JP2010268316A - Dns応答制御装置、dns応答制御システム、dns応答制御方法およびdns応答制御プログラム - Google Patents

Dns応答制御装置、dns応答制御システム、dns応答制御方法およびdns応答制御プログラム Download PDF

Info

Publication number
JP2010268316A
JP2010268316A JP2009119250A JP2009119250A JP2010268316A JP 2010268316 A JP2010268316 A JP 2010268316A JP 2009119250 A JP2009119250 A JP 2009119250A JP 2009119250 A JP2009119250 A JP 2009119250A JP 2010268316 A JP2010268316 A JP 2010268316A
Authority
JP
Japan
Prior art keywords
dns
response
authoritative
dns query
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009119250A
Other languages
English (en)
Other versions
JP5095675B2 (ja
Inventor
Taisuke Wakasugi
泰輔 若杉
Yuichi Shimamura
祐一 島村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009119250A priority Critical patent/JP5095675B2/ja
Publication of JP2010268316A publication Critical patent/JP2010268316A/ja
Application granted granted Critical
Publication of JP5095675B2 publication Critical patent/JP5095675B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合に要するシステムの負荷を軽減することを課題とする。
【解決手段】DNSフォワーダ装置は、DNSクエリ応答の内容をDNS回送サーバがキャッシュできるように、DNS権威サーバ装置から取得したDNSクエリ応答のヘッダを制御する点に主たる特徴がある。具体的には、DNS権威サーバ装置から受信したDNSクエリ応答が権威の有る応答である場合には、DNSクエリ応答の内容をキャッシュするとともに、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示す情報を設定する。
【選択図】図1

Description

本発明は、DNS応答制御装置、DNS応答制御システム、DNS応答制御方法およびDNS応答制御プログラムに関する。
近年、人間が理解しやすい文字列(ドメイン名)と実際の通信に使用する数字列(IPアドレス)を対応付けするDNS(Domain Name System、非特許文献1〜3参照)が世間一般に浸透し、一般ユーザは、ドメイン名を指定することにより所望の通信相手との通信が可能となっている。
上記のDNSは、ドメイン名の最後尾に配置されるトップレベルドメインを管理する各DNS権威サーバ装置のIPアドレスを管理しているルートDNSサーバを頂点として、下位レベルドメインを管理する複数のDNS権威サーバ装置をネットワーク上に階層的に配置した構成を有する。
このようにして、DNSは、ドメイン名とIPアドレスの対応関係を各DNS権威サーバ装置で分散管理する。そして、DNSクライアント装置(一般ユーザ等)から、ドメイン名に対応するIPアドレスの問合せ(名前解決要求:DNSクエリ要求)があると、DNS権威サーバ装置は、ドメイン名に対応するIPアドレスを検索して、検索結果をDNSクライアント装置に応答する。
ところで、上記のDNSでは、分散配備されているDNS権威サーバ装置との連携、それから、名前解決要求(DNSクエリ要求)への応答に要するDNSサーバやネットワークの負荷を低減させることを目的として、DNSクライアント装置とDNS権威サーバ装置との間に、一度検索したドメイン名とIPアドレスとの関連付けを一定期間記憶するDNSキャッシュサーバを設ける技術がある。
DNSキャッシュサーバは、DNSクライアント装置からDNSクエリ要求を受信すると、DNSクエリ要求に含まれるドメイン名に対応したIPアドレスがキャッシュされているか否かを判定し、キャッシュされていない場合には、DNS権威サーバ装置との間でDNSクエリメッセージをやり取りすることで再帰的に名前解決を行う。
そして、DNSキャッシュサーバは、DNSサーバから受信した最終的なDNSクエリメッセージが有するヘッダ部に、権威のある応答であることを示す「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリメッセージの内容(ドメイン名とIPアドレスとの関連付け)をキャッシュし、最終的な検索結果をDNSクライアント装置に応答する。
ここで、図12を参照しつつ、DNSキャッシュサーバを有するDNSの動作について具体的に説明する。図12は、従来技術を説明するための図である。DNSクライアント装置30は、DNSキャッシュサーバ装置20に対して、名前解決要求(DNSクエリ要求)を送信する(ステップS01)。
DNSキャッシュサーバ装置20は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS02)、DNSクエリ要求をDNS権威サーバ装置10に送信する(ステップS03)。DNS権威サーバ装置10は、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSキャッシュサーバ装置20に送信する(ステップS04)。ここで、「(1)」はAA−bitに「1」が設定されている状態を表し、「(0)」はAA−bitに「0」が設定されている状態を表す。
DNSキャッシュサーバ装置20は、DNS権威サーバ装置10からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容(ドメイン名とIPアドレスとの関連付け)をキャッシュする(ステップS05)。
そして、DNSキャッシュサーバ装置20は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置30に送信する(ステップS06)。
また、DNSクライアント装置30は、DNSキャッシュサーバ装置20に対して、上述したステップS01と同一のDNSクエリ要求を送信する(ステップS07)。DNSキャッシュサーバ装置20は、DNSクライアント装置30から受信したDNSクエリに対応するキャッシュデータの検索を行い、キャッシュがある場合(キャッシュヒットした場合)には(ステップS08)、DNSクエリをDNS権威サーバ装置10に送信するまでもなく、「AA−bit=OFF(0)」をヘッダに設定したDNSクエリ応答をDNSクライアント装置30に送信する(ステップS09)。
上述してきたように、DNSキャッシュサーバを適用することで、名前解決要求(DNSクエリ)への応答に要するDNSサーバやネットワークの負荷を低減できる。
また、セキュリティ向上の観点から、上述したDNSキャッシュサーバを回送サーバとDNSフォワーダとに分散して多段で構成し、インターネット等の外部のネットワークに存在するDNS権威サーバ装置10との通信をDNSフォワーダに限定する技術も存在する。
ここで、図13を参照しつつ、DNSフォワーダを有するDNSの動作について具体的に説明する。図13は、従来技術を説明するための図である。同図に示すように、DNSクライアント装置30は、DNS回送サーバ装置200に対して、DNSクエリ要求を送信する(ステップS11)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS12)、DNSクエリ要求をDNSフォワーダ装置100に送信する(ステップS13)。
DNSフォワーダ装置100は、DNS回送サーバ装置200から受信したDNSクエリ要求をDNS権威サーバ装置10に送信する(ステップS14)。DNS権威サーバ装置10は、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置100に送信する(ステップS15)。
DNSフォワーダ装置100は、DNS権威サーバ装置10からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容をキャッシュする(ステップS16)。
そして、DNSフォワーダ装置100は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS17)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のビット判定を行い、「AA−bit=OFF(0)」が設定されている場合には、権威のない応答として、DNSクエリ応答の内容をキャッシュすることなく(ステップS18)、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置30に送信する(ステップS19)。
また、DNSクライアント装置30は、DNS回送サーバ装置200に対して、上述したステップS11と同一のDNSクエリ要求を送信する(ステップS20)。DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュがあるか否かを判定するが、上記のステップS18で説明したようにキャッシュは無いので(ステップS21)、DNSクエリ要求をDNSフォワーダ装置100に送信する(ステップS22)。
DNSフォワーダ装置100は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュがあるか否かを判定するが、上記のステップS16で説明したようにキャッシュヒットするので(ステップS23)、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS24)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のデータ判定を行うが、「AA−bit=OFF(0)」が設定されていないので、上述したステップS18と同様に、権威のない応答として、DNSクエリ応答の内容をキャッシュすることなく(ステップS25)、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置100に送信する(ステップS26)。
"DOMAIN NAMES - CONCEPTS AND FACILITIES (RFC1034)"、[online]、[平成21年5月1日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc1034.txt> "DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION (RFC1035)"、[online]、[平成21年5月1日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc1035.txt> "Clarifications to the DNS Specification (RFC2181)"、[online]、[平成21年5月1日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc2181.txt>
上述したDNSフォワーダを用いる技術(図13参照)では、DNSクライアント装置からのDNSクエリ要求に対して、必ずDNSフォワーダ装置まで問い合わせを行うことになる。よって、DNSキャッシュサーバ装置を用いる技術(図12参照)に比べて、回送サーバ装置からDNSフォワーダ装置へのDNSクエリ要求、およびDNSフォワーダ装置から回送サーバ装置へのDNSクエリ応答といったより多くの処理が発生する。このため、DNSキャッシュサーバ装置を用いる技術(図12参照)に比べて、CPUやメモリ等のリソース量がより多く必要となる。
また、上述したDNSフォワーダ装置を用いる技術では、DNSキャッシュサーバ装置を用いる技術に比べて、回送サーバ装置とDNSフォワーダ装置との間の回線容量も必要となる。
このように、上述したDNSフォワーダ装置を用いる技術は、セキュリティの向上を図る一方で、DNSキャッシュサーバ装置を用いる技術に比べて、DNSクエリ要求を処理する場合に要するシステムの負荷が大きいという問題がある。
本発明は、上記に鑑みてなされたものであって、セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合に要するシステムの負荷を軽減することが可能なDNS応答制御装置、DNS応答制御システム、DNS応答制御方法およびDNS応答制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、DNSクライアントからのDNSクエリ要求をDNS回送サーバ経由で受信して、受信したDNSクエリ要求を名前解決できる場合には、DNSクエリ応答をDNS回送サーバに返送し、DNSクエリ要求を名前解決できない場合には、DNS権威サーバから取得したDNSクエリ応答をDNS回送サーバに返送するDNS応答制御装置(DNSフォワーダ装置)であって、前記DNS権威サーバからDNSクエリ応答を受信した場合に、受信したDNSクエリ応答のヘッダ部に設けられた権威のある応答であることを示す情報に基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する応答判定手段と、前記DNS権威サーバから受信したDNSクエリ応答が権威の有る応答であると前記応答判定手段により判定されることを条件に、DNSクエリ応答の内容をキャッシュするとともに、前記ヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示す情報を設定する情報設定手段と、権威の有る応答であることを示す情報が前記情報設定手段によって設定されたDNSクエリ応答を前記DNS回送サーバに送信する応答送信手段とを有することを特徴とする。
本発明にかかるDNS応答制御装置(DNSフォワーダ装置)、DNS応答制御方法およびDNS応答制御プログラムは、セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合に要するシステムの負荷を軽減できる。
図1は、実施例1に係る構成を示す図である。 図2は、実施例1に係るルートネームサーバリストの一例を説明するための図である。 図3は、実施例1に係る処理の流れを示す図である。 図4は、実施例2に係る構成を示す図である。 図5は、実施例1に係る信頼情報付DNS回送サーバリストの一例を説明するための図である。 図6は、実施例2に係る処理の流れを示す図である。 図7は、実施例2に係る処理の流れを示す図である。 図8は、実施例3に係る構成を示す図である。 図9は、実施例3に係る処理の流れを示す図である。 図10は、実施例3に係る処理の流れを示す図である。 図11は、DNS応答制御プログラムを実行するコンピュータを示す図である。 図12は、従来技術を説明するための図である。 図13は、従来技術を説明するための図である。
以下に、図面を参照しつつ、本発明に係るDNS応答制御装置、DNS応答制御システム、DNS応答制御方法およびDNS応答制御プログラムの一実施形態を詳細に説明する。なお、以下に説明する実施例1では、本発明に係るDNS応答制御装置に対応するDNSフォワーダ装置の一実施形態について説明する。なお、以下の実施例1より、本発明が限定されるものではない。
以下の実施例1では、実施例1に係るDNSフォワーダ装置の概要および特徴、実施例1の構成および処理を順に説明し、最後に実施例1による効果を説明する。
[概要および特徴(実施例1)]
実施例1に係るDNSフォワーダ装置は、DNS回送サーバ装置から受信したDNSクライアント装置からのDNSクエリ要求を名前解決できない場合には、外部ネットワークに存在する複数のDNS権威サーバ装置との間で再帰的な電文のやり取りを行い、DNS権威サーバ装置から取得したDNSクエリ応答をDNS回送サーバ装置に返送することを概要とする。
そして、実施例1に係るDNSフォワーダ装置は、DNSクエリ応答の内容をDNS回送サーバがキャッシュできるように、DNS権威サーバ装置から取得したDNSクエリ応答のヘッダを制御する点に主たる特徴がある。具体的には、DNS権威サーバ装置から受信したDNSクエリ応答が権威の有る応答である場合には、DNSクエリ応答の内容をキャッシュするとともに、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示すビットを設定する。以下、実施例1に係るDNSフォワーダ装置について具体的に説明する。
[実施例1の構成]
図1は、実施例1に係る構成を示す図である。なお、同図には、実施例1に係る構成を説明する上で必要な処理機能部のみを記載している。
図1に示すように、DNS回送サーバ装置200、DNSフォワーダ装置100およびDNS権威サーバ装置10により、DNSクライアント装置30からのDNSクエリ要求を処理するシステムを構成する。
DNSフォワーダ装置100は、公衆電話網やインターネットなどの外部NW1を介して、複数のDNS権威サーバ装置10と通信可能に接続される。さらに、DNSフォワーダ装置100は、閉域網などの内部NW2を介して、DNSクライアント装置30およびDNS回送サーバ装置200と通信可能な状態で接続される。
DNS権威サーバ装置10は、DNSフォワーダ装置100から、ドメイン名に対応するIPアドレスの問合せ(名前解決要求:DNSクエリ要求)があると、DNSサーバ間で連携することにより、ドメイン名に対応するIPアドレスを検索して、検索結果(DNSクエリ応答)を応答する。
DNSクライアント装置30は、通信を希望する相手の名前解決要求(DNSクエリ要求)をDNS回送サーバ装置200を送り、DNS回送サーバ装置200から受けたDNSクエリ応答を用いて、通信を希望する相手との通信を開始する。
そして、DNSフォワーダ装置100は、図1に示すように、通信制御I/F部110と、記憶部120と、キャッシュデータ部130と、制御部140とを有する。
通信制御I/F部110は、外部NW1や内部NW2を介して、DNS権威サーバ装置10やDNSクライアント装置30、DNS回送サーバ装置200との間でやり取りされる各種メッセージに関する通信を制御する。
記憶部120は、制御部140における各種処理に必要なデータ等を記憶し、特に、ルートネームサーバリスト121を有する。ルートネームサーバリスト121は、図2に示すように、DNSフォワーダ装置100が、再帰的な問い合わせ(DNSクエリメッセージのやり取り)を行うために、システム管理者などにより設定されたルートネームサーバのIPアドレス等を記憶する。図2は、実施例1に係るルートネームサーバリストの一例を説明するための図である。
キャッシュデータ部130は、制御部140における名前解決に必要なデータを記憶し、特に、一度解決したドメイン名とIPアドレスの関連付けを一定期間記憶するキャッシュDB131を有する。
制御部140は、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、主に、DNSクエリ要求に応じた名前解決に関する種々の処理を実行し、特に、応答判定部141、ビット設定部142および応答送信部143を有する。
応答判定部141は、DNS権威サーバ装置10からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答のヘッダ部に設けられた所定のフィールドに設定されているビットに基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する。具体的に説明すると、応答判定部141は、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに「AA−bit=ON(1)」が設定されている場合には、権威の有る応答であると判定する。一方、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに「AA−bit=OFF(0)」が設定されている場合には、権威の無い応答であると判定する。
ビット設定部142は、DNS応答の内容をDNS回送サーバ装置200にキャッシュさせるようにするためのビットをDNS応答のヘッダに設定する。具体的に説明すると、応答判定部141によって、DNS権威サーバ装置10から受信したDNSクエリ応答が権威の有る応答であると判定された場合には、DNSクエリ応答の内容をキャッシュデータ部131にキャッシュする。さらに、ビット設定部142は、DNS応答の内容をDNS回送サーバ装置200にキャッシュさせるようにするために、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示すビット「AA−bit=ON(1)」を設定する。
応答送信部143は、通信制御I/F部110を介して、ビット設定部142によってビットの設定が完了したDNSクエリ応答をDNSクライアント装置30に送る。
すなわち、従来の動作では、DNSクエリ応答の内容をキャッシュデータ部131にキャッシュした場合、従来の動作では、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の無い応答であることを示す「AA−bit=OFF(0)」を設定して、DNS回送サーバ装置200に送る。よって、DNS回送サーバ装置200は、DNSクエリ応答の内容をキャッシュすることなく、DNSクエリ応答をDNSクライアント装置30に送ることとなる。
しかしながら、本実施形態では、ビット設定部142は、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の無い応答であることを示す「AA−bit=OFF(0)」ではなく、権威の有る応答であることを示すビット「AA−bit=ON(1)」を設定する。このようにすることで、DNS応答の内容をDNS回送サーバ装置200にキャッシュさせることができる。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSフォワーダ装置100と同様に、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに設定されているビットに基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する。そして、DNSクエリ応答が権威の有る応答であると判定した場合には、DNSクエリ応答の内容をキャッシュした後、DNSクエリ応答をDNSクライアント装置30に送る。DNSクエリ応答が権威の無い応答であると判定した場合には、DNSクエリ応答の内容をキャッシュすることなく、DNSクエリ応答をDNSクライアント装置30に送る。
よって、DNS回送サーバ装置200は、同一の問い合わせ内容を有するDNSクエリ要求を再び受信した場合には、DNSフォワーダ装置100にDNSクエリ要求を転送することなく、DNSクエリ要求を自己解決して、DNSクエリ応答をDNSクライアント装置30に送ることができる。
[実施例1の処理]
続いて、図3を用いて、実施例1の処理の流れを説明する。図3は、実施例1に係る処理の流れを示す図である。同図に示すように、DNSクライアント装置30は、DNS回送サーバ装置200に対してDNSクエリ要求を送信する(ステップS01)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS02)、DNSクエリ要求をDNSフォワーダ装置100に転送する(ステップS03)。
DNSフォワーダ装置100は、DNS回送サーバ装置200からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS04)、DNS権威サーバ装置10にDNSクエリ要求を転送する(ステップS05)。
DNS権威サーバ装置10は、DNSフォワーダ装置100からDNSクエリ要求を受信すると、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置100に送信する(ステップS06)。
DNSフォワーダ装置100は、DNS権威サーバ装置10からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容をキャッシュする(ステップS07)。そして、DNSフォワーダ装置100は、「AA−bit=ON(1)」に設定し(ステップS08)、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS09)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のビット判定を行い、「AA−bit=ON(1)」が設定されている場合には、権威の有る応答として、DNSクエリ応答の内容をキャッシュする(ステップS10)。そして、DNS回送サーバ装置200は、「AA−bit=OFF(0)」に設定し、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置30に送信する(ステップS11)。
続いて、上記ステップS01〜11の完了後、再び、同一の問合せ内容を有するDNSクエリ要求がDNSクライアント装置30から送信された場合の処理を説明する。DNSクライアント装置30は、DNSキャッシュサーバ装置20に対して、上記ステップS01と同一の問合せ内容を有するDNSクエリ要求を送信する(ステップS12)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットした場合には(ステップS13)、「AA−bit=OFF(0)」に設定し、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置30に送信する(ステップS14)。
[実施例1による効果]
上述してきたように、実施例1によれば、DNSフォワーダ装置100は、DNS権威サーバ装置10から受信したDNSクエリ応答が権威の有る応答である場合には、DNSクエリ応答の内容をキャッシュするとともに、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示すビットを設定する。
すなわち、DNSフォワーダ装置100が、権威の有る応答であることを示すビット「AA−bit=ON(1)」をDNSクエリ応答に設定することで、DNS回送サーバ装置200に、DNS応答の内容をキャッシュさせることができる。
このようなことから、DNS権威サーバ装置10との通信相手を限定することにより、セキュリティの向上を図ることとができる。さらに、DNS回送サーバ装置200にDNSクエリ応答の内容をキャッシュさせることにより、内部NW2全体でのキャッシュヒット率を向上させることができるとともに、回送サーバおよび回送サーバとフォワーダとの間の設備リソース(CPU/回線容量)を削減でき、DNSクエリ要求を処理する場合に要するシステムの負荷を軽減できる。
また、上記の実施例1において、信頼できるDNS回送サーバ装置200にのみDNSクエリ応答の内容をキャッシュさせるようにしてもよい。以下、実施例2に係るDNSフォワーダ装置100について説明する。ここで、信頼できるDNS回送サーバ装置というのは、キャッシュを格納することを許可されているDNS回送サーバ装置のことである。
[実施例2の構成]
図4は、実施例2に係る構成を示す図である。実施例2に係るDNSフォワーダ装置100は、実施例1とは以下に説明する点が異なる。
すなわち、記憶部120は、ルートネームサーバリスト121だけでなく、信頼情報付DNS回送サーバリスト122を有する。信頼情報付DNS回送サーバリスト122は、図5に示すように、システム管理者などにより設定された信頼する回送サーバ装置の情報を記憶する。図5は、実施例1に係る信頼情報付DNS回送サーバリストの一例を説明するための図である。
制御部140は、応答判定部141、ビット設定部142、応答送信部143だけでなく、信頼判定部144を有する。信頼判定部144は、応答判定部141により、DNS権威サーバ装置10からのDNSクエリ応答が権威の有る応答であると判定された場合に、信頼情報付DNS回送サーバリスト122を参照して、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼性の有る装置であるか否かを判定する。
ビット設定部142は、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼性の有る装置であると信頼判定部144により判定された場合には、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示すビット「AA−bit=ON(1)」を設定する。一方、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼できない装置であると信頼判定部144により判定された場合には、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の無い応答であることを示すビット「AA−bit=OFF(0)」を設定する。
[実施例2の処理]
続いて、図6および図7を用いて、実施例2の処理の流れを説明する。図6および図7は、実施例2に係る処理の流れを示す図である。
まず、図6を参照しつつ、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼性の有る装置である場合の処理の流れを説明する。同図に示すように、DNSクライアント装置30は、DNS回送サーバ装置200に対してDNSクエリ要求を送信する(ステップS01)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS02)、DNSクエリ要求をDNSフォワーダ装置100に転送する(ステップS03)。
DNSフォワーダ装置100は、DNS回送サーバ装置200からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS04)、DNS権威サーバ装置10にDNSクエリ要求を転送する(ステップS05)。
DNS権威サーバ装置10は、DNSフォワーダ装置100からDNSクエリ要求を受信すると、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置100に送信する(ステップS06)。
DNSフォワーダ装置100は、DNS権威サーバ装置10からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容をキャッシュする(ステップS07)。
DNSクエリ応答の内容をキャッシュした後、DNSフォワーダ装置100は、信頼情報付DNS回送サーバリスト122を参照して、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼性の有る装置であるか否かを判定し、信頼性の有る装置である場合には、「AA−bit=ON(1)」に設定し(ステップS08)、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS09)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のビット判定を行い、「AA−bit=ON(1)」が設定されている場合には、権威の有る応答として、DNSクエリ応答の内容をキャッシュする(ステップS10)。そして、DNS回送サーバ装置200は、「AA−bit=OFF(0)」に設定し、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置30に送信する(ステップS11)。
なお、上記ステップS01〜11の完了後、再び、同一の問合せ内容を有するDNSクエリ要求がDNSクライアント装置30から送信された場合のステップS12〜14の処理は、図3に示すステップS12〜14の処理と同様であるので説明は省略する。
次に、図7を参照しつつ、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼できない装置である場合の処理の流れを説明する。同図に示すように、DNSクライアント装置30は、DNSキャッシュサーバ装置20に対してDNSクエリ要求を送信する(ステップS01)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS02)、DNSクエリ要求をDNSフォワーダ装置100に転送する(ステップS03)。
DNSフォワーダ装置100は、DNS回送サーバ装置200からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS04)、DNS権威サーバ装置10にDNSクエリ要求を転送する(ステップS05)。
DNS権威サーバ装置10は、DNSフォワーダ装置100からDNSクエリ要求を受信すると、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置100に送信する(ステップS06)。
DNSフォワーダ装置100は、DNS権威サーバ10からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容をキャッシュする(ステップS07)。
DNSクエリ応答の内容をキャッシュした後、DNSフォワーダ装置100は、信頼情報付DNS回送サーバリスト122を参照して、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼性の有る装置であるか否かを判定し、信頼できない装置である場合には、「AA−bit=OFF(0)」に設定し(ステップS08)、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS09)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のビット判定を行い、「AA−bit=OFF(0)」が設定されている場合には、権威の無い応答として、DNSクエリ応答の内容をキャッシュしない(ステップS10)。そして、DNS回送サーバ装置200は、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置30に転送する(ステップS11)。
続いて、図7のステップS01〜11の完了後、再び、同一の問合せ内容を有するDNSクエリ要求がDNSクライアント装置30から送信された場合の処理の流れを以下に説明する。DNSクライアント装置30は、DNSキャッシュサーバ装置20に対して、図7のステップS01と同一の問合せ内容を有するDNSクエリ要求を送信する(ステップS12)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS13)、DNSクエリ要求をDNSフォワーダ装置100に転送する(ステップS14)。
DNSフォワーダ装置100は、DNS回送サーバ装置200からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットした場合には(ステップS15)、続いて、信頼情報付DNS回送サーバリスト122を参照して、DNSクエリ要求の転送元であるDNS回送サーバ装置200が信頼性の有る装置であるか否かを判定し、信頼できない装置である場合には、「AA−bit=OFF(0)」に設定する(ステップS16)。そして、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS17)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のビット判定を行い、「AA−bit=OFF(0)」が設定されている場合には、権威の無い応答として、DNSクエリ応答の内容をキャッシュしない(ステップS18)。そして、DNS回送サーバ装置200は、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置30に転送する(ステップS19)。
上述してきたように、実施例2によれば、予め設定しておいた信頼できるDNS回送サーバ装置200にのみDNSクエリ応答の内容をキャッシュさせるので、DNS回送サーバ装置200になりすました装置によってDNSクエリ応答の内容がキャッシュされるのを防止できる。
また、権威ある応答であるか否かの判定手順、および信頼の判定手順を行う順序は、図6および図7に示す順序に限られず、任意に変更することができる。なお、上記の実施例2では、信頼できるDNS回送サーバ装置200の情報を記憶しておいて、信頼できるDNS回送サーバ装置200を判定する場合を説明した。しかしながら、これに限られるものではなく、例えば、信頼できない装置をリスト化しておいて、このリストにない装置を信頼できるDNS回送サーバ装置200として判定してもよい。
また、上記の実施例1において、DNS権威サーバ装置10からのDNSクエリ応答が改竄されているか否かを検証するようにしてもよい。以下、実施例3に係るDNSフォワーダ装置100について説明する。
[実施例3の構成]
図8は、実施例3に係る構成を示す図である。実施例3に係るDNSフォワーダ装置100は、上記の実施例1とは以下に説明する点が異なる。
すなわち、制御部140は、応答判定部141、ビット設定部142、応答送信部143だけでなく、改竄検証部145を有する。
記憶部120は、図8に示すように、後述する改竄検証部145において、DNSクエリ応答が改竄されているか否かを検証するために鍵情報が列挙された鍵情報リスト123を有する。
改竄検証部145は、記憶部120が有する鍵情報リスト123に列挙された鍵情報を用いて、DNSクエリ応答が改竄されているか否かを検証する。応答判定部141により、DNS権威サーバ装置10からのDNSクエリ応答が権威の有る応答であると判定された場合に、鍵情報リスト123内の鍵情報およびDNSSEC(DNS Security Extension)などの方式を用いて、DNS権威サーバ装置10からのDNSクエリ応答が改竄されているか否かを判定する。
判定の結果、DNS権威サーバ装置10からのDNSクエリ応答が改竄されていない場合には、改竄検証部145は、DNSクエリ応答の内容をキャッシュする。一方、判定の結果、DNS権威サーバ装置10からのDNSクエリ応答が改竄されている場合には、改竄検証部145は、DNSクエリ応答の内容をキャッシュせず、エラーを示す旨のクエリ応答を送信するように応答送信部143に指示する。
ビット設定部142は、DNS権威サーバ装置10からのDNSクエリ応答が改竄されていないものと改竄判定部145により判定された場合には、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示すビット「AA−bit=ON(1)」を設定する。一方、DNS権威サーバ装置10からのDNSクエリ応答が改竄されているものと改竄判定部145により判定された場合には、DNSクエリ応答のヘッダ部に設けられた所定のフィールドに、権威の無い応答であることを示すビット「AA−bit=OFF(0)」を設定する。
[実施例3の処理]
続いて、図9および図10を用いて、実施例2の処理の流れを説明する。図9および図10は、実施例3に係る処理の流れを示す図である。
まず、図9を参照しつつ、DNS権威サーバ装置からのDNSクエリ応答が改竄されていない(DNSSEC検証OK)場合の処理の流れを説明する。同図に示すように、DNSクライアント装置30は、DNS回送サーバ装置200に対してDNSクエリ要求を送信する(ステップS01)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS02)、DNSクエリ要求をDNSフォワーダ装置100に転送する(ステップS03)。
DNSフォワーダ装置100は、DNS回送サーバ装置200からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS04)、DNS権威サーバ装置10にDNSクエリ要求を転送する(ステップS05)。
DNS権威サーバ装置10は、DNSフォワーダ装置100からDNSクエリ要求を受信すると、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置100に送信する(ステップS06)。
DNSフォワーダ装置100は、DNS権威サーバ装置10からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として判断する。
DNSフォワーダ装置100は、DNS権威サーバ装置10からのDNSクエリ応答が権威ある応答であると判断した場合には、続いて、DNS権威サーバ装置10からのDNSクエリ応答が改竄されているか否かを判定する。判定の結果、DNS権威サーバ装置10からのDNSクエリ応答が改竄されていない場合には、DNSフォワーダ装置100は、DNSクエリ応答の内容をキャッシュして、「AA−bit=ON(1)」に設定する(ステップS07)。そして、DNSフォワーダ装置100は、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS08)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のビット判定を行い、「AA−bit=ON(1)」が設定されている場合には、権威の有る応答として、DNSクエリ応答の内容をキャッシュする(ステップS09)。そして、DNS回送サーバ装置200は、「AA−bit=OFF(0)」に設定し、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置30に送信する(ステップS10)。
なお、上記ステップS01〜10の完了後、再び、同一の問合せ内容を有するDNSクエリ要求がDNSクライアント装置30から送信された場合のステップS11〜13の処理は、図3に示すステップS12〜14の処理と同様であるので説明は省略する。
次に、図10を参照しつつ、DNS権威サーバ装置からのDNSクエリ応答が改竄されている(DNSSEC検証NG)場合の処理の流れを説明する。同図に示すように、DNSクライアント装置30は、DNSキャッシュサーバ装置20に対してDNSクエリ要求を送信する(ステップS01)。
DNS回送サーバ装置200は、DNSクライアント装置30からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS02)、DNSクエリ要求をDNSフォワーダ装置100に転送する(ステップS03)。
DNSフォワーダ装置100は、DNS回送サーバ装置200からDNSクエリ要求を受信すると、対応するキャッシュデータの検索を行い、キャッシュヒットしない場合には(ステップS04)、DNS権威サーバ装置10にDNSクエリ要求を転送する(ステップS05)。
DNS権威サーバ装置10は、DNSフォワーダ装置100からDNSクエリ要求を受信すると、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置100に送信する(ステップS06)。
DNSフォワーダ装置100は、DNS権威サーバ装置10からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として判断する。
DNSフォワーダ装置100は、DNS権威サーバ装置10からのDNSクエリ応答が権威ある応答であると判断した場合には、続いて、DNS権威サーバ装置10からのDNSクエリ応答が改竄されているか否かを判定する。判定の結果、DNS権威サーバ装置10からのDNSクエリ応答が改竄されている場合には、DNSフォワーダ装置100は、DNSクエリ応答の内容をキャッシュせずに、「AA−bit=OFF(0)」に設定する(ステップS07)。そして、DNSフォワーダ装置100は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS08)。
DNS回送サーバ装置200は、DNSフォワーダ装置100からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のビット判定を行い、「AA−bit=OFF(0)」が設定されている場合には、権威の無い応答として、DNSクエリ応答の内容をキャッシュしない(ステップS09)。そして、DNS回送サーバ装置200は、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置30に転送する(ステップS10)。
なお、上記ステップS01〜11の完了後、再び、同一の問合せ内容を有するDNSクエリ要求がDNSクライアント装置30から送信された場合のステップS11〜12までに至る処理は、図10に示すステップS02〜09の処理と同様であるので説明は省略する。
また、権威ある応答であるか否かの判定手順、および改竄の検証手順を行う順序は、図9および図10に示す順序に限られず、任意に変更することができる。
上述してきたように、実施例3によれば、DNS権威サーバ装置10からのDNSクエリ応答が改竄されていない場合に、DNSフォワーダ装置100は、DNSクエリ応答の内容をキャッシュするとともに、DNS回送サーバ装置200にキャッシュさせるようにする。このようなことから、DNSキャッシュのポイゾニング攻撃に遭うことを防止できる。
また、上記の実施例2で説明した信頼できる回送サーバの判定、および上記の実施例3で説明したDNSクエリ応答の改竄の検証の双方を実行するようにしてもよい。
以下、本発明にかかるDNS応答制御装置、DNS応答制御システム、DNS応答制御方法およびDNS応答制御プログラムの他の実施形態として実施例4を説明する。
(1)装置構成等
図1、図4および図8に示したDNSフォワーダ装置100の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要せず、DNSフォワーダ装置100の分散・統合の具体的形態は図示のものに限られない。
例えば、図1に示す応答判定部141、ビット設定部142および応答送信部143を機能的または物理的に分散・統合して構成する。また、図4に示す応答判定部141と信頼判定部144とを機能的または物理的に分散・統合して構成する。また、図8に示す応答判定部141と改竄判定部145とを機能的または物理的に分散・統合して構成する。
このように、DNS応答制御装置200の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、DNS応答制御装置200にて行なわれる各処理機能(図3、6、7、9および10等参照)は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(2)DNS応答制御プログラム
また、上記の実施例1で説明したDNSフォワーダ装置100の各種の処理(図3、6、7、9および10等参照)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。
そこで、以下では、図11を用いて、上記の実施例で説明したDNSフォワーダ装置の機能と同様の機能を実現するDNS応答制御プログラムを実行するコンピュータの一例を説明する。図11は、DNS応答制御プログラムを実行するコンピュータを示す図である。
同図に示すように、DNSフォワーダ装置100としてコンピュータ300は、通信制御部310、HDD320、RAM330およびCPU340をバス400で接続して構成される。
ここで、通信制御部310は、各種情報のやり取りに関する通信を制御する。HDD320は、CPU340による各種処理の実行に必要な情報を記憶する。RAM330は、各種情報を一時的に記憶する。CPU340は、各種演算処理を実行する。
そして、HDD320には、図11に示すように、上記の実施例に示したDNSフォワーダ装置100の各処理部と同様の機能を発揮するDNS応答制御プログラム321と、DNS応答制御用データ322とがあらかじめ記憶されている。なお、このDNS応答制御プログラム321を適宜分散させて、ネットワークを介して通信可能に接続された他のコンピュータの記憶部に記憶させておくこともできる。
そして、CPU340が、このDNS応答制御プログラム321をHDD320から読み出してRAM330に展開することにより、図11に示すように、DNS応答制御プログラム321はDNS応答制御プロセス331として機能するようになる。すなわち、DNS応答制御プロセス331は、DNS応答制御用データ322等をHDD320から読み出して、RAM330において自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種処理を実行する。
なお、DNS応答制御プロセス331は、例えば、図1、図4および図8に示したDNSフォワーダ装置100の制御部140(応答判定部141、ビット設定部142、応答送信部143、信頼判定部144および改竄判定部145)において実行される処理に対応する。
なお、上記したDNS応答制御プログラム321については、必ずしも最初からHDD320に記憶させておく必要はなく、例えば、コンピュータ300に設定されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ300に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ300がこれらから各プログラムを読み出して実行するようにしてもよい。
(3)DNS応答制御方法
上記の実施例で説明したDNSフォワーダ装置100により、例えば、以下のようなDNS応答制御方法が実現される。
すなわち、DNSクライアントからのDNSクエリ要求をDNS回送サーバから受信して、受信したDNSクエリ要求を名前解決できる場合には、DNSクエリ応答をDNS回送サーバに返送し、DNSクエリ要求を名前解決できない場合には、DNS権威サーバから取得したDNSクエリ応答をDNS回送サーバに返送するDNS応答制御方法であって、DNS権威サーバからDNSクエリ応答を受信した場合に、受信したDNSクエリ応答のヘッダ部に設けられた権威のある応答であることを示す情報に基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する応答判定ステップと(例えば、図3のステップS07参照)、DNS権威サーバから受信したDNSクエリ応答が権威の有る応答であると応答判定ステップにより判定されることを条件に、DNSクエリ応答の内容をキャッシュするとともに、ヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示す情報を設定する情報設定ステップと(例えば、図3のステップS08参照)、権威の有る応答であることを示す情報が情報設定ステップによって設定されたDNSクエリ応答をDNS回送サーバに送信する応答送信ステップと(例えば、図3のステップS09参照)、を含んだDNS応答制御方法が実現される。
以上のように、本発明にかかるDNS応答制御装置、DNS応答制御システム、DNS応答制御方法およびDNS応答制御プログラムは、DNSクライアント装置からのDNSクエリ要求を名前解決する場合に有用であり、特に、セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合に要するシステムの負荷を軽減することに適している。
1 外部NW
2 内部NW
10 DNS権威サーバ装置
20 DNSキャッシュサーバ装置
30 DNSクライアント装置
100 DNSフォワーダ装置
110 通信制御I/F部
120 記憶部
121 ルートネームサーバリスト
122 信頼情報付DNS回送サーバリスト
123 鍵情報リスト
130 キャッシュデータ部
131 キャッシュDB
140 制御部
141 応答判定部
142 ビット設定部
143 応答送信部
144 信頼判定部
145 改竄判定部
200 DNS回送サーバ装置
300 コンピュータ
310 通信制御部
320 HDD(Hard Disk Drive)
321 DNS応答制御プログラム
322 DNS応答制御用データ
330 RAM(Random Access Memory)
331 DNS応答制御プロセス
340 CPU(Central Processing Unit)
400 バス

Claims (10)

  1. DNSクライアントからのDNSクエリ要求をDNS回送サーバ経由で受信して、受信したDNSクエリ要求を名前解決できる場合には、DNSクエリ応答をDNS回送サーバに返送し、DNSクエリ要求を名前解決できない場合には、DNS権威サーバから取得したDNSクエリ応答をDNS回送サーバに返送するDNS応答制御装置であって、
    前記DNS権威サーバからDNSクエリ応答を受信した場合に、受信したDNSクエリ応答のヘッダ部に設けられた権威のある応答であることを示す情報に基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する応答判定手段と、
    前記DNS権威サーバから受信したDNSクエリ応答が権威の有る応答であると前記応答判定手段により判定されることを条件に、DNSクエリ応答の内容をキャッシュするとともに、前記ヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示す情報を設定する情報設定手段と、
    権威の有る応答であることを示す情報が前記情報設定手段によって設定されたDNSクエリ応答を前記DNS回送サーバに送信する応答送信手段と
    を有することを特徴とするDNS応答制御装置。
  2. 信頼できるDNS回送サーバの情報を予め記憶するサーバ情報記憶部と、
    前記サーバ情報記憶部に記憶されている信頼できるDNS回送サーバの情報を参照して、前記DNSクエリ要求の送信元が信頼できるDNS回送サーバであるか否かを判定する回送サーバ信頼性判定手段と
    をさらに有し、
    前記情報設定手段は、さらに、前記DNSクエリ要求の送信元が信頼できるDNS回送サーバであると前記回送サーバ信頼性判定手段により判定されることを条件に、権威の有る応答であることを示す情報を設定することを特徴とする請求項1に記載のDNS応答制御装置。
  3. 前記DNS権威サーバから受信したDNSクエリ応答が改竄されているか否かを検証する改竄検証手段をさらに有し、
    前記情報設定手段は、さらに、前記DNS権威サーバから受信したDNSクエリ応答が改竄されていないものと前記改竄検証手段により検証されることを条件に、権威の有る応答であることを示す情報を設定することを特徴とする請求項1または2に記載のDNS応答制御装置。
  4. DNSクライアントからDNSクエリ要求を受信してDNSフォワーダに転送するDNS回送サーバと、DNS回送サーバから受信したDNSクエリ要求を名前解決できる場合には、DNSクエリ応答をDNS回送サーバに送信し、DNSクエリ要求を名前解決できない場合には、DNS権威サーバから受信したDNSクエリ応答をDNS回送サーバに送信するDNS応答制御装置とを有するDNS応答制御システムであって、
    前記DNS応答制御装置は、
    前記DNS権威サーバからDNSクエリ応答を受信した場合に、受信したDNSクエリ応答のヘッダ部に設けられた権威のある応答であることを示す情報に基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する応答判定手段と、
    前記DNS権威サーバから受信したDNSクエリ応答が権威の有る応答であると前記応答判定手段により判定されることを条件に、DNSクエリ応答の内容をキャッシュするとともに、前記ヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示す情報を設定する情報設定手段と、
    権威の有る応答であることを示す情報が前記情報設定手段によって設定されたDNSクエリ応答を前記DNS回送サーバに送信する応答送信手段と
    を有し、
    前記DNS回送サーバは、
    前記DNSフォワーダから受信したDNSクエリ応答を受信した場合に、受信したDNSクエリ応答のヘッダ部に設けられた権威のある応答であることを示す情報に基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する応答判定手段と、
    前記DNS権威サーバから受信したDNSクエリ応答が権威の有る応答であると前記応答判定手段により判定されることを条件に、DNSクエリ応答の内容をキャッシュするとともに、前記ヘッダ部に設けられた所定のフィールドに、権威の無い応答であることを示す情報を設定する情報設定手段と、
    権威の無い応答であることを示す情報が前記情報設定手段によって設定されたDNSクエリ応答を前記DNSクライアントに送信する応答送信手段と
    を有することを特徴とするDNS応答制御システム。
  5. 前記DNS応答制御装置は、
    信頼できるDNS回送サーバの情報を予め記憶するサーバ情報記憶部と、
    前記サーバ情報記憶部に記憶されている信頼できるDNS回送サーバの情報を参照して、前記DNSクエリ要求の送信元が信頼できるDNS回送サーバであるか否かを判定する回送サーバ信頼性判定手段と
    をさらに有し、
    前記情報設定手段は、さらに、前記DNSクエリ要求の送信元が信頼できるDNS回送サーバであると前記回送サーバ信頼性判定手段により判定されることを条件に、権威の有る応答であることを示す情報を設定することを特徴とする請求項4に記載のDNS応答制御システム。
  6. 前記DNS応答制御装置は、
    前記DNS権威サーバから受信したDNSクエリ応答が改竄されているか否かを検証する改竄検証手段をさらに有し、
    前記情報設定手段は、さらに、前記DNS権威サーバから受信したDNSクエリ応答が改竄されていないものと前記改竄検証手段により検証されることを条件に、権威の有る応答であることを示す情報を設定することを特徴とする請求項4または5に記載のDNS応答制御システム。
  7. DNSクライアントからのDNSクエリ要求をDNS回送サーバから受信して、受信したDNSクエリ要求を名前解決できる場合には、DNSクエリ応答をDNS回送サーバに返送し、DNSクエリ要求を名前解決できない場合には、DNS権威サーバから取得したDNSクエリ応答をDNS回送サーバに返送するDNS応答制御方法であって、
    前記DNS権威サーバからDNSクエリ応答を受信した場合に、受信したDNSクエリ応答のヘッダ部に設けられた権威のある応答であることを示す情報に基づいて、DNSクエリ応答が権威の有る応答であるか否かを判定する応答判定ステップと、
    前記DNS権威サーバから受信したDNSクエリ応答が権威の有る応答であると前記応答判定ステップにより判定されることを条件に、DNSクエリ応答の内容をキャッシュするとともに、前記ヘッダ部に設けられた所定のフィールドに、権威の有る応答であることを示す情報を設定する情報設定ステップと、
    権威の有る応答であることを示す情報が前記情報設定ステップによって設定されたDNSクエリ応答を前記DNS回送サーバに送信する応答送信ステップと
    を含んだことを特徴とするDNS応答制御方法。
  8. 信頼できるDNS回送サーバの情報を予め記憶するサーバ情報記憶部から、信頼できるDNS回送サーバの情報を取得して、前記DNSクエリ要求の送信元が信頼できるDNS回送サーバであるか否かを判定する回送サーバ信頼性判定ステップをさらに含み、
    前記情報設定ステップは、前記DNSクエリ要求の送信元が信頼できるDNS回送サーバであると前記回送サーバ信頼性判定ステップにより判定されることを条件に、権威の有る応答であることを示す情報を設定することを特徴とする請求項7に記載のDNS応答制御方法。
  9. 前記DNS権威サーバから受信したDNSクエリ応答が改竄されているか否かを検証する改竄検証ステップをさらに含み、
    前記情報設定ステップは、前記DNS権威サーバから受信したDNSクエリ応答が改竄されていないものと前記改竄検証ステップにより検証されることを条件に、権威の有る応答であることを示す情報を設定することを特徴とする請求項7または8に記載のDNS応答制御方法。
  10. 請求項7〜9のいずれか一つに記載の方法に対応する処理をコンピュータに実行させることを特徴とするDNS応答制御プログラム。
JP2009119250A 2009-05-15 2009-05-15 Dns応答制御装置、dns応答制御システム、dns応答制御方法およびdns応答制御プログラム Active JP5095675B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009119250A JP5095675B2 (ja) 2009-05-15 2009-05-15 Dns応答制御装置、dns応答制御システム、dns応答制御方法およびdns応答制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009119250A JP5095675B2 (ja) 2009-05-15 2009-05-15 Dns応答制御装置、dns応答制御システム、dns応答制御方法およびdns応答制御プログラム

Publications (2)

Publication Number Publication Date
JP2010268316A true JP2010268316A (ja) 2010-11-25
JP5095675B2 JP5095675B2 (ja) 2012-12-12

Family

ID=43364914

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009119250A Active JP5095675B2 (ja) 2009-05-15 2009-05-15 Dns応答制御装置、dns応答制御システム、dns応答制御方法およびdns応答制御プログラム

Country Status (1)

Country Link
JP (1) JP5095675B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8553297B2 (en) 2010-12-06 2013-10-08 Seiko Epson Corporation Driving apparatus
JP2014042106A (ja) * 2012-08-21 2014-03-06 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバクライアントシステム及びdnsクエリ応答制御方法
JP2014212480A (ja) * 2013-04-19 2014-11-13 Necプラットフォームズ株式会社 キャッシュ機能を有するプロキシdnsサーバ及びdnsクエリ応答方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243356A (ja) * 2006-03-06 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
JP2007251631A (ja) * 2006-03-16 2007-09-27 Nippon Telegr & Teleph Corp <Ntt> 再帰問合わせを高度化するためのキャッシュサーバ装置、キャッシュ制御方法およびキャッシュサーバ装置用プログラム
JP2009076971A (ja) * 2007-09-18 2009-04-09 Nippon Telegr & Teleph Corp <Ntt> Dns連携システムおよびdns連携方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243356A (ja) * 2006-03-06 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
JP2007251631A (ja) * 2006-03-16 2007-09-27 Nippon Telegr & Teleph Corp <Ntt> 再帰問合わせを高度化するためのキャッシュサーバ装置、キャッシュ制御方法およびキャッシュサーバ装置用プログラム
JP2009076971A (ja) * 2007-09-18 2009-04-09 Nippon Telegr & Teleph Corp <Ntt> Dns連携システムおよびdns連携方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8553297B2 (en) 2010-12-06 2013-10-08 Seiko Epson Corporation Driving apparatus
JP2014042106A (ja) * 2012-08-21 2014-03-06 Nippon Telegr & Teleph Corp <Ntt> Dnsサーバクライアントシステム及びdnsクエリ応答制御方法
JP2014212480A (ja) * 2013-04-19 2014-11-13 Necプラットフォームズ株式会社 キャッシュ機能を有するプロキシdnsサーバ及びdnsクエリ応答方法

Also Published As

Publication number Publication date
JP5095675B2 (ja) 2012-12-12

Similar Documents

Publication Publication Date Title
JP4287456B2 (ja) サービス不能攻撃を防止するサーバ装置、方法およびプログラム
US8438614B2 (en) Communication system, relay apparatus, terminal apparatus and computer readable medium
JP4730118B2 (ja) ドメインネームシステム
US11128476B2 (en) DNS provider configuring a registry DNSSEC record
TWI652585B (zh) 遠端查詢訊息的方法及伺服器
US10305934B2 (en) Identity based domain name system (DNS) caching with security as a service (SecaaS)
WO2018233312A1 (zh) 一种dns防攻击方法、设备和系统
JP2008205988A (ja) データ通信システムおよびセッション管理サーバ
JP2008160814A (ja) 負荷分散装置、ホームエージェント及びモバイルip端末
JP2008252879A (ja) ユーザを認証する方法、ユーザ端末を認証する装置、及びユーザ端末を認証する認証サーバ
JP4592789B2 (ja) 通信制御装置、通信制御方法および通信制御処理プログラム
CN109819068A (zh) 用户终端及其区块链域名解析方法
JP5095675B2 (ja) Dns応答制御装置、dns応答制御システム、dns応答制御方法およびdns応答制御プログラム
JP2011049745A (ja) Dnsキャッシュ・ポイズニング攻撃を防御する装置
WO2000000904A1 (en) Method and apparatus for providing a connect-on-demand server in a data processing network
JP2009230662A (ja) ウェブサイト判定装置及びウェブサイト判定プログラム
JP4223045B2 (ja) Dnsサーバ装置、要求電文処理方法および要求電文処理プログラム
JP6249015B2 (ja) 受信装置、受信装置制御方法、受信装置制御プログラム、ネットワークシステム、ネットワークシステム制御方法、及びネットワークシステム制御プログラム
JP5180146B2 (ja) Dnsメッセージ回送装置、dnsメッセージ回送システム、dnsメッセージ回送方法およびdnsメッセージ回送プログラム
JP2003204350A (ja) 負荷分散装置、ホームエージェント及びモバイルip端末
JP2007258986A (ja) 通信装置、通信方法および通信プログラム
JP5846652B2 (ja) キャッシュ機能を有するプロキシdnsサーバ及びdnsクエリ応答方法
JP5438047B2 (ja) 判定方法、名前解決装置及び判定装置
JP6058503B2 (ja) 名前解決システム及びキャッシュ制御方法
JP2011176468A (ja) 名前解決装置、名前解決方法および名前解決プログラム

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110922

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120907

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120918

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120919

R150 Certificate of patent or registration of utility model

Ref document number: 5095675

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150928

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350