the authority server 30 transmits a rejection response as a query response (Step S605).

一方、発信元IPがallow対象である場合、権威サーバ30は、次に、アクセスコントロールリスト(ゾーン単位)32bを参照して、発信元IPがゾーン拒否応答の対象か否かを判定する(ステップS606)。そして、発信元IPがゾーン拒否応答の対象である場合には(ステップS606肯定)、権威サーバ30は、拒否応答をクエリ応答として送信する。   On the other hand, if the source IP is an allow target, the authority server 30 next refers to the access control list (zone unit) 32b to determine whether the source IP is the target of the zone rejection response (step). S606). If the source IP is the target of the zone rejection response (Yes at step S606), the authority server 30 transmits the rejection response as a query response.

一方、発信元IPがゾーン拒否応答の対象でない場合(ステップS606否定)、権威サーバ30は、アクセスコントロールリスト(ドメイン単位)32cを参照して、発信元IPがドメイン拒否応答の対象か否かを判定する(ステップS607)。そして、発信元IPがドメイン拒否応答の対象である場合には(ステップS607肯定)、権威サーバ30は、拒否応答をクエリ応答として送信し、発信元IPがドメイン拒否応答の対象でない場合には(ステップS607否定)、アクセスコントロールリスト(ドメイン単位)32cに規定されているリソースレコードをクエリ応答として送信する(ステップS608)。   On the other hand, when the source IP is not the target of the zone rejection response (No at Step S606), the authority server 30 refers to the access control list (domain unit) 32c to determine whether the source IP is the target of the domain rejection response. Determination is made (step S607). When the source IP is a domain rejection response target (Yes at step S607), the authority server 30 transmits the rejection response as a query response, and when the source IP is not a domain rejection response target ( In step S607, the resource record defined in the access control list (domain unit) 32c is transmitted as a query response (step S608).

[実施例1による効果]
上述してきたように、実施例1によれば、権威サーバ30は、システム単位および/またはゾーン単位ごとにDNSクエリ要求に対する応答制御内容(アクセスコントロールファイル)を記憶するとともに、ドメイン単位ごとにDNSクエリ要求に対する応答制御内容を記憶しておき、システム単位および/またはゾーン単位、並びに、ドメイン単位でDNSクエリ要求に対する応答を制御するので、DNSクエリ要求に対して、システム単位および/またはゾーン単位による応答制御と、ドメイン単位による応答制御とを組み合わせて適用することができる結果、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
[Effects of Example 1]
As described above, according to the first embodiment, the authority server 30 stores the response control content (access control file) for the DNS query request for each system unit and / or each zone unit, and also for each domain unit. Since the response control content for the request is stored and the response to the DNS query request is controlled in the system unit and / or the zone unit and the domain unit, the response in the system unit and / or the zone unit is responded to the DNS query request. As a result of the combination of control and response control in units of domains, it is possible to realize detailed response control in units of domains as well as simple and quick response control in units of systems and zones.

また、実施例1によれば、権威サーバ30は、システム単位、ゾーン単位およびドメイン単位ごとにそれぞれ応答制御内容を記憶しておき、システム単位、ゾーン単位、ドメイン単位の順に、各単位で記憶された応答制御内容に基づいて、DNSクエリ要求に対する応答を制御するので、ドメイン単位による応答制御を行った後に、システム単位やゾーン単位による応答制御を行う手法に比較して、全体として迅速な応答制御を実現することが可能である。   Further, according to the first embodiment, the authority server 30 stores response control contents for each system unit, zone unit, and domain unit, and is stored in each unit in the order of system unit, zone unit, and domain unit. Since response to DNS query request is controlled based on the response control content, response control by domain unit is performed and then response control is performed more quickly than the method of performing response control by system unit or zone unit. Can be realized.

また、実施例1によれば、権威サーバ30は、応答制御内容として、無応答、拒否応答、リソースレコードのいずれか一つを記憶しておき、無応答、拒否応答、リソースレコード応答のいずれか一つを行うので、システム単位やゾーン単位、ドメイン単位で、無応答、拒否応答、リソースレコード応答(例えば、全クライアント向けに用意された一つのリソースレコード、クライアントアドレスごとに用意されたリソースレコード、国ごとに用意されたリソースレコード、社内外ごとに用意されたリソースレコードなどの応答)のいずれか一つを行うという多様な応答制御を実現することが可能である。   Further, according to the first embodiment, the authority server 30 stores any one of no response, rejection response, and resource record as response control content, and either one of no response, rejection response, or resource record response. Doing one, system unit, zone unit, domain unit, no response, rejection response, resource record response (for example, one resource record prepared for all clients, resource record prepared for each client address, It is possible to realize a variety of response controls in which any one of the resource records prepared for each country and the responses of resource records prepared for each company or the like is performed.

さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例2として、本発明に含まれる他の実施例について説明する。   Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. Therefore, another embodiment included in the present invention will be described below as a second embodiment.

例えば、実施例1では、権威サーバ30は、DNSクエリ要求を送信するDNSクライアントのIPアドレスに基づいて応答制御を行う場合を説明したが、本発明はこれに限定されるものではなく、DNSのフルサービスリゾルバとして機能するキャッシュサーバのIPアドレスに基づいて応答制御を行ってもよい。   For example, in the first embodiment, the case where the authority server 30 performs response control based on the IP address of the DNS client that transmits the DNS query request has been described. However, the present invention is not limited to this, and the DNS server Response control may be performed based on the IP address of the cache server functioning as a full service resolver.

例を挙げれば、図7に示したように、権威サーバ30は、任意のドメインを管理するサーバであり、キャッシュサーバ20のIPアドレスに対応付けて、システム単位、ゾーン単位およびドメイン単位で許可応答または拒否応答が規定されたアクセスコントロールリストを管理している。このような構成のもと、DNSクライアント10からDNSクエリ要求が送信されると(図7の(1))、このDNSクエリ要求を受信したキャッシュサーバ20が、任意のドメインを管理する権威サーバ30にDNSクエリ要求を送信する(図7の(2))。そして、このDNSクエリ要求を受信した権威サーバ30は、送信元のキャッシュサーバのIPアドレスに基づいて、応答制御を行い(図7の(3))、その結果をクエリ応答としてキャッシュサーバ20に送信する(図7の(4))。続いて、当該クエリ応答を受信したキャッシュサーバ20は、当該DNSクエリ要求を送信したDNSクライアント10にクエリ応答を送信する(図7の(5))。これにより、DNSクエリ要求の送信元であるキャッシュサーバ装置ごとに、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。   For example, as shown in FIG. 7, the authority server 30 is a server that manages an arbitrary domain, and is associated with the IP address of the cache server 20 and is permitted in units of systems, zones, and domains. Or, an access control list in which a denial response is specified is managed. Under such a configuration, when a DNS query request is transmitted from the DNS client 10 ((1) in FIG. 7), the cache server 20 that has received the DNS query request manages the authority server 30 that manages an arbitrary domain. A DNS query request is transmitted to (2) of FIG. The authoritative server 30 that has received the DNS query request performs response control based on the IP address of the transmission source cache server ((3) in FIG. 7), and transmits the result to the cache server 20 as a query response. ((4) in FIG. 7). Subsequently, the cache server 20 that has received the query response transmits the query response to the DNS client 10 that has transmitted the DNS query request ((5) in FIG. 7). Thereby, for each cache server device that is the source of the DNS query request, it is possible to realize detailed response control in units of domains in addition to simple and quick response control in units of systems and zones.

また、実施例1では、DNSクエリ要求の発信元IPに基づいてシステム単位、ゾーン単位およびドメイン単位の順に応答制御を行う場合を説明したが、本発明はこれに限定されるものではなく、ゾーン単位での応答制御を省略して、システム単位、ドメイン単位の順に応答制御を行うようにしてもよい。これにより、一部のDNSクエリ要求に対してはシステム単位に続いてドメイン単位で応答を制御するなど、ゾーン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。   In the first embodiment, the case where response control is performed in the order of the system unit, the zone unit, and the domain unit based on the source IP of the DNS query request has been described. However, the present invention is not limited to this, Response control in units may be omitted, and response control may be performed in order of system units and domain units. This makes it possible to realize faster response control as a whole by omitting response control in units of zones, such as controlling responses in units of domains following system units for some DNS query requests. It is.

さらに、ドメイン単位での応答制御も省略して、システム単位でリソースレコードに応答するように応答制御を行ってもよく、これにより、一部のDNSクエリ要求に対してはシステム単位に続いてリソースレコードを応答するなど、ゾーン単位およびドメイン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。   Further, the response control may be performed so that the response control in the domain unit is omitted and the resource record is responded in the system unit. With this, for some DNS query requests, the resource is continued after the system unit. By omitting the response control in units of zones and domains, such as responding to records, it is possible to realize faster response control as a whole.

また、実施例1では、DNSクエリ要求の応答制御を行う場合を説明したが、本発明はこれに限定されるものではなく、例えば、名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求(ノーティファイ)、または、ゾーン転送の応答制御を行う場合にも本発明を同様に適用すること可能である。これにより、権威サーバ30が受信する各種の要求に対して、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。   In the first embodiment, the response control of the DNS query request is described. However, the present invention is not limited to this. For example, the request for name resolution, the request for dynamic DNS, and zone update can be performed. The present invention can be similarly applied to such a request (notify) or response control of zone transfer. This makes it possible to realize detailed response control in units of domains in addition to simple and quick response control in units of systems and zones in response to various requests received by the authority server 30.

また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。   In addition, among the processes described in this embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.

また、図5に示したDNSサーバ装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、DNSサーバ装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に、分散・統合して構成することができる。さらに、DNSサーバ装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。   Each component of the DNS server device shown in FIG. 5 is functionally conceptual and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of the DNS server device is not limited to the one shown in the figure, and all or a part thereof can be functionally or physically in an arbitrary unit according to various loads or usage conditions. It can be configured to be distributed and integrated. Further, all or any part of each processing function performed in the DNS server device can be realized by a CPU and a program analyzed and executed by the CPU, or can be realized as hardware by wired logic. .

なお、上記の実施例では、本発明を実現するDNSサーバ装置を機能面から説明したが、DNSサーバ装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、上記の実施例で説明した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例に示したようなDNSクエリ要求制御プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。   In the above embodiment, the DNS server device that implements the present invention has been described in terms of functions. However, each function of the DNS server device may be realized by causing a computer such as a personal computer or a workstation to execute a program. it can. That is, the various processing procedures described in the above embodiments can be realized by executing a program prepared in advance on a computer. These programs can be distributed via a network such as the Internet. Further, these programs can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD, and can be executed by being read from the recording medium by the computer. In other words, for example, a CD-ROM storing a DNS query request control program as shown in the embodiment (may be a separate CD-ROM for each apparatus) is distributed and stored in this CD-ROM. Each program may be read and executed by each computer.

以上のように、本発明に係るDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムは、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するのに有用であり、特に、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することに適する。   As described above, the DNS server device, the DNS query request control method, and the DNS query request control program according to the present invention are useful for receiving a DNS query request and controlling a response to the DNS query request. It is suitable for realizing detailed response control by domain unit as well as simple and quick response control by system unit or zone unit.

DNSサーバ装置を含むDNSシステムの全体構成を示すシステム構成図である。1 is a system configuration diagram showing an overall configuration of a DNS system including a DNS server device. DNSサーバ装置の構成を示すブロック図である。It is a block diagram which shows the structure of a DNS server apparatus. アクセスコントロールリスト(システム単位)の例を示した図である。It is the figure which showed the example of the access control list (system unit). アクセスコントロールリスト(ゾーン単位)の例を示した図である。It is the figure which showed the example of the access control list (zone unit). アクセスコントロールリスト(ドメイン単位)の例を示した図である。It is the figure which showed the example of the access control list (domain unit). 実施例1に係るDNSサーバ装置(権威サーバ)による応答制御処理の流れを示すフローチャートである。7 is a flowchart illustrating a response control process performed by the DNS server device (authoritative server) according to the first embodiment. 実施例2に係るキャッシュサーバを含めたDNSシステムの全体構成を示すシステム構成図である。FIG. 10 is a system configuration diagram illustrating an overall configuration of a DNS system including a cache server according to a second embodiment.

符号の説明Explanation of symbols

10 DNSクライアント
20 キャッシュサーバ
30 権威サーバ
31 通信制御I/F部
32 記憶部
32a アクセスコントロールリスト(システム単位)
32b アクセスコントロールリスト(ゾーン単位)
32c アクセスコントロールリスト(ドメイン単位)
33 制御部
33a DNSクエリ応答制御部
10 DNS client 20 Cache server 30 Authoritative server 31 Communication control I / F unit 32 Storage unit 32a Access control list (system unit)
32b Access control list (zone unit)
32c Access control list (domain unit)
33 control unit 33a DNS query response control unit

Claims (9)

DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSサーバ装置であって、
システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごと前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶手段と、
前記応答制御内容記憶手段に記憶された応答制御内容に基づいて、前記システム単位および/またはゾーン単位、並びに、前記ドメイン単位で前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手段と、
を備えたことを特徴とするDNSサーバ装置。
A DNS server device that receives a DNS query request and controls a response to the DNS query request,
Response control content storage means for storing response control content for the DNS query request for each system unit and / or zone unit, and storing response control content for the DNS query request for each domain unit;
DNS query response control means for controlling a response to the DNS query request in the system unit and / or the zone unit and the domain unit based on the response control content stored in the response control content storage unit;
A DNS server device comprising:
前記応答制御内容記憶手段は、前記システム単位、ゾーン単位およびドメイン単位ごとにそれぞれ応答制御内容を記憶するものであって、
前記DNSクエリ応答制御手段は、前記システム単位、ゾーン単位、ドメイン単位の順に、各単位で記憶された応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御することを特徴とする請求項1に記載のDNSサーバ装置。
The response control content storage means stores response control content for each system unit, zone unit, and domain unit,
2. The DNS query response control means controls a response to the DNS query request based on response control contents stored in each unit in order of the system unit, zone unit, and domain unit. The DNS server device described in 1.
前記応答制御内容記憶手段は、前記システム単位の応答制御内容の少なくとも一つとして、前記ドメイン単位で応答を制御すべき旨の応答制御内容を記憶するものであって、
前記DNSクエリ応答制御手段は、前記システム単位のアクセス制御内容に前記DNSクエリ要求が該当する場合には、前記ドメイン単位のアクセス制御内容に基づいて前記DNSクエリ要求に対する応答を制御することを特徴とする請求項2に記載のDNSサーバ装置。
The response control content storage means stores, as at least one of the system unit response control content, response control content indicating that a response should be controlled in the domain unit,
The DNS query response control means controls a response to the DNS query request based on the access control content of the domain unit when the DNS query request corresponds to the access control content of the system unit. The DNS server device according to claim 2.
前記応答制御内容記憶手段は、前記システム単位の応答制御内容の少なくとも一つとして、リソースレコードを記憶するものであって、
前記DNSクエリ応答制御手段は、前記システム単位の応答制御内容に前記DNSクエリ要求が該当する場合には、前記DNSクエリ要求に対して前記リソースレコードを応答することを特徴とする請求項2に記載のDNSサーバ装置。
The response control content storage means stores a resource record as at least one response control content of the system unit,
The DNS query response control means responds the resource record to the DNS query request when the DNS query request corresponds to the response control content of the system unit. DNS server device.
前記応答制御内容記憶手段は、前記DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに対応付けて、前記応答制御内容を記憶するものであって、
前記DNSクエリ応答制御手段は、前記DNSクエリ要求に含まれる当該DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに基づいて、当該DNSクエリ要求に対する応答を制御することを特徴とする請求項1〜4のいずれか一つに記載のDNSサーバ装置。
The response control content storage means stores the response control content in association with a device address for identifying a DNS client device and / or a cache server device that is a transmission source of the DNS query request,
The DNS query response control means responds to the DNS query request based on a device address for identifying a DNS client device and / or a cache server device that is a transmission source of the DNS query request included in the DNS query request. The DNS server device according to claim 1, wherein the DNS server device is controlled.
前記応答制御内容記憶手段は、前記応答制御内容として、無応答、拒否応答、リソースレコードのいずれか一つを記憶するものであって、
前記DNSクエリ応答制御手段は、前記無応答、拒否応答、リソースレコード応答のいずれか一つを行うことを特徴とする請求項1〜5のいずれか一つに記載のDNSサーバ装置。
The response control content storage means stores any one of no response, rejection response, and resource record as the response control content,
The DNS server apparatus according to claim 1, wherein the DNS query response control unit performs any one of the no-response, the rejection response, and the resource record response.
前記DNSクエリ要求は、名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求であって、
前記DNSクエリ応答制御手段は、前記名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求に対する応答を制御することを特徴とする請求項1〜6のいずれか一つに記載のDNSサーバ装置。
The DNS query request is a request related to name resolution, a request related to dynamic DNS, a request related to zone update, or a request related to zone transfer,
7. The DNS query response control means controls a response to the name resolution request, dynamic DNS request, zone update request, or zone transfer request. The DNS server apparatus as described in any one.
DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法であって、
システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を応答制御内容記憶手段に格納するとともに、ドメイン単位で前記DNSクエリ要求に対する応答制御内容を前記応答制御内容記憶手段に格納する応答制御内容格納工程と、
前記応答制御内容記憶手段に格納された応答制御内容に基づいて、前記システム単位および/またはゾーン単位、並びに、前記ドメイン単位で前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御工程と、
を含んだことを特徴とするDNSクエリ要求制御方法。
A DNS query request control method for receiving a DNS query request and controlling a response to the DNS query request,
The response control content for the DNS query request is stored in the response control content storage unit for each system unit and / or zone unit, and the response control content for the DNS query request is stored in the response control content storage unit for each domain unit Control content storage process;
A DNS query response control step of controlling a response to the DNS query request in the system unit and / or the zone unit and the domain unit based on the response control content stored in the response control content storage unit;
A DNS query request control method comprising:
DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法をコンピュータに実行させるDNSクエリ要求制御プログラムであって、
システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を応答制御内容記憶手段に格納するとともに、ドメイン単位で前記DNSクエリ要求に対する応答制御内容を前記応答制御内容記憶手段に格納する応答制御内容格納手順と、
前記応答制御内容記憶手段に格納された応答制御内容に基づいて、前記システム単位および/またはゾーン単位、並びに、前記ドメイン単位で前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手順と、
をコンピュータに実行させることを特徴とするDNSクエリ要求制御プログラム。
A DNS query request control program for causing a computer to execute a DNS query request control method for receiving a DNS query request and controlling a response to the DNS query request.
The response control content for the DNS query request is stored in the response control content storage unit for each system unit and / or zone unit, and the response control content for the DNS query request is stored in the response control content storage unit for each domain unit Control content storage procedure,
A DNS query response control procedure for controlling a response to the DNS query request in the system unit and / or the zone unit and the domain unit based on the response control content stored in the response control content storage unit;
A DNS query request control program for causing a computer to execute
JP2006062705A 2006-03-08 2006-03-08 DNS server apparatus, DNS query request control method, and DNS query request control program Active JP4343914B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006062705A JP4343914B2 (en) 2006-03-08 2006-03-08 DNS server apparatus, DNS query request control method, and DNS query request control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006062705A JP4343914B2 (en) 2006-03-08 2006-03-08 DNS server apparatus, DNS query request control method, and DNS query request control program

Publications (2)

Publication Number Publication Date
JP2007243565A true JP2007243565A (en) 2007-09-20
JP4343914B2 JP4343914B2 (en) 2009-10-14

Family

ID=38588658

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006062705A Active JP4343914B2 (en) 2006-03-08 2006-03-08 DNS server apparatus, DNS query request control method, and DNS query request control program

Country Status (1)

Country Link
JP (1) JP4343914B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010034901A (en) * 2008-07-29 2010-02-12 Nippon Telegr & Teleph Corp <Ntt> Communication control apparatus, communication control method, and communication control processing program
JP2016163272A (en) * 2015-03-04 2016-09-05 日本電信電話株式会社 Enum server and peculiar access determination method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010034901A (en) * 2008-07-29 2010-02-12 Nippon Telegr & Teleph Corp <Ntt> Communication control apparatus, communication control method, and communication control processing program
JP4592789B2 (en) * 2008-07-29 2010-12-08 日本電信電話株式会社 COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROCESSING PROGRAM
JP2016163272A (en) * 2015-03-04 2016-09-05 日本電信電話株式会社 Enum server and peculiar access determination method

Also Published As

Publication number Publication date
JP4343914B2 (en) 2009-10-14

Similar Documents

Publication Publication Date Title
US9300623B1 (en) Domain name system cache integrity check
US8689280B2 (en) DNS-based content routing
JP6058699B2 (en) Implicit SSL certificate management without server name indication (SNI)
US7630985B2 (en) Data server, data management method, and data management system
RU2461050C2 (en) Network group name for virtual machines
CN111885123B (en) Construction method and device of cross-K8 s target service access channel
US20140075531A1 (en) Using identity/resource profile and directory enablers to support identity management
US8078754B2 (en) Group access privatization in clustered computer system
WO2017105906A1 (en) Shared multi-tenant domain name system (dns) server for virtual networks
CN109450858B (en) Resource request method, device, equipment and storage medium
CN111327668B (en) Network management method, device, equipment and storage medium
JP4362487B2 (en) DNS server client system, DNS server device, cache server device, DNS query request control method, and DNS query request control program
KR20080071208A (en) Software execution management device and method thereof
Woolf et al. Requirements for a mechanism identifying a name server instance
JP4343914B2 (en) DNS server apparatus, DNS query request control method, and DNS query request control program
JP2004303094A (en) Network system test method, network system test program, and network device
JP4223045B2 (en) DNS server device, request message processing method, and request message processing program
US11102141B2 (en) Outbound request management
JP7038165B2 (en) Information processing equipment, information processing methods and information processing programs
CN111641696B (en) WebService service registration and treatment method and system based on distributed system environment
JP4492569B2 (en) File operation control device, file operation control system, file operation control method, and file operation control program
JP2002342143A (en) Access control system, processing program thereof and recording medium
CN107623683B (en) Method for preventing information disclosure through dynamic and safe cloud resources
JP2009044216A (en) Method and system for constraining spread of information flowed out to network
JP2006352641A (en) Domain information storage apparatus, domain information storage method, and domain information storage program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081111

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090707

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090709

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120717

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4343914

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130717

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350