JP2013517726A - Dnsキャッシュポイズニングを防止するための方法およびシステム - Google Patents
Dnsキャッシュポイズニングを防止するための方法およびシステム Download PDFInfo
- Publication number
- JP2013517726A JP2013517726A JP2012549338A JP2012549338A JP2013517726A JP 2013517726 A JP2013517726 A JP 2013517726A JP 2012549338 A JP2012549338 A JP 2012549338A JP 2012549338 A JP2012549338 A JP 2012549338A JP 2013517726 A JP2013517726 A JP 2013517726A
- Authority
- JP
- Japan
- Prior art keywords
- dns
- cache
- query
- response
- caches
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/58—Caching of addresses or names
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/145—Detection or countermeasures against cache poisoning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
いくつかのDNSキャッシュ5_1、5_i、5_nを含むコンピュータネットワークB内の少なくとも1つのDNSキャッシュ5_iのポイズニングを防止するための方法であって、2つの異なるDNSキャッシュによって戻された、DNSクエリに対する少なくとも2つのDNS応答を比較するステップを含む方法。
Description
本発明は、ドメイン名システムに関するセキュリティ技術に関する。
以下、「ドメイン名システム」または(ドメイン名システムに関する)「DNSサーバ」は、ドメイン名(すなわち、ホスト名)とIPアドレスとの間の対応を確立することを可能にするか、または、より一般的には、ドメイン名またはIPアドレスを使用して情報を見出すことを可能にする任意のシステムを意味する。
加えて、「DNSクエリ」は、ドメイン名またはIPアドレスの解決を要求するメッセージを意味する。DNSクエリに対する応答は、この場合、「DNS応答」と呼ばれる。詳細には、DNS応答は、ドメイン名、IPアドレス、エラーメッセージ、またはエラーコードを含むことが可能である。DNSクエリの解決は、例えば、ウェブブラウジング、電子メール、またはVPN接続など、コンピュータネットワークを介してDNSプロトコルを使用する任意のアプリケーションに関する点に留意されたい。
多数のドメイン名(または、同等に、IPアドレス)のため、DNSサーバは、実際には、データの限定されたセットを表すことだけができる。したがって、DNSサーバは、すべてのドメイン名を解決することができない。そうするために、分散型DNSサーバシステムが通常優れており、このシステムでは、それぞれのDNSサーバが、当該サーバが応答を有さないDNSクエリを受信したとき、それぞれのDNSサーバは、
− そのDNSサーバに見返りとして応答を提供するために、このクエリを1つもしくは複数の他のDNSサーバに中継する(再帰的方法)か、または
− このDNSクエリに応答することを次いで請求される別のDNSサーバを指定する(反復的方法)。
− そのDNSサーバに見返りとして応答を提供するために、このクエリを1つもしくは複数の他のDNSサーバに中継する(再帰的方法)か、または
− このDNSクエリに応答することを次いで請求される別のDNSサーバを指定する(反復的方法)。
将来のDNSクエリに関する応答時間を最適化するため、ならびに分散型システムにおける特定のDNSサーバのオーバロードを防止するために、大部分のDNSサーバは、DNSキャッシュとしても機能する。すなわち、DNSサーバは、このプロセスを後で再び実行しないように、DNSサーバ管理者によって事前に定義されたTTL(有効期間)の間、DNSクエリに関して取得された応答をメモリ内に保持する。
しかし、このDNSキャッシュは、DNSキャッシュポイズニングとして一般に知られている攻撃に対して脆弱である(DNS 2008 and the new (old)nature of critical infrastructure、Dan Kaminsky、Mexico、2009)。この攻撃は、パブリックマシン(public machine)の有効(実際の)ドメイン名(例えば、www.google.com)とDNSキャッシュ内に格納されることになる虚偽の情報(例えば、無効IPアドレスまたは虚偽のDNS応答)との間に対応を生み出すことを目的とする。
あるドメインに関するDNSクエリに対する虚偽のDNS応答がDNSキャッシュ内に一度格納されると、次いで、その応答は自動的に、TTLの間、同じドメインに関する後のDNSクエリに対する応答になる。したがって、このDNSキャッシュのすべてのユーザは攻撃に対して脆弱である。
詳細には、DNSキャッシュポイズニングは、ユーザをそのコンテンツが悪意(例えば、ウィルス増殖、個人データを取得するためのフィッシング、またはあるサイトを別の競合するサイトもしくは存在しないサイトに宛先変更することによるプロパガンダ)を有する可能性があるサイトに宛先変更することを可能にする。
DNS 2008 and the new (old)nature of critical infrastructure、Dan Kaminsky、Mexico、2009
本発明の1つの目的は、前述の欠点を是正することである。
本発明の別の目的は、多くのDNSキャッシュを有するコンピュータネットワークに属しているDNSキャッシュのポイズニングを防止することである。
本発明の別の目的は、システムに最小量の修正を加えることによってDNSキャッシュポイズニング攻撃を防止するための方法を用いて、分散型DNSキャッシュシステムを提供することである。
本発明の別の目的は、DNSキャッシュによって使用されるDNSプロトコルと互換性があるDNSキャッシュに対するポイズニング攻撃を防止するための方法およびシステムを提案することである。
本発明の別の目的は、DNSキャッシュポイズニング攻撃を防止するための自律的システムを提案することである。
本発明の別の目的は、インターネットサービスプロバイダネットワーク内のDNS解決の整合性を改善することである。
本発明の別の目的は、大部分のインターネットサービスプロバイダ(ISP)ネットワークと互換性のあるDNSキャッシュポイズニング攻撃を防止するための方法を提案することである。
本発明の別の目的は、コンピュータネットワーク内のDNSキャッシュポイズニング攻撃に対する対抗措置を提案することである。
本発明の別の目的は、インターネットサービスプロバイダのネットワークに接続されたユーザに提供されるコンピュータセキュリティを改善することである。
このために、本発明は、第1の態様によれば、いくつかのDNSキャッシュを含むコンピュータネットワーク内の少なくとも1つのDNSキャッシュのポイズニングを防止するための方法であって、2つの異なるDNSキャッシュから戻された、DNSクエリに対する少なくとも2つのDNS応答を比較するステップを含む方法を提案する。
第2の態様によれば、本発明は、いくつかのDNSキャッシュを含むコンピュータネットワーク内の少なくとも1つのDNSキャッシュのポイズニングを防止するためのシステムであって、2つの異なるDNSキャッシュによって戻された、DNSクエリに対する少なくとも2つのDNS応答の解析器を備えたシステムに関する。
有利には、このシステムは、DNSクエリが関連するサービスを識別することを可能にする、DNSクエリに関する情報のデータベースを備えたDNSクエリ解析器も備える。
本発明のその他の特徴および利点は、一実施形態のモジュール同士の間の相互作用をグラフで例示する図1が参照される、好ましい実施形態の以下の説明を読んだ後に、より明瞭かつより具体的に理解されよう。
ISPネットワークBは、一般に、ネットワークBに接続されたクライアントAに属している少なくとも1つのDNSレゾルバ1から発行されたDNSクエリに応答する任務を負う、いくつかのDNSキャッシュ5_1、5_2、...、5_n(n>1)を備える。DNSレゾルバ1は、一般に、ネットワークBに送信されることになるDNSクエリを形成して、DNSレゾルバ1に戻されたDNS応答を解釈するクライアントプログラムである。
DNSキャッシュ5_1、5_2、...、5_n内で利用可能な情報に基づいてDNSクエリに応答することができない場合、DNS応答は、ネームサーバオペレータCに属しているDNSルートサーバ9から請求される。
DNS応答は、一般に、この応答をそのDNSクエリが発生したDNSレゾルバ1に中継する任務を負うネットワークB上でDNSレスポンダ10に通信される。
DNSキャッシュ管理システム3は、DNSキャッシュ5_1、5_2、...、5_nの同時制御または個々の制御を可能にする。例えば、管理システム3は、それぞれのDNSキャッシュに関するTTLを修正すること、またはDNSキャッシュを動作可能/動作不可能にすることを可能にする。
DNSキャッシュ5_1、5_2、...、5_nに対するポイズニング攻撃は、いくつかのDNSキャッシュ、詳細には、1つがインターネットサービスプロバイダ(ISP)に属しているDNSキャッシュを備えた任意のコンピュータネットワークBに適応され得る機能モジュールを使用することによって防止される。
詳細には、これらのモジュールは、
− DNSレゾルバ1から送信されたDNSクエリをどのように処理するかを決定するDNSクエリ解析器2と、
− いくつかのDNSキャッシュにサービス提供するDNSクエリデコンセントレータ6(deconcentrator)と、
− いくつかのDNSキャッシュから取得されたDNS応答の比較器7と、
− いくつかのDNSキャッシュから取得されたDNS応答の解析器8と、
− DNSキャッシュ5_1、...、5_nに関するポイズニング攻撃防止システムを支援する、いくつかの拡張可能な情報データベースとを備える。
− DNSレゾルバ1から送信されたDNSクエリをどのように処理するかを決定するDNSクエリ解析器2と、
− いくつかのDNSキャッシュにサービス提供するDNSクエリデコンセントレータ6(deconcentrator)と、
− いくつかのDNSキャッシュから取得されたDNS応答の比較器7と、
− いくつかのDNSキャッシュから取得されたDNS応答の解析器8と、
− DNSキャッシュ5_1、...、5_nに関するポイズニング攻撃防止システムを支援する、いくつかの拡張可能な情報データベースとを備える。
DNSクエリ解析器2がDNSレゾルバ1から発行されたDNSクエリを受信するとき(図1上のリンク12)、DNSクエリ解析器2は、このDNSクエリを解決するためにどの処理を実行するかを決定する。この決定は、以下から取り出された情報に基づいて行われる:すなわち、
− DNSクエリが関連する、サービス(例えば、ブラウジング、電子メール、ストリーミング、電子商取引、およびeラーニング)ならびに/またはプロトコル(例えば、HTTP、HTTPS、POP3、FTP、もしくはSMTP)など、DNSクエリに関する情報を伴うデータベース4、
− 無効DNS応答のデータベース11、および
− ネットワークBの管理者によって構成され得るDNSキャッシュ5_1、5_2、...、5_nに関する管理システム3である。
− DNSクエリが関連する、サービス(例えば、ブラウジング、電子メール、ストリーミング、電子商取引、およびeラーニング)ならびに/またはプロトコル(例えば、HTTP、HTTPS、POP3、FTP、もしくはSMTP)など、DNSクエリに関する情報を伴うデータベース4、
− 無効DNS応答のデータベース11、および
− ネットワークBの管理者によって構成され得るDNSキャッシュ5_1、5_2、...、5_nに関する管理システム3である。
DNSクエリに関する情報のデータベース4は、このDNSクエリが関連するサービスを識別するために、DNSクエリのコンテンツ(詳細には、ドメイン名、例えば、ebay.comまたはgoogle.com、およびトランスポートプロトコル、例えば、HTTP、HTTPS、またはSMTP)を使用する。例えば、DNSクエリが、
ドメイン名「ebay.com」を含む場合、情報データベース4は、このドメイン名を識別して、それを電子商取引サービスと関連付ける、
ドメイン名「home.americanexpress.com」を含む場合、情報データベースは、このドメイン名を識別して、それを電子銀行業務サービスと関連付ける、
SMTPプロトコルを含む場合、情報データベースはこのクエリを電子メールアプリケーションと関連付ける。
ドメイン名「ebay.com」を含む場合、情報データベース4は、このドメイン名を識別して、それを電子商取引サービスと関連付ける、
ドメイン名「home.americanexpress.com」を含む場合、情報データベースは、このドメイン名を識別して、それを電子銀行業務サービスと関連付ける、
SMTPプロトコルを含む場合、情報データベースはこのクエリを電子メールアプリケーションと関連付ける。
情報データベース4のコンテンツは、予め手動で確立されることが可能であり、かつ/または受信されたDNSクエリ内に含まれた情報を用いて、自動的に改善されることが可能である(自動学習)。情報データベース4は、これにより、ネットワークBの管理者によって決定的に重要と思われるDNSクエリ(例えば、電子商取引/電子銀行業務サービスまたは電子メールシステム)を区別することを可能にする。
一実施形態では、DNSクエリ解析器2は、情報データベース4によって識別されたサービスに基づいて、重要性のレベル(例えば、「決定的に重要」、「重要」、「並」、または1から10の間の数)によって、それぞれのDNSクエリをラベル付する。
DNSクエリを解決するために実行されることになる処理の選択は、例えば、以下に基づいて、DNSキャッシュ管理システム3からプログラムされ得る点に留意されたい。すなわち、
− 時間:ピーク時であるか否か、
− DNSキャッシュの利用可能性:保守、オーバラン、
− DNSクエリのソース:異なるタイプの加入を有するクライアント、
− DNSクエリが関連するサービス、例えば、電子商取引、電子銀行業務、電子メール、またはVPN、である。
− 時間:ピーク時であるか否か、
− DNSキャッシュの利用可能性:保守、オーバラン、
− DNSクエリのソース:異なるタイプの加入を有するクライアント、
− DNSクエリが関連するサービス、例えば、電子商取引、電子銀行業務、電子メール、またはVPN、である。
一実施形態では、DNSクエリを解決するために、3つの可能な処理モードが区別され得る:
− DNSクエリが単一のDNSキャッシュに送信される(例えば、図1に示される、DNSキャッシュ5_1:リンク25)、
− DNSクエリがDNSクエリデコンセントレータ6に送信される(図1のリンク26)、または
− DNSクエリがDNSルートサーバ9に直接送信される(図1のリンク29)。
− DNSクエリが単一のDNSキャッシュに送信される(例えば、図1に示される、DNSキャッシュ5_1:リンク25)、
− DNSクエリがDNSクエリデコンセントレータ6に送信される(図1のリンク26)、または
− DNSクエリがDNSルートサーバ9に直接送信される(図1のリンク29)。
DNS応答は、以下のようにネットワークBから取得され得る点に留意されたい。
− 再帰的:DNSクエリの受信時に、DNSサーバは、このクエリに関してそのローカルDNSキャッシュ5_j(1≦j≦n)(例えば、図1に示されるDNSキャッシュ5_1)に問い合わせる。そのキャッシュがこのクエリに対する応答をローカルに有する場合、この応答はDNS応答モジュール10に送信される(図1のリンク51)。そうでない場合、DNSサーバは、レゾルバの役割を担い、要求された情報を有する可能性がより高い別のDNSサーバ(すなわち、それが要求された情報を有する確率が十分に高いDNSサーバ)にDNSクエリを送信する。いずれのDNSサーバもその応答を有さない場合、そのクエリは、そこからDNS応答のコピー(図1のリンク95)がTTLの間、DNSキャッシュ内に格納されることになるDNSルートサーバ9に最終的に送信される(図1のリンク59)、または
− 反復的:DNSキャッシュがDNSクエリに対するローカルな応答を有さない場合、そのDNSキャッシュは、要求された情報を有する可能性がより高い別のDNSサーバにそのクエリを直接送信するようDNSレゾルバ1に要求する。いずれのDNSサーバもその応答を有さない場合、そのクエリは、最終的にDNSルートサーバ9に送信される(図1のリンク29)。DNSルートサーバ9によって戻されたDNS応答は、DNSレスポンダ10に通信される(図1のリンク91)。
− 再帰的:DNSクエリの受信時に、DNSサーバは、このクエリに関してそのローカルDNSキャッシュ5_j(1≦j≦n)(例えば、図1に示されるDNSキャッシュ5_1)に問い合わせる。そのキャッシュがこのクエリに対する応答をローカルに有する場合、この応答はDNS応答モジュール10に送信される(図1のリンク51)。そうでない場合、DNSサーバは、レゾルバの役割を担い、要求された情報を有する可能性がより高い別のDNSサーバ(すなわち、それが要求された情報を有する確率が十分に高いDNSサーバ)にDNSクエリを送信する。いずれのDNSサーバもその応答を有さない場合、そのクエリは、そこからDNS応答のコピー(図1のリンク95)がTTLの間、DNSキャッシュ内に格納されることになるDNSルートサーバ9に最終的に送信される(図1のリンク59)、または
− 反復的:DNSキャッシュがDNSクエリに対するローカルな応答を有さない場合、そのDNSキャッシュは、要求された情報を有する可能性がより高い別のDNSサーバにそのクエリを直接送信するようDNSレゾルバ1に要求する。いずれのDNSサーバもその応答を有さない場合、そのクエリは、最終的にDNSルートサーバ9に送信される(図1のリンク29)。DNSルートサーバ9によって戻されたDNS応答は、DNSレスポンダ10に通信される(図1のリンク91)。
別の実施形態では、DNS応答は、以下のように、いくつかのDNSキャッシュから統合された形で取得される:
− DNSクエリがDNSクエリデコンセントレータ6に到着するとすぐ、そのDNSクエリは、データベース61内に格納された配信基準に従って、DNSキャッシュのリストに送信される(図1のリンク65)。
− DNSキャッシュのリストによって取得されたDNS応答は、すべてDNS応答比較器7に送信される(図1のリンク57)。
− 取得されたDNS応答に基づいて、比較器7は、情報データベース70によって援助されて、
DNS応答をDNSレスポンダ10に送信する(図1のリンク71)、
または、取得された結果をDNS応答解析器8に送信する。
− DNS応答解析器8は、DNS応答を調査し、次いで、1つの単一のDNS応答をDNSレスポンダ10に送信する(図1のリンク81)。
− DNSクエリがDNSクエリデコンセントレータ6に到着するとすぐ、そのDNSクエリは、データベース61内に格納された配信基準に従って、DNSキャッシュのリストに送信される(図1のリンク65)。
− DNSキャッシュのリストによって取得されたDNS応答は、すべてDNS応答比較器7に送信される(図1のリンク57)。
− 取得されたDNS応答に基づいて、比較器7は、情報データベース70によって援助されて、
DNS応答をDNSレスポンダ10に送信する(図1のリンク71)、
または、取得された結果をDNS応答解析器8に送信する。
− DNS応答解析器8は、DNS応答を調査し、次いで、1つの単一のDNS応答をDNSレスポンダ10に送信する(図1のリンク81)。
デコンセントレータ6による、DNSキャッシュのリストに対するDNSクエリの配信は、データベース61から取り出された情報に基づいて実行される点に留意されたい。データベース61は、コンテンツの数、トポロジ、地理的位置、IPアドレス、サイズ、およびDNSキャッシュ5_1、...、5_nに接続されたユーザの数など、ネットワークB上のDNSキャッシュ5_1、5_2、...、5_nに関する情報を含む。
有利には、データベース61内で利用可能なデータに基づいて、デコンセントレータ6は、関連すると見なされるDNSキャッシュだけにDNSクエリを中継することが可能である。実際に、一実施形態では、デコンセントレータ6によってDNSクエリが中継されることになるDNSキャッシュのリストは、以下に基づいて選択される:
− DNSサーバの位置など、データベース61から取り出された情報。例えば、2つの空間的に遠いDNSキャッシュの同じ無効データによるポイズニングのリスクはより少ないと仮定することによって、その場合:DNSキャッシュサーバがさらに分離されればされるほど、遠隔DNSキャッシュによって戻されたDNS応答と(比較器7によって決定された)同一である、ローカルDNSキャッシュによって戻されたDNS応答が有効(正確)である可能性はより高くなる。特に、これは、コンピュータネットワークBのトポロジに依存する、および/または
− DNSクエリ解析器2によって提供された情報:例えば、DNS解析器2がDNSクエリを「決定的に重要」とマーキングした場合、好ましくは、より多くの数のDNSキャッシュが問い合わされることになる。すなわち、問い合わされることになるDNSキャッシュの数は、好ましくは、DNSクエリが関連するサービスに依存する。これは、DNS応答検証プロセスのパフォーマンスを最適化することをやはり可能にする。
− DNSサーバの位置など、データベース61から取り出された情報。例えば、2つの空間的に遠いDNSキャッシュの同じ無効データによるポイズニングのリスクはより少ないと仮定することによって、その場合:DNSキャッシュサーバがさらに分離されればされるほど、遠隔DNSキャッシュによって戻されたDNS応答と(比較器7によって決定された)同一である、ローカルDNSキャッシュによって戻されたDNS応答が有効(正確)である可能性はより高くなる。特に、これは、コンピュータネットワークBのトポロジに依存する、および/または
− DNSクエリ解析器2によって提供された情報:例えば、DNS解析器2がDNSクエリを「決定的に重要」とマーキングした場合、好ましくは、より多くの数のDNSキャッシュが問い合わされることになる。すなわち、問い合わされることになるDNSキャッシュの数は、好ましくは、DNSクエリが関連するサービスに依存する。これは、DNS応答検証プロセスのパフォーマンスを最適化することをやはり可能にする。
次いで、DNS応答比較器7は、問い合わされた(すなわち、DNSクエリデコンセントレータ6によって指定された)DNSキャッシュのリストから取得されたすべてのDNS応答を集中させて比較することを可能にする。
すべてのDNS応答が同一である場合、このDNS応答は、次いで、そのDNS応答をDNSレゾルバ1に送信することになるDNSレスポンダ10に直接送信されることになる(図1のリンク71)か、または(DNSレスポンダ10を介さずに)DNSレゾルバ1に直接送信されることになる。
いくつかのドメインは、2つ以上のIPアドレス(または、その逆、すなわち、2つ以上のドメイン名に対応する1つのIPアドレス)を有し、この場合、(既に会社、例えば、ebay(TM)、Microsoft(TM)、HSBC(TM)、またはYouTube(TM)に割り当てられている)データベース70内に格納されたIPプレフィックスに対するアクセスを有する比較器7は、同一のドメイン名を区別するためにサブネットワークのIPアドレスを比較することが可能であることに留意されたい。DNS応答がデータベース70内で識別されていないIPアドレスを含む場合、そのDNS応答は、潜在的に無効DNS応答であり得る。
2つの異なるDNSキャッシュによって戻された2つのDNS応答を比較するために、DNSの逆引き解決を使用することも可能である:DNSキャッシュ(例えば、5_1)を介して、別のDNSキャッシュ(例えば、5_2)によって戻されたIPアドレスに関連するドメイン名の逆引き解決(reverse resolution)を必要とする。2つのDNS応答同士の間の差異は、それら2つのDNSキャッシュのうちの少なくとも1つのポイズニングを証明する。
それらのDNS応答が異なる場合、それらのDNS応答は、DNS応答解析器8に送信される。DNS応答解析器8は、
− DNS応答の比率を計算する、
− その比率によってDNS応答を分類する、および
− それに応じて、以下のように動作する:
DNSレスポンダ10に送信される(図1のリンク81)ことになるか、もしくはレゾルバ1に直接送信されて、少なくとも問い合わされたDNSキャッシュによって確認される(図1のリンク85)ことになるDNS応答を保持する、または
問題が検出された場合、レゾルバ1にDNSキャッシュポイズニング攻撃について通知するか、エラーをレゾルバ1に送信するか、レゾルバ1に何も送信しないか、またはDNSキャッシュポイズニングの潜在的なリスクが存在することを示す内部警告をネットワークBの管理者に送信することをトリガする等の動作をトリガする。
− DNS応答の比率を計算する、
− その比率によってDNS応答を分類する、および
− それに応じて、以下のように動作する:
DNSレスポンダ10に送信される(図1のリンク81)ことになるか、もしくはレゾルバ1に直接送信されて、少なくとも問い合わされたDNSキャッシュによって確認される(図1のリンク85)ことになるDNS応答を保持する、または
問題が検出された場合、レゾルバ1にDNSキャッシュポイズニング攻撃について通知するか、エラーをレゾルバ1に送信するか、レゾルバ1に何も送信しないか、またはDNSキャッシュポイズニングの潜在的なリスクが存在することを示す内部警告をネットワークBの管理者に送信することをトリガする等の動作をトリガする。
有利には、DNS応答解析器8は、ネットワークBの管理者によって構成/セットアップされ得る(例えば、しきい比率、またはDNSキャッシュポイズニング問題が検出された場合にトリガされることになる動作)。
例示のための一例として、そのうちの4つが同一である5つのDNS応答が存在する場合、DNS応答解析器8は、DNSレスポンダ10に送信されることになるか、またはレゾルバ1に直接送信されることになる主応答(dominant response)の存在を推定する。
5つのDNS応答のうち3つのDNS応答だけが同一であり、他の2つのDNS応答が異なる場合など、問い合わされたDNSキャッシュによって戻されたDNS応答の間に整合性が存在しない場合、DNS応答解析器8は、有効DNS応答が存在するという結論を下すことができない。この場合、以下の動作が開始され得る:
− 潜在的なセキュリティ問題についてレゾルバ1に通知する。この情報は、ドメインに関する記述的情報を含むDNS応答の「TXT」フィールド内に組み込まれることが可能である、
− 無効DNS応答(例えば、低い比率を持つDNS応答)を無効DNS応答11のデータベース内に格納する、
− 潜在的なDNSキャッシュポイズニング攻撃についてネットワークBの管理者に通知する。
− 潜在的なセキュリティ問題についてレゾルバ1に通知する。この情報は、ドメインに関する記述的情報を含むDNS応答の「TXT」フィールド内に組み込まれることが可能である、
− 無効DNS応答(例えば、低い比率を持つDNS応答)を無効DNS応答11のデータベース内に格納する、
− 潜在的なDNSキャッシュポイズニング攻撃についてネットワークBの管理者に通知する。
一実施形態では、DNSキャッシュによって戻されたDNS応答のセットのうち最高比率を有するDNS応答がDNSクエリに対するDNS応答と見なされる。
無効DNS応答が確認された場合、それが無効DNS応答11のデータベースに追加される(図1のリンク82)。これは、後のDNSクエリを解決するときに、DNSキャッシュに警告することを可能にする。
通信プロトコルは、DNS応答解析器8からDNSレスポンダ10に(または、同等に、DNSレゾルバ1に)エラー通知を送信することに関する、IETFからのRFC5507に従って定義されることが可能である。
DNS応答の比率に基づいて、1つまたは複数のDNSキャッシュに関してポイズニング問題が推定される場合、当該DNSキャッシュのTTLを0に削減する(例えば、DNS応答のセットの中で低い比率を有するDNS応答を戻したDNSキャッシュのTTLを削減する)ためのコマンドが開始/プログラムされ得る。このコマンドは、即時であってよい:このコマンドは、TTLを即時に0に設定することからなる。あるいは、このコマンドは、算術的であってよい:このコマンドは、所定の減分(例えば、1秒または2秒)だけTTLの継続的な削減を命令することからなってよい。あるいは、このコマンドは、幾何的であってよく、例えば、問題のDNSキャッシュのTTLが半分に分割されるよう命令することからなってよい。このコマンドは、DNSキャッシュにそのキャッシュを強制的に更新させることが意図される。例えば、3600秒のTTLを有するDNSキャッシュ内のエントリは、0秒に設定されることが可能であり、これにより、無効になる。
DNS応答の比率に基づいて、1つまたは複数のDNSキャッシュに伴うポイズニング問題を推定する場合の代替の対策は、例えば、DNSゾーンの失効、またはその問題によって影響を受けるDNSキャッシュ内の持続性のDNSエントリの構成である。これは、その原因とされるDNSキャッシュが後で問い合わされた場合、それらのDNSキャッシュが有効値を戻すのを保証することを可能にする。この対策は、一時的であり、DNSキャッシュデータベースの動的構成を可能にするために後で削除されなければならない。
一実施形態では、DNS応答比較器7およびDNS応答解析器は、結合されて単一の機能モジュールを形成する。
有利には、これにより取得されたDNS応答は、いくつかのDNSキャッシュを通じて統合される。
有利には、ここで説明された方法は、ISPネットワーク内に既に存在しているDNSキャッシュサーバのインテリジェントな使用を介して、DNSキャッシュポイズニング攻撃を防止することを可能にする。
別の実施形態では、DNSクエリデコンセントレータ6は、
− 少なくとも1つのDNSキャッシュ(例えば、DNSキャッシュ5_1)に、
− 少なくとも1つのDNSルートサーバ9に
DNSクエリを中継して、次いで、当該DNSキャッシュおよび当該DNSサーバが戻すDNS応答を比較する。これはDNS応答比較器7に関して1つの追加のエントリを有することを可能にする。
− 少なくとも1つのDNSキャッシュ(例えば、DNSキャッシュ5_1)に、
− 少なくとも1つのDNSルートサーバ9に
DNSクエリを中継して、次いで、当該DNSキャッシュおよび当該DNSサーバが戻すDNS応答を比較する。これはDNS応答比較器7に関して1つの追加のエントリを有することを可能にする。
DNSキャッシュポイズニングを防止することを可能にする別の実施形態は、DNSキャッシュコンテンツの有効性が検証される様式を変更する。すなわち、DNSプロトコルを使用して情報を交換する代わりに、別のDNSキャッシュコンテンツ検証プロトコルが開発される。
有利には、ここで説明された実施形態は、大部分のISPネットワーク内で既に使用中である分散型DNSキャッシュシステムを使用する。
ここで説明された実施形態は、ネットワークBに接続されたクライアントAによって使用されるオペレーティングシステムに依存しない点に留意されたい。
別の実施形態では、DNSモジュール10はオプションであり、DNS応答は、したがって、DNSレゾルバ1に直接送信される。
別の実施形態では、そのカスタマの住居に設置されたISPの住宅用ゲートウェイは、DNSキャッシュである。オペレータのネットワークに接続されたこれらの住居用ゲートウェイは、次いで、モジュール2、6、5_i、および、オプションで、7、8、10、ならびに、オプションで、これらのモジュールに関連するデータベースを結合させることが可能である。
Claims (10)
- いくつかのDNSキャッシュ(5_1、5_i、5_n)を含むコンピュータネットワーク(B)内の少なくとも1つのDNSキャッシュ(5_i)のポイズニングを防止するための方法であって、2つの異なるDNSキャッシュによって戻された、DNSクエリに対する少なくとも2つのDNS応答を比較するステップと、DNSキャッシュに問い合わせる前に、DNSクエリを解析して、前記DNSクエリが関連するサービスを識別することを可能にするステップとを含む、方法。
- 問い合わされるDNSキャッシュの数が、DNSクエリが関連するサービスに依存することを特徴とする、請求項1に記載の方法。
- DNS応答を比較するステップが、少なくとも1つのDNSキャッシュによってDNSクエリを逆引き解決するステップを含むことを特徴とする、請求項1に記載の方法。
- DNS応答を比較するステップが、DNS応答の比率を計算するステップを含むことを特徴とする、請求項1に記載の方法。
- DNSキャッシュによって戻されたDNS応答のセットのうち最高比率を有するDNS応答がDNSクエリに対するDNS応答であることを特徴とする、請求項4に記載の方法。
- DNSキャッシュによって戻されたDNS応答の間の不整合が以下の動作、すなわち、
− セキュリティ問題についてDNSクエリのソースに通知すること、
− 少なくとも1つのDNSキャッシュに対する潜在的なポイズニング攻撃についてコンピュータネットワーク(B)の管理者に通知すること、
− これらのDNS応答のうちの少なくとも1つをデータベース(11)内に格納すること
のうちの少なくとも1つをトリガすることを特徴とする、請求項1に記載の方法。 - DNSキャッシュのセットによって戻された応答のうち低い比率を有するDNS応答を戻すDNSキャッシュの有効期間が、0に削減されることを特徴とする、請求項4に記載の方法。
- DNS応答が、DNSルートサーバ(9)によって戻されたDNS応答を含むことを特徴とする、請求項1から7のいずれかに記載の方法。
- いくつかのDNSキャッシュを含むコンピュータネットワーク内の少なくとも1つのDNSキャッシュのポイズニングを防止するためのシステムであって、2つの異なるDNSキャッシュによって戻された、DNSクエリに対する少なくとも2つのDNS応答の解析器と、DNSクエリに関連するサービスを識別することを可能にする、DNSクエリに関する情報のデータベース(4)を備えたDNSクエリ解析器(2)とを備えることを特徴とする、システム。
- DNS応答が、DNSルートサーバ(9)によって戻されたDNS応答を含むことを特徴とする、請求項9に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1000199A FR2955405B1 (fr) | 2010-01-19 | 2010-01-19 | Procede et systeme de prevention d'empoisonnement des caches dns |
| FR1000199 | 2010-01-19 | ||
| PCT/EP2011/050636 WO2011089129A1 (fr) | 2010-01-19 | 2011-01-18 | Procede et systeme de prevention d'empoisonnement de caches dns |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013517726A true JP2013517726A (ja) | 2013-05-16 |
| JP5499183B2 JP5499183B2 (ja) | 2014-05-21 |
Family
ID=42738898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012549338A Expired - Fee Related JP5499183B2 (ja) | 2010-01-19 | 2011-01-18 | Dnsキャッシュポイズニングを防止するための方法およびシステム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20120297478A1 (ja) |
| EP (1) | EP2526670B1 (ja) |
| JP (1) | JP5499183B2 (ja) |
| KR (1) | KR20120096580A (ja) |
| CN (1) | CN102714663A (ja) |
| FR (1) | FR2955405B1 (ja) |
| WO (1) | WO2011089129A1 (ja) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120317153A1 (en) * | 2011-06-07 | 2012-12-13 | Apple Inc. | Caching responses for scoped and non-scoped domain name system queries |
| CN102404317A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| CN102404318B (zh) * | 2011-10-31 | 2015-09-09 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| US8752134B2 (en) * | 2012-03-05 | 2014-06-10 | Jie Ma | System and method for detecting and preventing attacks against a server in a computer network |
| JP5930546B2 (ja) * | 2013-05-30 | 2016-06-08 | 日本電信電話株式会社 | Dnsサーバ調査装置及びdnsサーバ調査方法 |
| US9680790B2 (en) * | 2013-08-29 | 2017-06-13 | Mastercard International Incorporated | Systems and methods for resolving data inconsistencies between domain name systems |
| CN103561120B (zh) * | 2013-10-08 | 2017-06-06 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
| FR3015838A1 (fr) * | 2013-12-20 | 2015-06-26 | Orange | Procede de mise a jour dynamique d'informations obtenues de la part d'un serveur dns |
| CN103747005B (zh) * | 2014-01-17 | 2018-01-05 | 山石网科通信技术有限公司 | Dns缓存投毒的防护方法和设备 |
| CN103973834B (zh) * | 2014-05-12 | 2017-07-25 | 重庆邮电大学 | 一种基于家庭网关的dns域名解析加速方法及装置 |
| CN105338123B (zh) * | 2014-05-28 | 2018-10-02 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
| CN104935683A (zh) * | 2015-06-29 | 2015-09-23 | 北京经天科技有限公司 | 用于域名解析的缓存处理方法和装置 |
| CN105939337B (zh) * | 2016-03-09 | 2019-08-06 | 杭州迪普科技股份有限公司 | Dns缓存投毒的防护方法及装置 |
| US10469499B2 (en) * | 2016-06-30 | 2019-11-05 | Calix, Inc. | Website filtering using bifurcated domain name system |
| US10757075B2 (en) | 2017-04-14 | 2020-08-25 | Calix, Inc. | Device specific website filtering using a bifurcated domain name system |
| US10623425B2 (en) | 2017-06-01 | 2020-04-14 | Radware, Ltd. | Detection and mitigation of recursive domain name system attacks |
| US10938851B2 (en) | 2018-03-29 | 2021-03-02 | Radware, Ltd. | Techniques for defense against domain name system (DNS) cyber-attacks |
| US11201853B2 (en) * | 2019-01-10 | 2021-12-14 | Vmware, Inc. | DNS cache protection |
| KR20200119945A (ko) * | 2019-04-10 | 2020-10-21 | 삼성전자주식회사 | 저 지연 dns 처리를 지원하는 전자 장치 |
| CN110401644A (zh) * | 2019-07-12 | 2019-11-01 | 杭州迪普科技股份有限公司 | 一种攻击防护方法及装置 |
| US10855644B1 (en) | 2019-09-09 | 2020-12-01 | Vmware, Inc. | Address resolution protocol entry verification |
| US11575646B2 (en) * | 2020-03-12 | 2023-02-07 | Vmware, Inc. | Domain name service (DNS) server cache table validation |
| KR20220071482A (ko) * | 2020-11-24 | 2022-05-31 | 삼성전자주식회사 | 에지 컴퓨팅 서비스를 수행하는 전자 장치 및 전자 장치의 동작 방법 |
| US20220239693A1 (en) * | 2021-01-22 | 2022-07-28 | Comcast Cable Communications, Llc | Systems and methods for improved domain name system security |
| CN113965392B (zh) * | 2021-10-25 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 恶意服务器检测方法、系统、可读介质及电子设备 |
| CN116436705B (zh) * | 2023-06-13 | 2023-08-11 | 武汉绿色网络信息服务有限责任公司 | 网络安全检测方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001103092A (ja) * | 1999-09-29 | 2001-04-13 | Toshiba Corp | Dns問い合わせ装置、dns問い合わせ方法、および記録媒体 |
| JP2007020004A (ja) * | 2005-07-08 | 2007-01-25 | Casio Comput Co Ltd | ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム |
| JP2007102747A (ja) * | 2005-09-09 | 2007-04-19 | Matsushita Electric Works Ltd | パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7155723B2 (en) * | 2000-07-19 | 2006-12-26 | Akamai Technologies, Inc. | Load balancing service |
| JP2005250626A (ja) * | 2004-03-02 | 2005-09-15 | Hitachi Ltd | コンピュータシステム及びそのプログラム。 |
| CN101310502B (zh) * | 2005-09-30 | 2012-10-17 | 趋势科技股份有限公司 | 安全管理设备、通信系统及访问控制方法 |
| US20080060054A1 (en) * | 2006-09-05 | 2008-03-06 | Srivastava Manoj K | Method and system for dns-based anti-pharming |
| US9172713B2 (en) * | 2008-09-24 | 2015-10-27 | Neustar, Inc. | Secure domain name system |
| US7930428B2 (en) * | 2008-11-11 | 2011-04-19 | Barracuda Networks Inc | Verification of DNS accuracy in cache poisoning |
-
2010
- 2010-01-19 FR FR1000199A patent/FR2955405B1/fr not_active Expired - Fee Related
-
2011
- 2011-01-18 WO PCT/EP2011/050636 patent/WO2011089129A1/fr active Application Filing
- 2011-01-18 JP JP2012549338A patent/JP5499183B2/ja not_active Expired - Fee Related
- 2011-01-18 KR KR1020127018944A patent/KR20120096580A/ko not_active Application Discontinuation
- 2011-01-18 US US13/519,606 patent/US20120297478A1/en not_active Abandoned
- 2011-01-18 CN CN2011800064900A patent/CN102714663A/zh active Pending
- 2011-01-18 EP EP11701379.7A patent/EP2526670B1/fr active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001103092A (ja) * | 1999-09-29 | 2001-04-13 | Toshiba Corp | Dns問い合わせ装置、dns問い合わせ方法、および記録媒体 |
| JP2007020004A (ja) * | 2005-07-08 | 2007-01-25 | Casio Comput Co Ltd | ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム |
| JP2007102747A (ja) * | 2005-09-09 | 2007-04-19 | Matsushita Electric Works Ltd | パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム |
Non-Patent Citations (2)
| Title |
|---|
| JPN5013002851; LIHUA YUAN: 'DOX: A PEER-TO-PEER ANTIDOTE FOR DNS CACHE POISONING ATTACKS' IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS, 2006 (ICC'06) , 20060601 * |
| JPN5013002852; HUNG-MIN SUN: 'DEPENDNS: DEPENDABLE MECHANISM AGAINST DNS CACHE POISONING' CRYPTOLOGY AND NETWORK SECURITY , 20091212, P174-188, SPRINGER * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2526670B1 (fr) | 2015-03-04 |
| KR20120096580A (ko) | 2012-08-30 |
| JP5499183B2 (ja) | 2014-05-21 |
| WO2011089129A1 (fr) | 2011-07-28 |
| FR2955405A1 (fr) | 2011-07-22 |
| US20120297478A1 (en) | 2012-11-22 |
| EP2526670A1 (fr) | 2012-11-28 |
| CN102714663A (zh) | 2012-10-03 |
| FR2955405B1 (fr) | 2015-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5499183B2 (ja) | Dnsキャッシュポイズニングを防止するための方法およびシステム | |
| US11909639B2 (en) | Request routing based on class | |
| US9800539B2 (en) | Request routing management based on network components | |
| US9734472B2 (en) | Request routing utilizing cost information | |
| US8156243B2 (en) | Request routing | |
| US11265397B2 (en) | Systems and methods for providing secure access to shared registration systems | |
| JP4693174B2 (ja) | 中間ノード | |
| KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130924 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131008 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140107 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140225 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140310 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5499183 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |