JP2009212809A - トレースバック装置、プログラム、記録媒体、およびトレースバックシステム - Google Patents

トレースバック装置、プログラム、記録媒体、およびトレースバックシステム Download PDF

Info

Publication number
JP2009212809A
JP2009212809A JP2008053619A JP2008053619A JP2009212809A JP 2009212809 A JP2009212809 A JP 2009212809A JP 2008053619 A JP2008053619 A JP 2008053619A JP 2008053619 A JP2008053619 A JP 2008053619A JP 2009212809 A JP2009212809 A JP 2009212809A
Authority
JP
Japan
Prior art keywords
address
information
domain name
search
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008053619A
Other languages
English (en)
Other versions
JP4876092B2 (ja
Inventor
Keisuke Takemori
敬祐 竹森
Masahiko Fujinaga
昌彦 藤長
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI R&D Laboratories Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI R&D Laboratories Inc filed Critical KDDI R&D Laboratories Inc
Priority to JP2008053619A priority Critical patent/JP4876092B2/ja
Publication of JP2009212809A publication Critical patent/JP2009212809A/ja
Application granted granted Critical
Publication of JP4876092B2 publication Critical patent/JP4876092B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワーク上のパケットを監視するプローブ装置の設置にかかるコストや時間を削減し、IPアドレスの追跡が失敗する可能性を低減する。
【解決手段】記憶部10は、所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報とを記憶する。検索部11は、ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名を検索のキーとして第1の情報を検索し、攻撃対象装置のIPアドレスまたはドメイン名と一致するIPアドレスまたはドメイン名を示す第1の情報に対応した第2の情報を取得する。比較部12は、検索部11が取得した、複数の攻撃対象装置に対応する複数の第2の情報を互いに比較し、共通する第2の情報を抽出する。
【選択図】図1

Description

本発明は、ネットワーク上の攻撃の発信元のIPアドレスを追跡するトレースバックを実行するトレースバック装置およびトレースバックシステムに関する。また、本発明は、トレースバック装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。
詐称されたIPアドレス(Source IP)から発信される攻撃パケットに対する脅威が高まっている。そこで、詐称されたSource IPを追跡するトレースバック技術に関する研究が進められてきた。例えば、非特許文献1,2には以下のことが記載されている。パケットの監視とハッシュ値の算出とを行う専用のプローブ装置をネットワークの各所に予め設置しておく。このプローブ装置は、ネットワークを流れるパケットを監視して、パケットの変化しない箇所を取り出し、そのハッシュ値を算出する。このハッシュ値は、プローブ装置に一定期間保存される。
下流側にあるプローブ装置からパケット通過に関する問合せを受けた場合にプローブ装置は、下流側のプローブ装置から通知されたハッシュ値と同一のハッシュ値を持つパケットの通過の有無を回答する。そして、着信側のIPアドレス(Destination IP)に届いたパケットの通過の有無を上流のプローブ装置へ順に問い合わせることにより、詐称されたIPアドレスの追跡が行われる。
A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer, "Hash-Based IP Traceback", Proceeding of Sigcomm 2001, August, 2001. Luis A. Sanchez, Walter C. Milliken, Alex C. Snoeren, Fabrice Tchakountio, Christine E. Jones, Stephen T. Kent, Craig Partrige, and W. Timothy Strayer, "Hardware Support for a Hash-Based IP Traceback", Proceedings of the 2nd DARPA Information Survivability Conference and Exposition (DISCEX II), pp. 146-152, Anaheim, CA, June 2001.
しかし、非特許文献1,2に記載されたトレースバック技術では、多数のプローブ装置をネットワークに設置するため、プローブ装置の設置にコストや時間がかかるという問題があった。また、ネットワークでは多量のパケットが送受信されるので、プローブ装置が各パケットのハッシュ値を長期間管理できず、時間の経過と共にハッシュ値が消去されてしまい、追跡が失敗するという問題があった。
本発明は、上述した課題に鑑みてなされたものであって、ネットワーク上のパケットを監視するプローブ装置の設置にかかるコストや時間を削減し、IPアドレスの追跡が失敗する可能性を低減することができるトレースバック装置、プログラム、記録媒体、およびトレースバックシステムを提供することを目的とする。
攻撃元の装置は、攻撃を行う前に攻撃対象の装置のドメイン名に対応したIPアドレスの検索(名前解決)をDNSサーバ等に依頼する。したがって、この検索結果に関する情報を参照し、攻撃対象の装置のドメイン名の名前解決を依頼した装置のIPアドレスを探すことによって、攻撃元の装置のIPアドレスを追跡することができる。
本発明者は、上記の技術思想に基づく発明を考案し、特許出願を行った(特願2007−287653)。しかし、上記の特許出願における発明では、攻撃対象の装置に対する外部からのアクセスが多い場合(例えば、攻撃対象の装置が人気サイトのサーバである場合)には、正規の名前解決を依頼した装置と、攻撃を前提に悪意の名前解決を依頼した装置とを区別できない場合がある。本発明は、これらの事項に鑑みてなされたものであり、その具体的な内容は以下の通りである。
本発明は、所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報とを記憶する記憶手段と、ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名を検索のキーとして前記第1の情報を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名と一致するIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、前記検索手段が取得した、複数の前記攻撃対象装置に対応する複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段とを備えたことを特徴とするトレースバック装置である。
上記のトレースバック装置を用いることによって、ネットワーク上の各所にプローブ装置を設置する必要がなくなるので、プローブ装置の設置にかかるコストや時間を削減することができる。また、第1の情報および第2の情報の情報量は、ネットワークで送受信される全パケットの情報量よりもはるかに少量であるため、第1の情報および第2の情報を記憶可能な期間が長くなり、時間的な制約によってIPアドレスの追跡が失敗する可能性を低減することができる。
また、攻撃元の装置の多くはコンピュータウィルスに感染しており、同時に複数の攻撃対象に攻撃を行う。そこで、複数の攻撃対象装置に関する検索により取得された第2の情報を互いに比較し、共通する第2の情報を抽出することによって、複数の攻撃対象装置に攻撃を行うために名前解決を依頼した攻撃元の装置のIPアドレスを特定することができる。よって、正規の名前解決を依頼した装置と、攻撃を前提に悪意の名前解決を依頼した装置とを区別することが可能となり、攻撃元の装置のIPアドレスの追跡精度を高めることができる。
また、本発明は、所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報とを記憶する記憶手段と、前記第1の情報が示すIPアドレスまたはドメイン名のハッシュ値を算出する算出手段と、ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値を受信する受信手段と、前記受信手段が受信したハッシュ値を検索のキーとして、前記算出手段が算出したハッシュ値を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値と一致したハッシュ値を算出する元となったIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、前記検索手段が取得した、複数の前記攻撃対象装置に対応する複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段とを備えたことを特徴とするトレースバック装置である。
上記の通信装置は、以下の事項に対応したものである。攻撃元の装置のIPアドレスの追跡を依頼するため、IPアドレスまたはドメイン名が装置間で送受信されると、個人のプライバシーに関わる情報が送受信されることになり好ましくない。したがって、IPアドレスまたはドメイン名のハッシュ値を用いることによって、個人のプライバシーに関わる情報の漏洩を防止することができる。
また、本発明は、上記のトレースバック装置としてコンピュータを機能させるためのプログラムである。
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
また、本発明は、第1のトレースバック装置および第2のトレースバック装置を備えたトレースバックシステムであって、前記第1のトレースバック装置は、所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報とを記憶する記憶手段と、ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名を検索のキーとして前記第1の情報を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名と一致するIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、前記検索手段が取得した前記第2の情報を送信する送信手段とを有し、前記第2のトレースバック装置は、複数の前記第1のトレースバック装置から送信された前記第2の情報を受信する受信手段と、複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段とを有することを特徴とするトレースバックシステムである。
攻撃元の装置が同時に複数のDNSサーバ等に対してIPアドレスの検索を依頼する場合がある。上記のトレースバックシステムでは、第1のトレースバック装置がこのIPアドレスの検索結果から、攻撃元の装置のIPアドレスの候補となる第2の情報を抽出する。第2のトレースバック装置は、複数の第1のトレースバック装置によって抽出された第2の情報を互いに比較し、共通する第2の情報を抽出する。これによって、攻撃元の装置のIPアドレスを特定することができるので、攻撃元の装置のIPアドレスの追跡精度を高めることができる。
また、本発明は、第1のトレースバック装置および第2のトレースバック装置を備えたトレースバックシステムであって、前記第1のトレースバック装置は、所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報と、検索を依頼した時刻を示す第1の時刻情報とを記憶する記憶手段と、前記第1の情報が示すIPアドレスまたはドメイン名のハッシュ値を算出する算出手段と、ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値を受信する第1の受信手段と、前記受信手段が受信したハッシュ値を検索のキーとして、前記算出手段が算出したハッシュ値を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値と一致したハッシュ値を算出する元となったIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、前記検索手段が取得した前記第2の情報を送信する送信手段とを有し、前記第2のトレースバック装置は、複数の前記第1のトレースバック装置から送信された前記第2の情報を受信する第2の受信手段と、複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段とを有することを特徴とするトレースバックシステムである。
本発明によれば、プローブ装置の設置にかかるコストや時間を削減し、IPアドレスの追跡が失敗する可能性を低減することができるという効果が得られる。また、本発明によれば、攻撃元の装置のIPアドレスの追跡精度を高めることができるという効果が得られる。
以下、図面を参照し、本発明の実施形態を説明する。本実施形態は、ドメイン名に対応したIPアドレスを検索する名前解決を行うDNSサーバのログに注目して、詐称されたSource IPを追跡する方法を実現したものである。攻撃元の通信装置は、攻撃パケットを送信する前に攻撃先のドメイン名(ホスト名)の名前解決をDNSサーバに依頼する。したがって、DNSサーバが保持するログを参照し、攻撃先の通信装置のドメイン名の名前解決を依頼した通信装置のIPアドレス(Source IP)の記録を探すことによって、Source IPを追跡することができる。
本実施形態は以下の事項を前提としているものとする。すなわち、Source IPの追跡対象となる攻撃は、DNSサーバを利用してドメイン名からIPアドレスを取得する過程を含むものであるものとする。したがって、IPアドレスを直接指定してパケットを送信する攻撃は対象外とする。また、攻撃元の通信装置がDNSサーバに名前解決を依頼する場合、攻撃元の通信装置自身がDNSサーバからの回答を受け取る必要があるため、名前解決の依頼時点では攻撃元の通信装置のIPアドレスは詐称されていないものとする。
次に、Source IPを詐称して攻撃を行う前に攻撃元の通信装置がDNSサーバに名前解決を依頼する方法を説明する。図2に示すように、攻撃元の通信装置1(Source)と、攻撃対象の通信装置2(Destination)と、DNSサーバ3a〜3eとがネットワーク上に存在しているものとする。通信装置1のドメイン名は「www.YYY.co.kr」であり、IPアドレスは「yyy.yyy.yyy.yyy.」である。ただし、IPアドレス中の「y」は0〜9の任意の数字である。また、通信装置2のドメイン名は「www.XXX.co.jp」であり、IPアドレスは「xxx.xxx.xxx.xxx」である。ただし、IPアドレス中の「x」は0〜9の任意の数字である。
DNSサーバ3aは通信装置1と同一のドメイン「YYY.co.kr」に属している。また、DNSサーバ3b〜3eは、ドメイン毎の階層構造を示すドメイン・ツリーを構成しており、DNSサーバ3bはルートドメインに属し、DNSサーバ3cはドメイン「.jp」に属し、DNSサーバ3dはドメイン「.co.jp」に属し、DNSサーバ3eはドメイン「XXX.co.jp」に属している。
まず、通信装置1はドメイン名「www.XXX.co.jp」のIPアドレスをDNSサーバ3aに問い合わせる(ステップS100)。この問合せの意味は、ドメイン名「www.XXX.co.jp」のIPアドレスの検索の依頼と同等である。また、この問合せは、一般的に再帰検索(リカーシブ:Recursive)と呼ばれるタイプの問合せである。再帰検索の依頼を受けたDNSサーバ3aは、名前解決が完了するまで以下のようにドメイン・ツリーをたどって検索を行い、最終結果を通信装置1に返信する。このように、再帰検索の依頼を受けて名前解決が完了するまで検索を行うDNSサーバは一般的にリゾルバと呼ばれる。
再帰検索の依頼を受けたDNSサーバ3aは、ドメイン・ツリーの最上位のルートドメインに属するDNSサーバ3b(ルート・ネーム・サーバ)に対して、ドメイン「.jp」の情報を管理するDNSサーバのIPアドレスを問い合わせる(ステップS110)。この問合せは、一般的に反復検索(イテレイティブ:Iterative)と呼ばれるタイプの問合せである。反復検索の依頼を受けたDNSサーバ3bは、自身が管理しているドメインの情報のみを返答し、他のDNSサーバに対する問合せは行わない。DNSサーバ3bは、自身が管理しているドメインの情報の中から、ドメイン「.jp」の情報を管理するDNSサーバのIPアドレスを検索し、DNSサーバ3cのIPアドレスをDNSサーバ3aに返信する(ステップS120)。
続いて、DNSサーバ3aは、DNSサーバ3cに対して、ドメイン「.co.jp」の情報を管理するDNSサーバのIPアドレスを問い合わせる(ステップS130)。この問合せも反復検索である。反復検索の依頼を受けたDNSサーバ3cは、自身が管理しているドメインの情報の中から、ドメイン「.co.jp」の情報を管理するDNSサーバのIPアドレスを検索し、DNSサーバ3dのIPアドレスをDNSサーバ3aに返信する(ステップS140)。
続いて、DNSサーバ3aは、DNSサーバ3dに対して、ドメイン「XXX.co.jp」の情報を管理するDNSサーバのIPアドレスを問い合わせる(ステップS150)。この問合せも反復検索である。反復検索の依頼を受けたDNSサーバ3dは、自身が管理しているドメインの情報の中から、ドメイン「XXX.co.jp」の情報を管理するDNSサーバのIPアドレスを検索し、DNSサーバ3eのIPアドレスをDNSサーバ3aに返信する(ステップS160)。
続いて、DNSサーバ3aは、DNSサーバ3eに対して、ドメイン名「www.XXX.co.jp」に対応するIPアドレスを問い合わせる(ステップS170)。この問合せも反復検索である。反復検索の依頼を受けたDNSサーバ3eは、自身が管理しているIPアドレスの中から、ドメイン名「www.XXX.co.jp」に対応するIPアドレスを検索し、通信装置2のIPアドレス「xxx.xxx.xxx.xxx」をDNSサーバ3aに返信する(ステップS180)。DNSサーバ3aは、名前解決の結果として、通信装置2のIPアドレス「xxx.xxx.xxx.xxx」を通信装置1に返信する(ステップS190)。
各DNSサーバは、以上の処理の結果をDNSログとして保存する。図3および図4はDNSログの一例を示している。図3は、図2のDNSサーバ3aが記憶するDNSログを示している。このDNSログには、DNSサーバ3aが再帰検索を行ったときの検索結果が含まれている。DNSサーバ3aは他のDNSサーバから反復検索の依頼を受けることもあり、その場合には図4に示す反復検索のDNSログを記憶する。
図3に示すDNSログには、時刻300、リゾルバIP310、Source IP320、Destination Domain330、Destination IP340が含まれている。時刻300は、通信装置から再帰検索の依頼を受けた時刻を示している。リゾルバIP310は、再帰検索の依頼を受けてリゾルバとして処理を行ったDNSサーバ、すなわち自身のIPアドレスを示している。Source IP320は、再帰検索の依頼を行った通信装置のIPアドレスを示している。Destination Domain330は、名前解決の対象となったドメイン名を示している。Destination IP340は、Destination Domain330に対応したIPアドレスを示している。
図2の通信装置1から依頼された再帰検索の結果はレコード350に記録されている。したがって、図2の通信装置2が攻撃を受けた場合、通信装置2のIPアドレスまたはドメイン名を検索のキーとしてDestination IP340またはDestination Domain330を検索し、通信装置2のIPアドレスまたはドメイン名に対応したSource IPを取得することによって、攻撃元の通信装置1のIPアドレスを追跡することができる。
図4は、図2のDNSサーバ3b〜3eが記憶するDNSログの一例を示している。このDNSログには、DNSサーバ3b〜3eが反復検索を行ったときの検索結果が含まれている。図4(a)は、DNSサーバ3bが記憶するDNSログを示し、図4(b)は、DNSサーバ3cが記憶するDNSログを示し、図4(c)は、DNSサーバ3dが記憶するDNSログを示し、図4(d)は、DNSサーバ3eが記憶するDNSログを示している。
図4に示すDNSログには、時刻400、リゾルバIP410、Destination Domain420、Destination IP430が含まれている。時刻400は、他のDNSサーバから反復検索の依頼を受けた時刻を示している。リゾルバIP410は、反復検索を依頼したリゾルバとしてのDNSサーバのIPアドレスを示している。Destination Domain420は、名前解決の対象となったドメイン名を示している。Destination IP430は、Destination Domain420に対応したIPアドレスを示している。
図2のDNSサーバ3aから反復検索の依頼を受け、通信装置2のIPアドレスを回答した結果は図4(d)のレコード440に記録されている。したがって、通信装置2が攻撃を受けた場合、通信装置2のIPアドレスまたはドメイン名を検索のキーとしてDestination IP430またはDestination Domain420を検索し、通信装置2のIPアドレスまたはドメイン名に対応したリゾルバIPを取得することによって、再帰検索を行ったDNSサーバ3aのIPアドレスを取得することができる。さらに、DNSサーバ3aの再帰検索のDNSログを用いて、前述した検索を行うことにより、攻撃元の通信装置1のIPアドレスを追跡することができる。
次に、Source IPの追跡方法を説明する。図1は、本実施形態によるトレースバック装置の構成を示している。記憶部10はDNSログを記憶する。このDNSログには、DNSサーバが再帰検索または反復検索により取得した通信装置のIPアドレス(Destination IP)、またはそのIPアドレスに対応したドメイン名(Destination Domain)と、再帰検索を依頼した通信装置のIPアドレス(Source IP)と、再帰検索または反復検索を受けた時刻とが含まれている。検索部11は、上記のDNSログに基づいて、攻撃元の通信装置のIPアドレスを検索する。検索結果には、攻撃元の通信装置のIPアドレスの候補が含まれる。
比較部12は、複数の検索結果を互いに比較し、共通するIPアドレスを抽出することによって、攻撃元の通信装置のIPアドレスを特定する。通信部13は、攻撃元の通信装置のIPアドレスに関する検索の依頼を示す検索依頼情報を他の通信装置から受信して検索部11へ出力し、比較部12によって特定された攻撃元の通信装置のIPアドレスを含む検索結果情報を検索依頼情報の送信元へ送信する。検索依頼情報には、攻撃対象となった通信装置のIPアドレスまたはドメイン名と、攻撃を受けた時刻とが含まれている。
検索部11は具体的には以下の処理を行う。すなわち、検索部11は、攻撃対象となった通信装置のIPアドレスまたはドメイン名を検索のキーとして、DNSログ中のDestination IPまたはDestination Domainを検索し、攻撃対象となった通信装置のIPアドレスまたはドメイン名と一致するDestination IPまたはDestination Domainを抽出する。このとき、検索部11は、検索依頼情報に含まれる時刻を基準とした所定時間内の時刻が記録されているDNSログのレコードのみを検索対象(検索範囲)に設定して検索を行う。さらに、検索部11は、上記により抽出したDestination IPまたはDestination Domainと対応関係を有するSource IPをDNSログから抽出する。このSource IPが攻撃元の通信装置のIPアドレスの候補である。
攻撃元の通信装置とは無関係の通信装置が、攻撃対象となった通信装置のドメイン名に関する名前解決を行うことも十分考えられるので、DNSログに記録されている全てのレコードを検索対象に設定して検索を行うと、攻撃元の通信装置のIPアドレスを誤検出する可能性がある。しかし、攻撃が行われる場合には攻撃の直前に名前解決が行われるので、攻撃が行われた時刻の直前の所定時間内で行われた名前解決の結果のみを検索の対象とすることによって、このような誤検出の発生を低減することができる。
攻撃対象の通信装置に対する外部からのアクセスが多い場合(例えば、攻撃対象の通信装置が人気サイトのサーバである場合)には、攻撃が行われた時刻の直前でも、正規の名前解決と攻撃のための悪意の名前解決とが混在する可能性があるため、上記の検索では攻撃元の通信装置のIPアドレスを完全には特定できないこともある。しかし、本実施形態では、以下の比較部12の機能によって、攻撃元の通信装置のIPアドレスを特定することが可能である。
比較部12は具体的には以下の処理を行う。通信部13が複数の検索依頼情報を受信した場合、検索部11は各検索依頼情報に対応して検索を行う。比較部12は、各検索で得られた攻撃元の通信装置のIPアドレスの候補を互いに比較し、共通するIPアドレスを抽出する。このIPアドレスが攻撃元の通信装置のIPアドレスとなる。
攻撃元の通信装置の多くはコンピュータウィルスに感染しており、同時に複数の攻撃対象に攻撃を行う。そこで、複数の攻撃に共通するIPアドレスを抽出することによって、複数の攻撃対象に攻撃を行った攻撃元の通信装置のIPアドレスを特定することができる。よって、正規の名前解決を依頼した通信装置と、攻撃を前提に悪意の名前解決を依頼した通信装置とを区別することが可能となり、攻撃元の通信装置のIPアドレスの追跡精度を高めることができる。以下、上記のトレースバック装置の動作の具体例を説明する。
<第1の動作例>
まず、第1の動作例を説明する。図5は、第1の動作例に係るトレースバックシステムの構成を示している。通信装置1およびDNSサーバ3a,3eについては前述した通りである。通信装置2a,2b(Destination)は、通信装置1(Source)からの攻撃を受けた攻撃対象の通信装置である。通信装置2aのドメイン名は「www.XXX.co.jp」であり、IPアドレスは「xxx.xxx.xxx.xxx」である。また、通信装置2bのドメイン名は「www.VVV.co.jp」であり、IPアドレスは「vvv.vvv.vvv.vvv」である。ただし、IPアドレス中の「x」および「v」は0〜9の任意の数字である。DNSサーバ3fはドメイン「VVV.co.jp」に属している。
DNSサーバ3aはリゾルバとなって再帰検索を行い、DNSサーバ3e,3fはDNSサーバ3aから反復検索の依頼を受けて反復検索を行う。また、DNSサーバ3a,3e,3fは、自身が記憶するDNSログに基づいて攻撃元の通信装置のIPアドレスの検索を行う機能を有している。すなわち、DNSサーバ3a,3e,3fは、トレースバックを実現する図1の記憶部10、検索部11、比較部12、および通信部13の機能を備えている。
第1の動作例では、攻撃元の通信装置1が通信装置2a,2bに対して同時に攻撃を行うことを想定する。攻撃の前段階において、通信装置1は通信装置2a,2bの各ドメイン名に対応したIPアドレスの検索(名前解決)をDNSサーバ3aに依頼する。まず、通信装置1は、DNSサーバ3aに対して、ドメイン名「www.XXX.co.jp」に対応するIPアドレスの再帰検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報500をDNSサーバ3aへ送信する。再帰検索の依頼を受けたDNSサーバ3aは、前述したようにドメイン・ツリーをたどって他のDNSサーバに反復検索を依頼し(図示せず)、最後にDNSサーバ3eに反復検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報505をDNSサーバ3eへ送信する。
反復検索の依頼を受けたDNSサーバ3eは、自身が管理しているIPアドレスの中から、ドメイン名「www.XXX.co.jp」に対応するIPアドレスを検索し、通信装置2aのIPアドレス「xxx.xxx.xxx.xxx」を含む反復検索結果の情報510をDNSサーバ3aへ送信する。DNSサーバ3aは、通信装置2aのIPアドレス「xxx.xxx.xxx.xxx」を含む再帰検索結果の情報515を通信装置1へ送信する。以上によって、通信装置1は通信装置2aのIPアドレスを取得することができる。
また、通信装置1は、DNSサーバ3aに対して、ドメイン名「www.VVV.co.jp」に対応するIPアドレスの再帰検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報(情報500と同様の情報)をDNSサーバ3aへ送信する。再帰検索の依頼を受けたDNSサーバ3aは、前述したようにドメイン・ツリーをたどって他のDNSサーバに反復検索を依頼し(図示せず)、最後にDNSサーバ3fに反復検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報520をDNSサーバ3fへ送信する。
反復検索の依頼を受けたDNSサーバ3fは、自身が管理しているIPアドレスの中から、ドメイン名「www.VVV.co.jp」に対応するIPアドレスを検索し、通信装置2bのIPアドレス「vvv.vvv.vvv.vvv」を含む反復検索結果の情報525をDNSサーバ3aへ送信する。DNSサーバ3aは、通信装置2bのIPアドレス「vvv.vvv.vvv.vvv」を含む再帰検索結果の情報(情報515と同様の情報)を通信装置1へ送信する。以上によって、通信装置1は通信装置2bのIPアドレスを取得することができる。
Source IPの追跡は以下のようにして行われる。通信装置2aは、自身が属するドメインの情報を管理するDNSサーバ3eのIPアドレスを予め記憶しているものとする。通信装置2aは、攻撃を受けた時刻と自身のIPアドレス(Destination IP)を含む情報530をDNSサーバ3eへ送信し、DNSサーバ3eにSource IPを問い合わせる。通信装置2aからSource IPの問合せを受けたDNSサーバ3eの制御装置は記憶装置から反復検索のDNSログを読み出す。DNSサーバ3eの制御装置は、反復検索のDNSログに記録されている時刻と通信装置2aから通知された時刻とを比較し、通信装置2aから通知された時刻の直前N(N>0)秒の範囲内の時刻が記録されているレコードのみを検索対象とする。このNは適宜決定すればよい。
続いて、DNSサーバ3eの制御装置は、通信装置2aのIPアドレスを検索のキーとして、反復検索のDNSログに記録されているDestination IPを検索し、通信装置2aのIPアドレスと一致するDestination IPを有するレコードのリゾルバIPを取得する。DNSサーバ3eの制御装置は、リゾルバIPを有するDNSサーバ3aにSource IPを問い合わせるため、通信装置2aから通知された時刻と通信装置2aのIPアドレスを含む情報535をDNSサーバ3aへ送信する。
上記と同様の動作が通信装置2bおよびDNSサーバ3fに関しても行われる。通信装置2bは、自身が属するドメインの情報を管理するDNSサーバ3fのIPアドレスを予め記憶しているものとする。通信装置2bは、攻撃を受けた時刻と自身のIPアドレス(Destination IP)を含む情報540をDNSサーバ3fへ送信し、DNSサーバ3fにSource IPを問い合わせる。通信装置2bからSource IPの問合せを受けたDNSサーバ3fの制御装置は記憶装置から反復検索のDNSログを読み出す。DNSサーバ3fの制御装置は、反復検索のDNSログに記録されている時刻と通信装置2bから通知された時刻とを比較し、通信装置2bから通知された時刻の直前N(N>0)秒の範囲内の時刻が記録されているレコードのみを検索対象とする。
続いて、DNSサーバ3fの制御装置は、通信装置2bのIPアドレスを検索のキーとして、反復検索のDNSログに記録されているDestination IPを検索し、通信装置2bのIPアドレスと一致するDestination IPを有するレコードのリゾルバIPを取得する。DNSサーバ3fの制御装置は、リゾルバIPを有するDNSサーバ3aにSource IPを問い合わせるため、通信装置2bから通知された時刻と通信装置2bのIPアドレスを含む情報545をDNSサーバ3aへ送信する。
DNSサーバ3e,3fから問合せを受けたDNSサーバ3aの制御装置は記憶装置から再帰検索のDNSログを読み出す。DNSサーバ3aの制御装置は、再帰検索のDNSログに記録されている時刻とDNSサーバ3eから通知された時刻とを比較し、DNSサーバ3eから通知された時刻の直前N(N>0)秒の範囲内の時刻が記録されているレコードのみを検索対象とする。
続いて、DNSサーバ3aの制御装置は、通信装置2aのIPアドレスを検索のキーとして、再帰検索のDNSログに記録されているDestination IPを検索し、通信装置2aのIPアドレスと一致するDestination IPを有するレコードのSource IPを取得する。このSource IPが攻撃元の通信装置1のIPアドレスの候補(以下、第1の候補とする)である。
また、上記と同様にして、DNSサーバ3aは、DNSサーバ3fから通知された時刻の直前N(N>0)秒の範囲内の時刻が記録されているレコードのみを検索対象とした検索も行う。すなわち、DNSサーバ3aの制御装置は、通信装置2bのIPアドレスを検索のキーとして、再帰検索のDNSログに記録されているDestination IPを検索し、通信装置2bのIPアドレスと一致するDestination IPを有するレコードのSource IPを取得する。このSource IPが攻撃元の通信装置1のIPアドレスの候補(以下、第2の候補とする)である。
続いて、DNSサーバ3aの制御装置は、上記の検索により得られた第1の候補に含まれるIPアドレスと、第2の候補に含まれるIPアドレスとを比較する。両方の候補に共通するIPアドレスがあった場合、それが攻撃元の通信装置1のIPアドレスであると判断することができる。DNSサーバ3aの制御装置は、上記により取得した通信装置1のSource IPを含む情報550をDNSサーバ3eへ送信すると共に、情報550と同様の情報555をDNSサーバ3fへ送信する。
情報550を受信したDNSサーバ3eの制御装置は、情報550と同様の情報560を通信装置2aへ転送し、攻撃元の通信装置1のIPアドレスを通知する。同様に、情報555を受信したDNSサーバ3fの制御装置は、情報555と同様の情報565を通信装置2bへ転送し、攻撃元の通信装置1のIPアドレスを通知する。
上記において、第1の候補の検索と第2の候補の検索の対象とする時間範囲を同一とすることが望ましい。これによって、同時に複数の攻撃対象に対して攻撃を行った攻撃元のIPアドレスをより正確に検出することができる。
<第2の動作例>
次に、第2の動作例を説明する。図6は、第2の動作例に係るトレースバックシステムの構成を示している。通信装置1,2およびDNSサーバ3a,3eについては前述した通りである。DNSサーバ3gはドメイン「UUU.co.kr」に属している。
DNSサーバ3a,3gはリゾルバとなって再帰検索を行い、DNSサーバ3eはDNSサーバ3a,3gから反復検索の依頼を受けて反復検索を行う。また、DNSサーバ3a,3e,3gは、自身が記憶するDNSログに基づいて攻撃元の通信装置のIPアドレスの検索を行う機能を有している。すなわち、DNSサーバ3a,3e,3gは、トレースバックを実現する図1の記憶部10、検索部11、比較部12、および通信部13の機能を備えている。
第2の動作例では、攻撃元の通信装置1が、通信装置2のドメイン名に対応したIPアドレスの検索(名前解決)を複数のDNSサーバ3a,3gに依頼することを想定する。まず、通信装置1は、DNSサーバ3aに対して、ドメイン名「www.XXX.co.jp」に対応するIPアドレスの再帰検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報600をDNSサーバ3aへ送信する。再帰検索の依頼を受けたDNSサーバ3aは、前述したようにドメイン・ツリーをたどって他のDNSサーバに反復検索を依頼し(図示せず)、最後にDNSサーバ3eに反復検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報605をDNSサーバ3eへ送信する。
反復検索の依頼を受けたDNSサーバ3eは、自身が管理しているIPアドレスの中から、ドメイン名「www.XXX.co.jp」に対応するIPアドレスを検索し、通信装置2のIPアドレス「xxx.xxx.xxx.xxx」を含む反復検索結果の情報610をDNSサーバ3aへ送信する。DNSサーバ3aは、通信装置2のIPアドレス「xxx.xxx.xxx.xxx」を含む再帰検索結果の情報615を通信装置1へ送信する。
上記と同様の動作がDNSサーバ3gに関しても行われる。通信装置1は、DNSサーバ3gに対して、ドメイン名「www.XXX.co.jp」に対応するIPアドレスの再帰検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報620をDNSサーバ3gへ送信する。再帰検索の依頼を受けたDNSサーバ3gは、前述したようにドメイン・ツリーをたどって他のDNSサーバに反復検索を依頼し(図示せず)、最後にDNSサーバ3eに反復検索を依頼するため、自身のIPアドレスおよび検索対象のドメイン名を含む情報625をDNSサーバ3eへ送信する。
反復検索の依頼を受けたDNSサーバ3eは、自身が管理しているIPアドレスの中から、ドメイン名「www.XXX.co.jp」に対応するIPアドレスを検索し、通信装置2のIPアドレス「xxx.xxx.xxx.xxx」を含む反復検索結果の情報630をDNSサーバ3gへ送信する。DNSサーバ3gは、通信装置2のIPアドレス「xxx.xxx.xxx.xxx」を含む再帰検索結果の情報635を通信装置1へ送信する。以上によって、通信装置1は通信装置2のIPアドレスを取得することができる。
Source IPの追跡は以下のようにして行われる。通信装置2は、自身が属するドメインの情報を管理するDNSサーバ3eのIPアドレスを予め記憶しているものとする。通信装置2は、攻撃を受けた時刻と自身のIPアドレス(Destination IP)を含む情報640をDNSサーバ3eへ送信し、DNSサーバ3eにSource IPを問い合わせる。通信装置2からSource IPの問合せを受けたDNSサーバ3eの制御装置は記憶装置から反復検索のDNSログを読み出す。DNSサーバ3eの制御装置は、反復検索のDNSログに記録されている時刻と通信装置2から通知された時刻とを比較し、通信装置2から通知された時刻の直前N(N>0)秒の範囲内の時刻が記録されているレコードのみを検索対象とする。
続いて、DNSサーバ3eの制御装置は、通信装置2のIPアドレスを検索のキーとして、反復検索のDNSログに記録されているDestination IPを検索し、通信装置2のIPアドレスと一致するDestination IPを有するレコードのリゾルバIPを取得する。第2の動作例では、このリゾルバIPとしてDNSサーバ3a,3gのIPアドレスが取得される。DNSサーバ3eの制御装置は、DNSサーバ3a,3gにSource IPを問い合わせるため、通信装置2から通知された時刻と通信装置2のIPアドレスを含む情報645,650をDNSサーバ3a,3gへ送信する。
DNSサーバ3eから問合せを受けたDNSサーバ3aの制御装置は記憶装置から再帰検索のDNSログを読み出す。DNSサーバ3aの制御装置は、再帰検索のDNSログに記録されている時刻とDNSサーバ3eから通知された時刻とを比較し、DNSサーバ3eから通知された時刻の直前N(N>0)秒の範囲内の時刻が記録されているレコードのみを検索対象とする。
続いて、DNSサーバ3aの制御装置は、通信装置2のIPアドレスを検索のキーとして、再帰検索のDNSログに記録されているDestination IPを検索し、通信装置2のIPアドレスと一致するDestination IPを有するレコードのSource IPを取得する。このSource IPが攻撃元の通信装置1のIPアドレスの候補である。DNSサーバ3gも上記と同様の処理を行い、通信装置1のIPアドレスの候補を取得する。
続いて、DNSサーバ3aの制御装置は、取得したSource IPを含む情報655をDNSサーバ3eへ送信する。同様に、DNSサーバ3gも、取得したSource IPを含む情報660をDNSサーバ3eへ送信する。DNSサーバ3eの制御装置はこれらの情報を受信し、各情報に含まれるSource IPを互いに比較し、共通するSource IPを抽出する。この共通するSource IPが攻撃元の通信装置1のIPアドレスである。DNSサーバ3eの制御装置は、上記により取得した通信装置1のSource IPを含む情報665を通信装置2へ送信し、攻撃元の通信装置1のIPアドレスを通知する。
<変形例>
次に、本実施形態の変形例を説明する。図7は、本実施形態によるトレースバック装置の他の構成を示している。上記では、Source IPの問合せを行うため、通信装置とDNSサーバの間、またはDNSサーバ同士の間で、個人のプライバシーに関わるDestination IPまたはDestination Domainが送受信されてしまう。そこで、図7に示すトレースバック装置は、他の装置との間でDestination IPやDestination Domainの送受信を行うことなく、Source IPの追跡を行う。
図7において、ハッシュ値算出部14は、Destination IPのハッシュ値、Destination Domainのハッシュ値、Destination IPとDestination Domainを結合した情報のハッシュ値のいずれかを算出する。以下では、ハッシュ値算出部14がDestination IPのハッシュ値を算出する場合のみについてSource IPの追跡方法を説明するが、他の場合についてもSource IPの追跡方法は同様である。
ハッシュ値算出部14は記憶部10からDNSログを読み出し、DNSログ中の全てのDestination IPのハッシュ値を算出する。ハッシュ値算出部14は、DNSログに記録されている情報にハッシュ値を追加した状態で、DNSログを記憶部10に格納する。検索部11は、このDNSログを用いて攻撃元の通信装置のIPアドレスを検索することになる。
通信部13が他の装置から検索依頼情報を受信した場合、検索部11は、攻撃対象となった通信装置のIPアドレスのハッシュ値を検索のキーとして、DNSログ中のハッシュ値を検索し、攻撃対象となった通信装置のIPアドレスのハッシュ値と一致するハッシュ値をDNSログから抽出する。さらに、検索部11は、このハッシュ値を算出する元となったDestination IPと対応関係を有するSource IPをDNSログから抽出する。このSource IPが攻撃元の通信装置のIPアドレスの候補である。比較部12は、複数の検索依頼情報に対応した複数の検索結果を互いに比較し、共通するIPアドレスを抽出することによって、攻撃元の通信装置のIPアドレスを特定する。
Source IPの問合せを行う場合、通信装置やDNSサーバはDestination IPやDestination Domainの代わりにそれらのハッシュ値を送信する。ハッシュ値を受信したDNSサーバは、上記と同様にして、ハッシュ値をキーにした検索を行い、Source IPを取得する。
次に、その他の変形例を説明する。図8は、他の動作例に係るトレースバックシステムの構成を示している。この構成は第1の動作例と同様である。また、図8において、図5に示した情報と同様の情報には同一の符号を付与している。DNSサーバ3e,3fからそれぞれ情報535,545によってSource IPの問合せを受けたDNSサーバ3aは、各問合せに対して個別にSource IPの検索を行う。この検索によって得られたSource IPが攻撃元の通信装置1のIPアドレスの候補である。
DNSサーバ3aは、上記により得られたSource IPを含む情報800,805をそれぞれDNSサーバ3e,3fへ送信する。情報800を受信したDNSサーバ3eは、情報800と同様の情報810を通信装置2aへ送信する。また、情報805を受信したDNSサーバ3fは、情報805と同様の情報815を通信装置2bへ送信する。
Source IPの検索結果を含む情報を受信した通信装置2a,2bは互いにその情報を送信し合う。続いて、通信装置2aは、DNSサーバ3eから取得した情報に含まれるSource IPと、通信装置2bから取得した情報に含まれるSource IPとを比較し、共通するSource IPを抽出する。このSource IPが攻撃元の通信装置1のIPアドレスである。同様に、通信装置2bは、DNSサーバ3fから取得した情報に含まれるSource IPと、通信装置2aから取得した情報に含まれるSource IPとを比較し、共通するSource IPを抽出する。
図9は、他の動作例に係るトレースバックシステムの構成を示している。管理装置4以外の構成は、図8に示した構成と同様である。また、図9において、図8に示した情報と同様の情報には同一の符号を付与している。図8ではSource IPの検索結果を含む情報を通信装置2a,2bが送信し合うが、図9では通信装置2a,2bはその情報を管理装置4へ送信する。管理装置4は、通信装置2aから取得した情報に含まれるSource IPと、通信装置2bから取得した情報に含まれるSource IPとを比較し、共通するSource IPを抽出する。このSource IPが攻撃元の通信装置1のIPアドレスである。
上述したように、本実施形態によれば、ネットワーク上の各所にプローブ装置を設置する必要がなくなるので、プローブ装置の設置にかかるコストや時間を削減することができる。また、DNSサーバが再帰検索や反復検索の依頼のために送信するパケットの数は、ネットワークで送受信される全パケットの数よりもはるかに少ないので、DNSログの情報量は、ネットワークで送受信される全パケットの情報量よりもはるかに少量である。したがって、DNSサーバがDNSログを記憶可能な期間が長くなり、時間的な制約によってIPアドレスの追跡が失敗する可能性を低減することができる。さらに、攻撃対象の通信装置に対する外部からのアクセスが多い場合でも、正規の名前解決を依頼した通信装置と、攻撃を前提に悪意の名前解決を依頼した通信装置とを区別することが可能となり、攻撃元の通信装置のIPアドレスの追跡精度を高めることができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態によるトレースバック装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
本発明の一実施形態によるトレースバック装置の構成を示すブロック図である。 本発明の一実施形態によるトレースバックシステムの動作を説明するための構成図である。 本発明の一実施形態によるトレースバックシステムで使用されるDNSログの内容を示す参考図である。 本発明の一実施形態によるトレースバックシステムで使用されるDNSログの内容を示す参考図である。 本発明の一実施形態によるトレースバックシステムの第1の動作例を説明するための構成図である。 本発明の一実施形態によるトレースバックシステムの第2の動作例を説明するための構成図である。 本発明の一実施形態によるトレースバック装置の構成の変形例を示すブロック図である。 本発明の一実施形態によるトレースバックシステムの他の動作例を説明するための構成図である。 本発明の一実施形態によるトレースバックシステムの他の動作例を説明するための構成図である。
符号の説明
1,2,2a,2b・・・通信装置、3a,3b,3c,3d,3e,3f,3g・・・DNSサーバ、4・・・管理装置、10・・・記憶部、11・・・検索部、12・・・比較部、13・・・通信部、14・・・ハッシュ値算出部

Claims (6)

  1. 所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報とを記憶する記憶手段と、
    ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名を検索のキーとして前記第1の情報を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名と一致するIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、
    前記検索手段が取得した、複数の前記攻撃対象装置に対応する複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段と、
    を備えたことを特徴とするトレースバック装置。
  2. 所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報とを記憶する記憶手段と、
    前記第1の情報が示すIPアドレスまたはドメイン名のハッシュ値を算出する算出手段と、
    ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値を受信する受信手段と、
    前記受信手段が受信したハッシュ値を検索のキーとして、前記算出手段が算出したハッシュ値を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値と一致したハッシュ値を算出する元となったIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、
    前記検索手段が取得した、複数の前記攻撃対象装置に対応する複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段と、
    を備えたことを特徴とするトレースバック装置。
  3. 請求項1または請求項2に記載のトレースバック装置としてコンピュータを機能させるためのプログラム。
  4. 請求項3に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
  5. 第1のトレースバック装置および第2のトレースバック装置を備えたトレースバックシステムであって、
    前記第1のトレースバック装置は、
    所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報とを記憶する記憶手段と、
    ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名を検索のキーとして前記第1の情報を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名と一致するIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、
    前記検索手段が取得した前記第2の情報を送信する送信手段とを有し、
    前記第2のトレースバック装置は、
    複数の前記第1のトレースバック装置から送信された前記第2の情報を受信する受信手段と、
    複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段とを有する
    ことを特徴とするトレースバックシステム。
  6. 第1のトレースバック装置および第2のトレースバック装置を備えたトレースバックシステムであって、
    前記第1のトレースバック装置は、
    所定のドメイン名に対応したIPアドレスを検索して取得したIPアドレス、または当該IPアドレスに対応したドメイン名を示す第1の情報と、検索を依頼した装置のIPアドレスを示す第2の情報と、検索を依頼した時刻を示す第1の時刻情報とを記憶する記憶手段と、
    前記第1の情報が示すIPアドレスまたはドメイン名のハッシュ値を算出する算出手段と、
    ネットワーク上の攻撃の対象となった攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値を受信する第1の受信手段と、
    前記受信手段が受信したハッシュ値を検索のキーとして、前記算出手段が算出したハッシュ値を検索し、前記攻撃対象装置のIPアドレスまたはドメイン名のハッシュ値と一致したハッシュ値を算出する元となったIPアドレスまたはドメイン名を示す前記第1の情報に対応した前記第2の情報を取得する検索手段と、
    前記検索手段が取得した前記第2の情報を送信する送信手段とを有し、
    前記第2のトレースバック装置は、
    複数の前記第1のトレースバック装置から送信された前記第2の情報を受信する第2の受信手段と、
    複数の前記第2の情報を互いに比較し、共通する前記第2の情報を抽出する比較手段とを有する
    ことを特徴とするトレースバックシステム。
JP2008053619A 2008-03-04 2008-03-04 トレースバック装置、プログラム、記録媒体、およびトレースバックシステム Expired - Fee Related JP4876092B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008053619A JP4876092B2 (ja) 2008-03-04 2008-03-04 トレースバック装置、プログラム、記録媒体、およびトレースバックシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008053619A JP4876092B2 (ja) 2008-03-04 2008-03-04 トレースバック装置、プログラム、記録媒体、およびトレースバックシステム

Publications (2)

Publication Number Publication Date
JP2009212809A true JP2009212809A (ja) 2009-09-17
JP4876092B2 JP4876092B2 (ja) 2012-02-15

Family

ID=41185539

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008053619A Expired - Fee Related JP4876092B2 (ja) 2008-03-04 2008-03-04 トレースバック装置、プログラム、記録媒体、およびトレースバックシステム

Country Status (1)

Country Link
JP (1) JP4876092B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009135881A (ja) * 2007-11-05 2009-06-18 Kddi R & D Laboratories Inc トレースバック装置、トレースバックシステム、dnsサーバ、プログラム、および記録媒体
CN111314379A (zh) * 2020-03-20 2020-06-19 深圳市腾讯计算机系统有限公司 被攻击域名识别方法、装置、计算机设备和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009135881A (ja) * 2007-11-05 2009-06-18 Kddi R & D Laboratories Inc トレースバック装置、トレースバックシステム、dnsサーバ、プログラム、および記録媒体
CN111314379A (zh) * 2020-03-20 2020-06-19 深圳市腾讯计算机系统有限公司 被攻击域名识别方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
JP4876092B2 (ja) 2012-02-15

Similar Documents

Publication Publication Date Title
US10491614B2 (en) Illegitimate typosquatting detection with internet protocol information
CN106657044B (zh) 一种用于提高网站系统安全防御的网页地址跳变方法
US8789171B2 (en) Mining user behavior data for IP address space intelligence
US10397267B2 (en) Threat intelligence system and method
US10853483B2 (en) Identification device, identification method, and identification program
US20180139224A1 (en) Collecting domain name system traffic
US8627473B2 (en) Peer-to-peer (P2P) botnet tracking at backbone level
CN107682470B (zh) 一种检测nat地址池中公网ip可用性的方法及装置
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
CN111818073B (zh) 一种失陷主机检测方法、装置、设备及介质
CN109660552A (zh) 一种将地址跳变和WAF技术相结合的Web防御方法
CN103685213A (zh) 一种减少针对dns的攻击的装置、系统和方法
US10764307B2 (en) Extracted data classification to determine if a DNS packet is malicious
CN112839054A (zh) 一种网络攻击检测方法、装置、设备及介质
JP2011193343A (ja) 通信ネットワーク監視システム
CN111953638B (zh) 网络攻击行为检测方法、装置及可读存储介质
US20120180125A1 (en) Method and system for preventing domain name system cache poisoning attacks
US20210360013A1 (en) Detection method for malicious domain name in domain name system and detection device
US10911481B2 (en) Malware-infected device identifications
JP4876092B2 (ja) トレースバック装置、プログラム、記録媒体、およびトレースバックシステム
US11811806B2 (en) System and apparatus for internet traffic inspection via localized DNS caching
CN113810518A (zh) 有效子域名识别方法、装置和电子设备
KR101846778B1 (ko) Id 확인 서비스 방법 및 이를 적용한 m2m 시스템
JP4999787B2 (ja) トレースバック装置、トレースバックシステム、dnsサーバ、プログラム、および記録媒体
WO2024031884A1 (zh) 一种域名同源判定方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111108

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111128

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141202

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4876092

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees