JP3596400B2 - Dnsサーバフィルタ - Google Patents

Dnsサーバフィルタ Download PDF

Info

Publication number
JP3596400B2
JP3596400B2 JP2000012757A JP2000012757A JP3596400B2 JP 3596400 B2 JP3596400 B2 JP 3596400B2 JP 2000012757 A JP2000012757 A JP 2000012757A JP 2000012757 A JP2000012757 A JP 2000012757A JP 3596400 B2 JP3596400 B2 JP 3596400B2
Authority
JP
Japan
Prior art keywords
packet
inquiry
session management
request
dns server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000012757A
Other languages
English (en)
Other versions
JP2001203762A (ja
Inventor
牧 重住
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2000012757A priority Critical patent/JP3596400B2/ja
Priority to US09/750,914 priority patent/US7013343B2/en
Publication of JP2001203762A publication Critical patent/JP2001203762A/ja
Application granted granted Critical
Publication of JP3596400B2 publication Critical patent/JP3596400B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークシステムに関し、特に、IPアドレスとドメイン名との対応の管理を行うドメインネームシステム(DNS)のフィルタ装置に関する。
【0002】
【従来の技術】
DNS(Domain Name System)は、インターネット等のTCP/IP(Transport Control Protocol/Internet Protocol)を用いたプロトコル(トランスポート層としてUDP(User Datagram Protocol)も含む)によるネットワークにおいて接続されたホストの名前とIPアドレスとを関連付けた情報等をTCP/IPネットワークに接続されたホストに提供する、TCP/IPプロトコル上のサービスである。DNSでは、ホストが属している組織に対してドメイン名と呼ばれる名前でまとめられており、ドメイン名は、国家レベル、企業、学術組織等の組織の種別毎、組織名毎、組織内の部署毎に階層的に名付けられ、ホスト名はドメイン名と組み合わせることで、TCP/IPネットワークにおける唯一性が保証される。例えば、インターネットに接続された日本の企業の日本電気株式会社のWWW(World Wide Web)サーバは、日本を示す“jp”、企業を示す“co”、日本電気株式会社を示す“nec”、同社において名付けられたWWWサーバのホスト名を示す“www”を、“www.nec.co.jp”という記述方法で表現される。
【0003】
“www.nec.co.jp”の“nec.co.jp”はインターネットにおけるドメイン名割り当て機関であるNIC(Network Information Center)により割り当てられた日本電気株式会社を示すドメイン名であり、“www”は日本電気株式会社内で割り当てられたホスト名である。TCP/IPプロトコルで通信しようとするホストは、接続先のホストのIPアドレスを知らなければならず、このWWWサーバにTCP/IPで接続しようとするインターネットに接続されたホストは、“www.nec.co.jp”という名前に対応するIPアドレスをDNSサーバに問い合わせる。“www.nec.co.jp”に接続しようとするホストは、まずルートサーバと呼ばれるDNSにおけるドメイン階層構造の頂点の情報を管理するDNSサーバに問い合わせ、“jp”ドメインを管理しているDNSサーバを教えてもらい、次にその“jp”ドメインを管理しているDNSサーバに問い合わせ、“co.jp”ドメインを管理しているDNSサーバを教えてもらい、次に“co.jp”ドメインを管理しているDNSサーバに問い合わせ、“nec.co.jp”を管理しているDNSサーバを教えてもらい、次に“nec.co.jp”ドメインを管理しているDNSサーバに“www.nec.co.jp”というホスト名に対するIPアドレスを問い合わせ、そのDNSサーバにその名前があればこのホストのIPアドレスを返す。
【0004】
インターネットに接続する組織において、セキュリティ上の理由により、インターネットに接続する部分にファイアウォールを設置して、直接、TCP/IPプロトコルによる組織外との通信を制限する場合がある。
【0005】
組織のセキュリティ要件として、組織外秘の情報の保護の為に組織外からのTCP/IPプロトコルを通じた組織内資源へのアクセスを制限することが挙げられる。
【0006】
DNSにおいても、組織内のネットワークに接続されたホストの名前やIPアドレスについての情報やその組織の部署名やネットワーク構成が名付けられているドメイン名をできる限り隠すことによって、侵入者がこの情報を用いて、組織内のネットワークに侵入することを防ぐことが要請されている。
【0007】
【発明が解決しようとする課題】
上記要請に対して、従来のシステムでは、組織内のDNSサーバとは別にファイアウォールの外に設置された組織外のホストからのアクセスを許可するホストに関する情報を提供するDNSサーバを設置し、組織内のDNSサーバは、組織内のホストが組織外のホストのDNS情報を取得するためにファイアウォールの外に設置されたDNSサーバに対して、再帰的に問い合わせできるように設定し、ファイアウォールの外に設置されたDNSサーバから、組織内のDNSサーバに対しては、問い合わせができないように、DNSサーバ及びファイアウォールに設定することで対処している。
【0008】
かかる構成の従来のシステムにおいては、DNSサーバを複数台設置することや、DNSサーバの管理が複雑化する、といった問題点が生じている。
【0009】
また、セキュリティ上の問題としては、不正な形式のパケットを攻撃対象のサーバに送信する事で、バグ等のサーバプログラムの実装上の問題によりサービスが停止させる「DoS(Denial of Service)アタック」と呼ばれる攻撃に対しても防御が必要となり、DNSサービスについても指摘されている。
【0010】
従来、このような問題が指摘されると、サービスプログラムの開発者が、サービスプログラムを修正する必要があった。
【0011】
たしかに、一部のサービスプログラムは、そのプログラムのソースファイルが公開されているため(UNIXTM用bind等)、サービスプログラムの利用者がソースに対する修正差分を入手するか、利用者が修正を行ってコンパイルすることで、サービスプログラムをDoSアタックに対応するものに交換することが可能とされている。
【0012】
しかしながら、ソースファイルが公開されていない場合(例えばMicrosoft社製Windows NT Server 4.0に含まれるDNSサーバ等の場合)、サービスプログラム開発者が修正モジュールをサービスプログラム利用者に配布するまでに時間を要し、DoSアタック等の問題が指摘されてから長い間、この問題に対して、適切な対処を施すことができない状態にあった。
【0013】
またソースファイルが公開されていても、利用者自身のプログラミングスキルの不足等の理由により、適切に対処できない場合もある。
【0014】
以上、DoSアタックについて説明したが、サービスは停止しないにしても、サービスプログラムの実装上の問題により、本来得られるべき正常な応答が返らない場合も、同様の問題が発生する。
【0015】
また、組織のネットワークセキュリティ管理上、組織内部から組織外のホストに対してセキュリティ上脅威となる攻撃を行うことが可能とならないように、対策を施さなければならないといったセキュリティ要件を掲げる組織も存在する。
【0016】
なお、米国特許第5,805,820号には、DNSにおいて、ドメインの内部情報に対する問い合わせ要求をリダイレクト(redirect)することで、組織内ネットワークのドメイン名及びIPアドレス等のネットワーク構成情報(private information)をDNSを通じて組織外に送信しないようにした方法及びこれを実現する装置について提案されているが、DoSアタック等の問題には対処できていない。
【0017】
したがって本発明は、上記問題点に鑑みてなされたものであって、その目的は、組織外の者が組織のネットワーク構成情報を利用して組織のネットワークに侵入を行う事を防ぐとともに、異常な形式のパケットを受信する事でDNSサーバの動作が異常になる事を未然に防ぐ、DNSサーバフィルタ及び記録媒体を提供することにある。
【0018】
【課題を解決するための手段】
前記目的を達成する本発明のDNSサーバフィルタは、受信したDNSパケットについて、該パケットをDNSサーバに渡すまえに、該パケットに異常があるか否か検査するパケット検証手段を備え、異常を検出した際に、エラー応答パケット生成して、要求元に返す、構成とされている。
【0019】
本発明は、DNSプロトコルにおける端末及びDNSサーバからの問い合わせ、及びDNSサーバからの応答パケットを受信するパケット受信部と、問い合わせ要求を管理するためのセション管理テーブルを備え、問い合わせ及び応答パケットを管理し全体の制御を行うセション管理部と、問い合わせ及び応答パケットが異常であるか否かを検査するパケット検証部と、DNSサーバへの問い合わせパケットを生成する要求生成部と、問い合わせパケットの送信元に返す応答パケットを生成する応答生成部と、問い合わせ及び応答パケットを送信するパケット送信部と、を備え、受信したDNSパケットについて該パケットをDNSサーバに渡すまえに、内容に異常があるか否か検査し、異常を検出した際に、エラー応答パケット生成して要求元に返す。
【0020】
【発明の実施の形態】
本発明の実施の形態について説明する。本発明のDNS(Domain Name System)サーバフィルタは、RFC(Request For Comments)1034、1035、及びこれに関連するRFC文書により定義されたDNSプロトコルによりIPアドレスとホスト名及びドメイン名の対応を関連付けるサービスを行うDNSサーバを含むネットワークシステムにおいて、DNSパケットを、DNSサーバに渡す前に、その内容を検査し、異常があれば、エラー応答を返し、検査のための処理を、利用者が追加及び削除する事を可能としている。
【0021】
本発明によれば、
・外部ネットワークからの異常な形式のDNSパケットを受信することによりDNSサーバが異常動作を引き起こすこと、
・内部ネットワークのホストが異常な形式のDNSパケットをDNSサーバが外部ネットワークに送信することで外部ネットワークに属するホストを異常動作させること、
・組織外の侵入者が内部ネットワークの情報を得るために外部ネットワークからアクセスして内部ネットワークの名前情報を取得すること、等のセキュリティ上の攻撃から、内部ネットワークのDNSサーバと内部ネットワークシステムを防御し、外部ネットワークに対してDNSプロトコルを通じて異常な動作を引き起こさせたり、セキュリティ上の攻撃を行うことを防ぎ、DNSに関する問題の素早い対応を可能としている。
【0022】
本発明は、DNSプロトコルにおける端末及びDNSサーバからの問い合わせ、及びDNSサーバからの応答パケットを受信するパケット受信部(2)と、DNS問い合わせ要求を管理するためのセション管理テーブル(8)を備え、問い合わせ及び応答パケットを管理し全体の制御を行うセション管理部(3)と、問い合わせ及び応答パケットが異常であるか否かを検査するパケット検証部(4)と、DNSサーバへの問い合わせパケットを生成する要求生成部(5)と、問い合わせパケットの送信元に返す応答パケットを生成する応答生成部(6)と、問い合わせ及び応答パケットを送信するパケット送信部(7)と、を備え、受信したDNSパケットについて該パケットをDNSサーバに渡す前に、内容に異常があるか否か検査し、異常を検出した際に、エラー応答パケット生成して要求元へ返す。
【0023】
パケット検証部(4)が、検証プログラムのエントリポイントアドレスと、検証プログラムの実行の優先順位と、検証プログラムの属性情報とを備えたプログラム管理テーブル(40)を備え、前記検証ソフトウェアの属性を参照し、実行すべき検証プログラムを選択して実行に移す制御を行う呼出管理部(30)と、管理ツールもしくは設定ファイルで指示された検証プログラムの実行ファイルをメモリ上にロードし、ロードされた検証プログラムを初期化し、検証プログラムのエントリポイントを入手した属性と共に前記呼出管理部のプログラム管理テーブルに登録し、及び前記管理ツールで削除を指示された検証プログラムのメモリ上からの解放処理を行うロード管理部(36)と、検証プログラムから呼び出されるDNSサーバフィルタ本体の機能を利用するためのサブルーチン群よりなるサービスルーチン(31)と、を備えている。
【0024】
本発明は、その好ましい一実施の形態において、セション管理テーブル(8)が、要求パケットへのポインタ(60)と、問い合わせ要求を行った要求元のIPアドレス(61)と、問い合わせ要求を行った要求元ポート番号(62)と、問い合わせ要求のパケット形式が正常であった場合に問い合わせ要求を別のDNSサーバに転送しているかどうかを示すフラグと(63)、を備え、パケット受信部(2)がDNSパケットを受信すると、該パケットを前記セション管理部(3)に渡し、セション管理部(3)は、セション管理テーブル(8)に、受信したパケットの送信元のIPアドレス、受信したパケットのポート番号を設定し、テスト中を意味する値をフラグ(63)に設定したのち、セション管理部(3)は、受信パケットをパケット検証部(4)に渡してパケットの検査を依頼し、パケット検証部(4)でパケットの検査を行い、検査結果に問題がある場合、前記セション管理部(3)が受信パケットの種別を調べ、それが問い合わせ要求であるか否か判定し、問い合わせ要求であれば、前記セション管理部は、前記応答生成部(6)に対して、エラー応答パケットの生成を依頼し、生成されたパケットを前記セション管理テーブル(8)の要求元IPアドレス、ポート番号で指定される相手に対して、パケット送信部(7)に送信を依頼し、受信した応答パケットについて、セション管理テーブル(8)に登録された情報を削除し、受信した問い合わせ要求パケットを解放する。
【0025】
また受信パケットが問い合わせ要求でない場合、セション管理部(3)が、セション管理テーブル(8)を検索して、元の問い合わせ要求に関する部分を取り出し、検索されたセション管理テーブル(8)のエントリの要求パケットへのポインタから、問い合わせ要求パケットを参照して、これを基に、応答生成部(6)に対して、エラー応答パケットの生成を依頼し、セション管理テーブル(8)の要求元IPアドレス、及びポート番号で指定される相手に対して、生成した応答パケットを送信するように、パケット送信部(7)に対して依頼し、受信した応答パケットについて、セション管理テーブル(8)に登録されている情報を削除して応答パケットを解放するとともに、該応答パケットに対応する問い合わせ要求について、セション管理テーブルに登録されているエントリも削除する。
【0026】
またパケット検証部(4)でパケットの検査を行い、検査結果に問題がない場合、セション管理部(3)が受信パケットの種別を調べ、応答パケットの場合、セション管理部(3)は該応答パケットに対応する問い合わせ要求の情報を、前記セション管理テーブル(8)から検索し、セション管理部(3)が受信した応答パケットが元の問い合わせ要求に対する回答となっているかどうかを調べ、調査の結果、さらに問い合わせを行う必要があれば、セション管理部(3)は、受信した応答パケットの情報から次の問い合わせ先を決定し、セション管理部(3)は、要求生成部(5)に問い合わせ要求パケットの生成を依頼し、前記パケット送信部(7)に対して次の問い合わせ先への送信を依頼し、セション管理部(3)は、受信した問い合わせの途中経過である応答パケットに関する情報を前記セション管理テーブルから削除し応答パケットを解放し、前記調査の結果、元々の問い合わせパケットに対する回答となる応答パケットを受信した場合、セション管理部(3)は、応答パケットを受信した応答パケットの結果を反映させた元の問い合わせ要求に対する応答パケットの生成を前記応答生成部(6)に依頼し、パケット送信部(7)に元の問い合わせ要求の送信元に対して送信を依頼し、受信した応答パケットに関連する情報をセション管理テーブル(8)から削除し、元の問い合わせ要求に関する情報を前記セション管理テーブル(8)から削除し応答パケットを解放する。
【0027】
受信したパケットが問い合わせ要求である場合、セション管理部(3)が受信パケットの送信元を調べ、前記送信元が組織内部のネットワークからの問い合わせでない場合、組織外のネットワークの問い合わせ要求を解決するために前記セション管理部は、まず最初に問い合わせる組織外のDNSサーバを決定し、元の問い合わせ要求を元にした問い合わせ要求の生成を要求生成部(5)に依頼し、その問い合わせ要求パケットを、前記決定されたDNSサーバに対して送信するようにパケット送信部に対して依頼し、前記送信元が組織内部のネットワークからの問い合わせである場合、セション管理部(3)は受信した問い合わせ要求パケットを元に要求生成部(5)に問い合わせ要求パケットの生成を依頼し、DNSサーバに対する問い合わせパケットの送信をパケット送信部(7)に依頼し、セション管理部(3)は、受信したパケットに対応するセション管理テーブル(8)のエントリ中のフラグに、「問い合わせ中」の値を設定し、受信パケットへのポインタをセション管理テーブル(8)のエントリのポインタに設定する。
【0028】
本発明においては、(a)DNSプロトコルにおける端末及びDNSサーバからの問い合わせ、及びDNSサーバからの応答パケットを通信装置を介して受信するパケット受信処理と、
(b)DNS問い合わせ要求を管理するためのセション管理テーブルを備え、問い合わせ及び応答パケットを管理し全体の制御を行うセション管理処理と、
(c)問い合わせ及び応答パケットが異常であるか否かを検査するパケット検証処理と、
(d)DNSサーバへの問い合わせパケットを生成する要求生成処理と、問い合わせパケットの送信元に返す応答パケットを生成する応答生成処理と、
(e)問い合わせ及び応答パケットを通信装置を介して送信するように制御するパケット送信処理と、
を備え、受信したDNSパケットについて該パケットをDNSサーバに渡すまえに、内容に異常があるか否か検査し、異常を検出した際に、エラー応答パケット生成して返す、DNSサーバフィルタの前記各処理は、コンピュータ上で実行プログラムを実行することで実現される。この場合、該プログラムを記録した記録媒体からプログラムを読み出し装置を介して、もしくは通信媒体を介してダウンロードしてコンピュータに読み出しインストールし該プログラムの実行形式をコンピュータの主メモリにロードして実行することで、本発明のDNSサーバフィルタを実施することができる。
【0029】
【実施例】
本発明の実施例について図面を参照して以下に説明する。図1は、本発明の一実施例のDNSサーバフィルタの構成を示す図である。図1を参照すると、DNSサーバフィルタ1は、DNSプロトコルにおける端末及びDNSサーバからの問い合わせ及びDNSサーバからの応答パケットを受信するパケット受信部2と、問い合わせ及び応答パケットを管理し全体の制御を行うセション管理部3と、問い合わせ及び応答パケットが異常であるか否かを検査するパケット検証部4と、DNSサーバへの問い合わせパケットを生成する要求生成部5と、問い合わせパケットの送信元に返す応答パケットを生成する応答生成部6と、問い合わせ及び応答パケットを送信するパケット送信部7と、を備えて構成されている。またセション管理部3は、DNS問い合わせ要求を管理するためのセション管理テーブル8を持つ。
【0030】
図2は、本発明の一実施例のDNSサーバフィルタ1をファイアウォール内に実装した場合の構成の一例を示す図である。図2において、ファイアウォール10は、インターネットの様な、これが置かれる組織の管理外のネットワーク15と、組織内のネットワーク16とを、セキュリティを保ちながら相互接続する役割を持ち、DNSについて、
・ネットワーク15に属する端末17がネットワーク16に属する端末18のホスト名とIPアドレスの情報やネットワーク16の名前空間に関する情報を取得すること、
・端末17からネットワーク15を通じてDNSサーバ11に対してDNSプロトコル上不正なパケットを送付することで、DNSサーバ11に動作異常を引き起こすこと、
・端末18やDNSサーバ11が端末17やネットワーク15に属するホストに対してDNSプロトコル上異常なパケットを送付すること、
を防ぐ機能を具備することが要請されており、本発明の一実施例においては、DNSサーバフィルタ1により、これらの機能要件を満たしている。
【0031】
DNSサーバ11は、NIC(Network Interface Card)13が属するサブネットワーク等のネットワーク15のDNS情報の一部と、ネットワーク16のDNS情報の一部を管理し、DNSプロトコルに従い問い合わせに対する応答する機能を持つ。
【0032】
TCP/IPドライバ12は、NIC13及びNIC14を通じて、TCP/IPプロトコルで通信を行うための制御を行うものであり、DNSサーバフィルタ1やDNSサーバ11はこのTCP/IPドライバ12上で動作するプロセスである。
【0033】
また、ファイアウォール10は、端末17から直接TCP/IPプロトコルにより端末18と通信を行うことを許可しない設定(一般的にこの様な設定をIPforward(フォワード)がoff(オフ)であるという)となっており、DNSサーバフィルタ1はNIC13、DNSサーバ11はNIC14のIPアドレス宛に送付された問い合わせ要求のみ受け付けるように設定されている。
【0034】
図3は、本発明の一実施例のDNSサーバフィルタ1を1台の装置に実装し、組織のネットワークに設置した場合の構成を示す図である。図3において、ファイアウォール20は、パケットフィルタリング型ファイアウォールであり、図2のファイアウォールとは異なり、組織外ネットワーク15に属する端末17と組織のネットワーク16に属する端末18間での直接のTCP/IPプロトコルによる通信を、ファイアウォール20の設定により、許可されたポートやアドレスに限り可能としている。
【0035】
図3において、ファイアウォール20は、ネットワーク16を保護する目的で設置され、DNSプロトコルについてみると、端末17がネットワーク15を経由してDNSプロトコルでアクセスできるのは、DNSサーバフィルタ1のみであり、組織内のDNSサーバ11にはアクセスが許可されておらず、また、DNSサーバ11や端末18も、直接DNSプロトコルでネットワーク15上のホストへのアクセスは許可されていない設定とされている。
【0036】
組織のネットワーク16に属するファイアウォール20、DNSサーバフィルタ1、DNSサーバ11、端末18の間は、DNSプロトコルに限らず、任意のTCP/IP上のプロトコルで通信可能である。
【0037】
DNSサーバ11は、DNSサーバフィルタ1に対してフォワーダの設定を行っている。即ち、DNSサーバ11に対して、端末18からのネットワーク15に属する端末17のドメイン名やIPアドレスの問い合わせ要求を受信すると、DNSサーバ11は、該問い合わせ要求が、ネットワーク16に属さないホストに関するものであると認識し、該問い合わせ要求を、DNSサーバフィルタ1に転送(フォワード)する。また端末18が参照するDNSサーバは、DNSサーバ11に設定されている。
【0038】
図4は、本発明の一実施例のDNSサーバフィルタ1におけるパケット検証部4の構成を示す図である。図4を参照すると、呼出管理部30は、検証プログラム(ソフトウェア)32、33、34、35の属性を参照して実行すべきものを選択して実行に移す制御を行うものであり、検証プログラムを管理するためのプログラム管理テーブル40を備えている。
【0039】
ロード管理部36は、
・管理端末を備え操作指示情報を入力する管理ツール38、もしくは設定ファイル39の情報で指示された検証プログラムの実行ファイル37を不図示のメモリ(DNSサーバフィルタが実装されるコンピュータのメモリ)上にロードする処理、
・メモリ上にロードされた検証プログラムの初期化処理を実行させ、
・検証プログラムのエントリポイントを入手した属性と共に呼出管理部30が持つプログラム管理テーブル40に登録する処理、
・管理ツール38で削除を指示された検証プログラムのメモリ上からの解放処理、
を行う。
【0040】
サービスルーチン31は、検証プログラム32、33、34、35の開発を容易にするための検証プログラムから呼び出されるDNSサーバフィルタ本体の機能を使うためのサブルーチン群である。
【0041】
図7は、図4のプログラム管理テーブル40のエントリの一例である。テーブルの各エントリは、
・検証プログラムのエントリポイントアドレス50と、
・検証プログラムにより指定される実行の優先順位51と、
・検証プログラムにより指定される検証プログラムの属性52と、を備えて構成されている。
【0042】
図8は、本発明の一実施例のDNSサーバフィルタにおけるセション管理テーブル8のエントリの一例である。テーブルの各エントリは、
・要求パケットへのポインタ60と、
・問い合わせ要求を行った要求元IPアドレス61と、
・問い合わせ要求を行った要求元ポート番号62と、
・問い合わせ要求のパケット形式が正常であった場合に問い合わせ要求を別のDNSサーバに転送しているかどうかを示すフラグ63と、を備えている。
【0043】
図5及び図6は、DNSサーバフィルタ1の動作処理を説明するためのフローチャートである。図9は、図4のパケット検証部4の検証プログラムの実行のフローチャートである。
【0044】
本発明の一実施例のDNSサーバフィルタ1の動作について以下に説明する。
【0045】
まず、図1、図5乃至図8を参照して、DNSサーバフィルタ1の動作について説明する。
【0046】
ステップS101において、DNSパケットを、パケット受信部2が受信すると、そのパケットをセション管理部3に渡し、ステップS102では、セション管理部3は、管理テーブル8にその受信したパケットの送信元のIPアドレスを項目61(図8参照)に、受信したパケットのポート番号を項目62に入れ、フラグ63に「テスト中」を意味する値を設定する。
【0047】
次のステップS103において、セション管理部3は、受信パケットを、パケット検証部4に渡してパケットの検査を依頼し、パケット検証部4でパケットの検査を行う。
【0048】
ステップS104において、パケット検証部4による検査結果に問題があるか否か判定し、正常終了すれば(問題がない場合)、ステップS111に進み、異常終了すれば、ステップS105に進む。
【0049】
ステップS105では、セション管理部3が受信パケットの種別を調べ、それが問い合わせ要求(DNS要求)か否か判定し、DNS要求であれば、ステップS106、応答パケットであればステップS108に進む。
【0050】
ステップS106では、この情報の問い合わせ元に対してエラー応答を返さなければならない状態であるため、セション管理部3は、応答生成部6に対して、エラー応答パケットの生成を依頼し、生成されたパケットを、管理テーブル8の項目61、62の相手に対して、パケット送信部7に送信を依頼する。
【0051】
次のステップS107では、受信した応答パケットについて、管理テーブル8に登録された情報を削除し、受信した問い合わせ要求パケットを解放して終了する。
【0052】
一方、ステップS105において、受信パケットがDNS要求でなく、ステップS108に移行するという状態は、以前、このDNSサーバフィルタ1に対して正常な問い合わせ要求が送られ、別のDNSサーバに対して問い合わせ要求を行っている状態であるが、その結果が異常であったため、元々の問い合わせ要求を行ったホストに対して、問い合わせが失敗したことを示すエラー応答を返さなければならないことを意味している。このため、ステップS108では、セション管理部3が、セション管理テーブル8を検索して、元の問い合わせ要求に関する部分を取り出す。
【0053】
次のステップS109では、検索された管理テーブル8のエントリの項目60から、問い合わせ要求パケットを参照して、これを基に、応答生成部6に対して、エラー応答パケットの生成を依頼し、管理テーブル8の項目61、62の相手に対して、生成した応答パケットを送信するように、パケット送信部7に対して依頼する。
【0054】
次のステップS110では、受信した応答パケットについて、管理テーブル8に登録されている情報を削除し、応答パケットを解放し、また、これに対応する問い合わせ要求について、管理テーブル8に登録されているエントリも削除して、終了する。
【0055】
ステップS104の判定の結果、検査結果正常であった場合には、図6のステップS111に分岐する。
【0056】
図6のステップS111において、セション管理部3が受信パケットの種別を調べ、それが問い合わせ要求パケットであれば、ステップS119に進み、応答パケットであればステップS112に進む。
【0057】
ステップS112では、セション管理部3が、この応答パケットに対応する問い合わせ要求の情報を、管理テーブル8から検索する。
【0058】
次のステップS113では、セション管理部3が受信した応答パケットが元の問い合わせ要求に対する回答となっているかどうかを調べる。
【0059】
元々の問い合わせ要求に、DNSプロトコルにおける再帰問い合わせが指定されていない場合には、そのまま応答パケットとほぼ同じ形の応答パケットを返せば良いが、再帰問い合わせが指定されている場合には、DNSサーバフィルタ1が回答を得るまでDNSサーバに対して問い合わせを行う必要がある。例えば、“www.foo.co.jp”というホスト名に対するIPアドレスを検索する場合には、
・ルートDNSサーバ、
・“jp”ドメインを管理しているDNSサーバ、
・“co.jp”ドメインを管理しているDNSサーバ、
・“foo.co.jp”ドメインを管理しているDNSサーバ、
を順に問い合わせることになり、その途中のDNSサーバからは次のDNSサーバのアドレスしか教えてもらえない(例えば“co.jp”ドメインのDNSサーバからは“foo.co.jp”ドメインを管理しているDNSサーバのアドレスについて教えてもらえない)ため、元々の問い合わせ要求に対しては、この応答パケットは問い合わせ途中の状況を示すに過ぎず、回答にはなり得ない。
【0060】
ステップS113において、このような調査を行い、さらに問い合わせを行う必要があれば、ステップS114に、必要がなければステップS117に進む。
【0061】
ステップS114の状態は、DNSサーバフィルタ1で、さらに他のDNSサーバに対して問い合わせが必要であることを意味している。このため、ステップS114において、セション管理部3は、受信した応答パケットの情報から次の問い合わせ先を決定する。
【0062】
そして、次のステップS115では、セション管理部3が問い合わせ要求パケットを要求生成部5に問い合わせ要求パケットの生成を依頼し、次の問い合わせ先にパケット送信部7に送信を依頼する。
【0063】
次のステップS116では、セション管理部3は、受信した問い合わせの途中経過である応答パケットに関する情報を管理テーブル8から削除し、応答パケットを解放して終了する。
【0064】
ステップS117の状態は、元々の問い合わせパケットに対する回答となる応答パケットを受信したことを意味している。このため、ステップS117では、セション管理部3は、応答パケットを受信した応答パケットの結果を反映させた元の問い合わせ要求に対する応答パケットの生成を応答生成部6に依頼し、パケット送信部7に元の問い合わせ要求の送信元に対して送信を依頼する。
【0065】
次のステップS118では、受信した応答パケットに関連する情報を管理テーブル8から削除し、元の問い合わせ要求に関する情報を管理テーブル8から削除し、応答パケットを解放して終了する。
【0066】
ステップS111の判定の結果、受信したパケットが問い合わせ要求(DNS要求)であれる場合、ステップS119において、セション管理部3が受信パケットの送信元を調べ、それが組織内部のネットワークからの問い合わせであればステップS122に進み、そうでなければステップS120に進む。
【0067】
ステップS120の状態は、組織外のネットワークの問い合わせ要求を解決するために、DNSサーバフィルタ1が問い合わせ元に代わって組織外のDNSサーバに対して問い合わせを開始しなければならないことを意味している。このため、ステップS120では、セション管理部3は、まず最初に問い合わせる組織外のDNSサーバを決定する(多くの場合これは通常ルートサーバである)。
【0068】
次のステップS121では、セション管理部3は、元の問い合わせ要求を元にした問い合わせ要求の生成を要求生成部5に依頼し、その問い合わせ要求パケットをステップS120で決定したDNSサーバに対して送信することをパケット送信部7に依頼する。
【0069】
一方、ステップS122の状態は、組織内部のネットワークに関する問い合わせを受けたことを意味する。組織内部のネットワークに関する情報を得るためには、DNSサーバフィルタ1は、組織内部のDNSサーバ11に問い合わせを転送(フォワード)する様になっている。
【0070】
このため、ステップS122では、セション管理部3は受信した問い合わせ要求パケットを元に要求生成部5に問い合わせ要求パケットの生成を依頼し、DNSサーバ11に問い合わせパケットをパケット送信部7に送信を依頼する。
【0071】
ステップS123の状態は、問い合わせ要求を受信して現在DNSサーバフィルタ1が別のDNSサーバに問い合わせを行っていることを意味している。このため、ステップS123では、セション管理部3は、受信したパケットに対応する管理テーブル8のエントリ中のフラグ63に、「問い合わせ中」の値を入れ、受信パケットへのポインタを管理テーブル8のエントリ中の項目60に入れて終了する。
【0072】
次に、図9を参照して、パケット検証部4について説明する。
【0073】
ステップS201では、パケット検証部4の呼出管理部30が持つ管理テーブル40を検索して、管理テーブル40中の優先順位51が最も大きい値のエントリを探し(実装では、各エントリは優先順位順に並んでいることが望ましい)、エントリを確定する。
【0074】
次のステップS202では、未参照のエントリがあるかどうかを調べ、未参照のエントリが存在する場合、ステップS203に進む。
【0075】
ステップ203では、呼出管理部30が、管理テーブル40のエントリ中の属性52を調べて、対応する検証プログラムを実行すべきか否かを判断する。
【0076】
属性52は、各検証プログラムにより指定され、DNSサーバフィルタ1の初期化時に、設定ファイル39により、もしくは、実行中に、管理ツール38により、ロード管理部36による検証プログラムファイル37のロード後の検証プログラムの初期化処理時にロード管理部36に渡る値をロード管理部36が設定するものであり、問い合わせ要求パケットのチェックを行うもの、応答パケットのチェックを行うものといった検証プログラムの種類を示す値である。
【0077】
次のステップS204では、管理テーブル40の当該エントリに対応する検証プログラムを呼出管理部30が実行することに決定した場合、ステップS205に、そうでない場合はステップS207に進む。
【0078】
ステップS205では、呼出管理部30は、管理テーブル40の項目50にある検証プログラムのエントリポイントを呼び出す。
【0079】
ステップS206において、呼出管理部30は、ステップS205で呼び出した検証プログラムの結果を見て、正常終了か否か判定し、正常終了した場合ステップS207に進み、異常終了した場合、検証プログラムでエラーが発生した、すなわち受信したDNSのパケットは組織のセキュリティ要件に合致しない等の理由により受け付けられないと判断されたことになるため、エラーをパケット検証部4の呼出元であるセション管理部3に渡して終了する。
【0080】
ステップS207では、次の検証プログラムによる受信パケットのチェックを行うため、呼出管理部30は、先に行った検証プログラムの次に優先順位が高いもしくは同じ優先順位である検証プログラムを、管理テーブル40の優先順位51を参照して検索を行い、ステップS202に進む。
【0081】
この様にして、パケット検証部4は、ステップS202からステップS207を繰り返し、ステップS202において、これ以上実行する検証プログラムが存在しないと判断された場合、これまで実行された全ての検証プログラムが正常終了したことを意味しており、受信したDNSパケットは組織のセキュリティ要件を満たしたものであることから、パケット検証部4は正常終了する。
【0082】
次に、具体例に即して説明する。
【0083】
図2は、DNSサーバフィルタ1をファイアウォール10内に実装した場合の構成を示す図である。組織外のネットワーク15に属する端末17が、組織内のネットワーク16に属する端末18のIPアドレスを取得しようと試みたとする。端末17は端末18のホスト名は知っているがその情報が格納されているDNSサーバは知らないものとする。
【0084】
まず端末18は、組織外ネットワーク15に属するDNSサーバから組織のドメインを管理しているDNSサーバの情報を入手し、そのIPアドレスがファイアウォール10のNIC13に対応するIPアドレスであることが判明する。
【0085】
次に端末17は、組織のDNSサーバと思っているファイアウォール10のNIC13のIPアドレス上で待ち合わせているDNSサーバフィルタ1に接続し、端末18のホスト名に対応するIPアドレスを問い合わせる。
【0086】
問い合わせ要求を受けたDNSサーバフィルタ1は、パケット検証部4を呼び出して、このDNSパケットが組織のセキュリティ要件を満たすかどうかを検査する。
【0087】
もし、端末17が送信したDNSパケットの形式が異常であり、検証プログラムとして、これを検査するものが含まれていれば、そのパケットに対して検証プログラムはエラーを返し、DNSサーバフィルタ1は、端末17に対してエラー応答を返す。
【0088】
もし端末17が送信したDNSパケットの形式が正常であるが、検証プログラムに、組織内部のホストに関する情報は提供しないことをセキュリティ要件を実現するためのプログラムが登録されている場合には、そのパケットに対して、検証プログラムはエラーを返し、DNSサーバフィルタ1は端末17に対してエラー応答を返す。
【0089】
もし端末17が送信したDNSパケットの形式が正常であるが、検証プログラムに組織内部のホストに関する情報は提供しないことをセキュリティ要件を実現するためのプログラムが登録されていない場合には、DNSサーバフィルタ1はDNSサーバ11に要求を転送して端末18のIPアドレスを取得して応答として端末17に返す。
【0090】
次に、図2に示した構成において、端末18が端末17のIPアドレスを入手する場合について説明する。
【0091】
まず端末18は、組織内ネットワーク16のDNSサーバに組織外ネットワークの情報を要求するため、そのDNSサーバはその問い合わせをファイアウォール10のNIC14で待ち合わせているDNSサーバ11に転送する。
【0092】
DNSサーバ11は、組織外ネットワークについての問い合わせはDNSサーバフィルタに転送する様に設定されている。
【0093】
問い合わせ要求パケットを受け取ったDNSサーバフィルタ1は、そのDNSパケットが正常であることを確認すると、組織外のDNSサーバに問い合わせ、応答パケットを得て、そのパケットが正常であれば、DNSサーバ11を通じて端末18に結果が返される。
【0094】
もし端末17のDNSサーバが異常な応答パケットを返してきた場合には、DNSサーバフィルタ1はDNSサーバ11にエラー応答を返し、端末18にもそのエラー応答が返る。
【0095】
異常な応答パケットとしては、例えば、形式が異常である他に、組織外との通信を盗聴する等の目的でDNSパケットの付加情報に偽の情報が書き加えられているといった事例が報告されている。
【0096】
図3は、DNSサーバフィルタ1が独立して組織内ネットワーク16に設置された例である。
【0097】
図3に示す構成において、DNSパケットのやりとりは、上述した図2に示すものとほぼ同じである。図2に示す構成では、端末17が直接DNSサーバ11にアクセスすることがTCP/IPドライバ12で禁じられているのに対し、図3に示す構成では、パケットフィルタ型ファイアウォール20により、禁止の設定が行われる点が相違している。
【0098】
本発明においては、パケット検証部4にあらかじめ登録しておいたドメインに属するホストに対する問い合わせがあった場合には、否定応答をを返すように判断する処理を実装することで、WWWサーバにおける「コンテンツフィルタリング」と呼ばれる技術の様な、組織の業務に無関係なホストへのアクセスを禁止するという要件を満たすためのシステムを構築することができる。
【0099】
また、本発明においては、DNSサーバフィルタに、DNSサーバ情報をあらかじめ蓄えておくキャッシュメモリを追加することで、余分な問い合わせを減らすことができる。
【0100】
前記実施例では、本発明を説明するために、セキュリティに関連する処理を例に説明したが、本発明は、セキュリティに関連する目的にのみに限定されるものでないことは勿論である。
【0101】
【発明の効果】
以上説明したように、本発明によれば、組織外の者が組織外のネットワークから送信するホスト名、ドメイン名、IPアドレス等の情報をDNSプロトコルを通じて取得するためのDNSパケットを検査し、異常があればエラー応答を返す構成としたことにより、
・組織外の者が組織のネットワーク構成情報を利用して組織のネットワークに侵入を行うこと、及び、
・異常な形式のパケットを受信する事でDNSサーバの動作が異常になること、を未然に防ぐことができる、
という効果を奏する。
【0102】
また本発明によれば、組織内の者が組織外のネットワークに属するDNSサーバに送信するホスト名、ドメイン名、IPアドレス等の情報をDNSプロトコルを通じて取得するためのDNSパケットを検査し、異常があればエラー応答を返す構成としたことにより、組織外のネットワークに属するDNSサーバの動作を異常にさせる事未然に防ぐ事が可能となり、組織外のネットワークに属する他組織に対する組織の管理責任を果たすことができる、という効果を奏する。
【0103】
本発明のDNSサーバフィルタのパケット検証手段において、利用者による追加及び削除を可能とし、検証プログラムの記述方法を明示して、利用者自身で検証プログラムの作成を可能としたことにより、新たに判明したDNSサーバの問題に利用者による素早い対処を可能とし、またDNSサーバ自体を問題に対応されたものに置換する場合は、問題に対応する不要な検証プログラムを削除してDNSサーバフィルタの性能を向上させることができる、という効果を奏する。
【図面の簡単な説明】
【図1】本発明の一実施例のDNSサーバフィルタの構成を示す図である。
【図2】本発明の一実施例のDNSサーバフィルタをファイアウォール内に実装した場合の構成を示す図である。
【図3】本発明の一実施例のDNSサーバフィルタを1台の装置に実装し、組織のネットワークに設置した場合の構成を示す図である。
【図4】本発明の一実施例におけるパケット検証部の構成を示す図である。
【図5】本発明の一実施例におけるDNSサーバフィルタの処理を説明するためのフローチャートである。
【図6】本発明の一実施例におけるDNSサーバフィルタの処理を説明するためのフローチャートである。
【図7】本発明の一実施例におけるパケット検証部のプログラム管理テーブルのエントリの一例を示す図である。
【図8】本発明の一実施例におけるセション管理テーブルのエントリの一例を示す図である。
【図9】本発明の一実施例におけるパケット検証部の検証プログラムの処理手順を示すフローチャートである。
【符号の説明】
1 DNSサーバフィルタ
2 パケット受信部
3 セション管理部
4 パケット検証部
5 要求生成部
6 応答生成部
7 パケット送信部
8 管理テーブル(セション管理テーブル)
10 ファイアウオール
11 DNSサーバ
12 TCP/IPドライバ
13、14 NIC
15、16 ネットワーク
17、18 端末
20 ファイアウォール
30 呼出管理部
31 サービスルーチン
32〜35 検証プログラム
36 ロード管理部
37 検証プログラム
38 管理ツール
39 設定ファイル
40 管理テーブル(検証プログラム管理テーブル)
50 エントリポイントアドレス
51 優先順位
52 属性
60 要求パケットへのポインタ
61 要求元IPアドレス
62 要求元ポート番号
63 フラグ

Claims (4)

  1. DNSプロトコルにおける端末及びDNSサーバからの問い合わせ、及び、DNSサーバからの応答パケットを受信するパケット受信部と、
    問い合わせ要求を管理するためのセション管理テーブルを備え、問い合わせ及び応答パケットを管理し全体の制御を行うセション管理部と、
    問い合わせ及び応答パケットが異常であるか否かを検査するパケット検証部と、
    DNSサーバへの問い合わせパケットを生成する要求生成部と、
    問い合わせパケットの送信元に返す応答パケットを生成する応答生成部と、
    問い合わせ及び応答パケットを送信するパケット送信部と、
    を備え、受信したDNSプロトコルのパケットについて該パケットをDNSサーバに渡すまえに、内容に異常があるか否か検査し、異常を検出した際に、エラー応答パケットを生成して要求元に返す、DNSサーバフィルタ装置であって、
    前記パケット検証部が、
    検証プログラムのエントリポイントアドレス情報と、検証プログラムの実行の優先順位情報と、検証プログラムの属性情報とを備えたプログラム管理テーブルを備え、前記検証プログラムの属性を参照し、実行すべき検証プログラムを選択して実行に移す制御を行う呼出管理部と、
    検証プログラムを格納した記憶装置と、
    管理ツールもしくは設定ファイルで指示された検証プログラムの実行ファイルをメモリ上にロードし、ロードされた検証プログラムを初期化し、検証プログラムのエントリポイントを、入手した属性と共に、前記呼出管理部のプログラム管理テーブルに登録し、前記管理ツールで削除が指示された検証プログラムをメモリ上から解放処理を行うように制御するロード管理部と、
    実行される検証プログラムから呼び出されるDNSサーバフィルタ本体の機能を利用するためのサブルーチン群よりなるサービスルーチンと、
    を備え、
    前記セション管理テーブルが、要求パケットへのポインタと、問い合わせ要求を行った要求元のIPアドレスと、問い合わせ要求を行った要求元ポート番号と、問い合わせ要求のパケット形式が正常であった場合に問い合わせ要求を別のDNSサーバに転送しているかどうかを示すフラグと、を備え、
    前記パケット受信部が、DNSパケットを受信すると、該パケットを前記セション管理部に渡し、
    前記セション管理部は、前記セション管理テーブルに、受信したパケットの送信元のIPアドレス、受信したパケットのポート番号を設定し、テスト中を意味する値を前記フラグに設定したのち、受信パケットを、前記パケット検証部に渡してパケットの検査を依頼し、
    前記パケット検証部で前記受信パケットの検査を行った結果、検査結果に問題がある場合、前記セション管理部が、前記受信パケットの種別を調べて、問い合わせ要求であるか否か判定し、問い合わせ要求であれば、前記セション管理部は、前記応答生成部に対して、エラー応答パケットの生成を依頼し、
    生成されたパケットを、前記セション管理テーブルの要求元IPアドレス、ポート番号で指定される相手に対して、前記パケット送信部に送信を依頼し、受信したパケットについて、前記セション管理テーブルに登録されている情報を削除して、受信した問い合わせ要求パケットを解放し、
    受信パケットが問い合わせ要求でない場合には、前記セション管理部は、前記セション管理テーブルを検索して、元の問い合わせ要求に関する部分を取り出し、検索された前記セション管理テーブルのエントリの要求パケットへのポインタから、問い合わせ要求パケットを参照して、これを基に、前記応答生成部に対して、エラー応答パケットの生成を依頼し、前記セション管理テーブルの要求元IPアドレス、及びポート番号で指定される相手に対して、生成した応答パケットを送信するように、前記パケット送信部に対して依頼し、受信した応答パケットについて、前記セション管理テーブルに登録されている情報を削除して応答パケットを解放するとともに、該応答パケットに対応する問い合わせ要求について、前記セション管理テーブルに登録されているエントリを削除する、ことを特徴とするDNSサーバフィルタ装置。
  2. 前記パケット検証部でパケットの検査を行い、検査結果に問題がない場合、前記セション管理部が受信パケットの種別を調べ、応答パケットの場合、前記セション管理部は、該応答パケットに対応する問い合わせ要求の情報を、前記セション管理テーブルから検索し、前記セション管理部が受信した応答パケットが元の問い合わせ要求に対する回答となっているかどうかを調べ、
    前記調査の結果、さらに問い合わせを行う必要があれば、前記セション管理部は、受信した応答パケットの情報から次の問い合わせ先を決定して、前記要求生成部に問い合わせ要求パケットの生成を依頼し、前記パケット送信部に対して次の問い合わせ先への送信を依頼し、
    前記セション管理部は、受信した問い合わせの途中経過である応答パケットに関する情報を、前記セション管理テーブルから削除して応答パケットを解放し、
    前記調査の結果、元々の問い合わせパケットに対する回答となる応答パケットを受信した場合には、前記セション管理部は、応答パケットを受信した応答パケットの結果を反映させた元の問い合わせ要求に対する応答パケットの生成を前記応答生成部に依頼し、前記パケット送信部に元の問い合わせ要求の送信元に対して送信を依頼し、受信した応答パケットに関連する情報を前記セション管理テーブルから削除し、元の問い合わせ要求に関する情報を前記セション管理テーブルから削除し応答パケットを解放する、ことを特徴とする請求項1記載のDNSサーバフィルタ装置。
  3. 前記パケット検証部でパケットの検査を行い、検査結果に問題がない場合、前記セション管理部が受信パケットの種別を調べ、受信したパケットが問い合わせ要求である場合、前記セション管理部が受信パケットの送信元を調べ、前記送信元が組織内部のネットワークからの問い合わせでない場合、組織外のネットワークの問い合わせ要求を解決するために前記セション管理部は、まず最初に問い合わせる組織外のDNSサーバを決定し、元の問い合わせ要求を元にした問い合わせ要求の生成を前記要求生成部に依頼し、その問い合わせ要求パケットを、前記決定されたDNSサーバに対して送信するようにパケット送信部に依頼し、
    前記送信元が組織内部のネットワークからの問い合わせである場合、前記セション管理部は受信した問い合わせ要求パケットを元に要求生成部に問い合わせ要求パケットの生成を依頼し、DNSサーバに対する問い合わせパケットの送信を前記パケット送信部に依頼し、
    前記セション管理部は、受信したパケットに対応する前記セション管理テーブルのエントリ中のフラグに、「問い合わせ中」の値を設定し、受信パケットへのポインタを前記セション管理テーブルのエントリのポインタに設定する、ことを特徴とする請求項1又は2記載のDNSサーバフィルタ装置。
  4. DNSサーバ情報をあらかじめ蓄えておくキャッシュメモリを備えたことを特徴とする請求項1記載のDNSサーバフィルタ装置。
JP2000012757A 2000-01-21 2000-01-21 Dnsサーバフィルタ Expired - Fee Related JP3596400B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000012757A JP3596400B2 (ja) 2000-01-21 2000-01-21 Dnsサーバフィルタ
US09/750,914 US7013343B2 (en) 2000-01-21 2001-01-02 DNS server filter checking for abnormal DNS packets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000012757A JP3596400B2 (ja) 2000-01-21 2000-01-21 Dnsサーバフィルタ

Publications (2)

Publication Number Publication Date
JP2001203762A JP2001203762A (ja) 2001-07-27
JP3596400B2 true JP3596400B2 (ja) 2004-12-02

Family

ID=18540435

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000012757A Expired - Fee Related JP3596400B2 (ja) 2000-01-21 2000-01-21 Dnsサーバフィルタ

Country Status (2)

Country Link
US (1) US7013343B2 (ja)
JP (1) JP3596400B2 (ja)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9603582D0 (en) 1996-02-20 1996-04-17 Hewlett Packard Co Method of accessing service resource items that are for use in a telecommunications system
US7640434B2 (en) * 2001-05-31 2009-12-29 Trend Micro, Inc. Identification of undesirable content in responses sent in reply to a user request for content
US20030182447A1 (en) * 2001-05-31 2003-09-25 Schilling Frank T. Generic top-level domain re-routing system
US7356031B1 (en) * 2002-02-01 2008-04-08 Cisco Technology, Inc. Inter-v4 realm routing
US7734745B2 (en) 2002-10-24 2010-06-08 International Business Machines Corporation Method and apparatus for maintaining internet domain name data
JP3809429B2 (ja) * 2003-07-25 2006-08-16 キヤノン株式会社 管理装置及びその制御方法
US8661158B2 (en) 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US8590032B2 (en) * 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US7783769B2 (en) * 2004-03-31 2010-08-24 Intel Corporation Accelerated TCP (Transport Control Protocol) stack processing
KR100604604B1 (ko) * 2004-06-21 2006-07-24 엘지엔시스(주) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
EP1774751A1 (fr) * 2004-07-09 2007-04-18 France Telecom S.A. Procede, dispositif et systeme de protection d'un serveur contre des attaques de deni de service dns
WO2006044820A2 (en) 2004-10-14 2006-04-27 Aventail Corporation Rule-based routing to resources through a network
CN101019405B (zh) * 2005-01-28 2011-09-28 美国博通公司 用于在通信网络中缓解拒绝服务的方法和系统
US7386633B2 (en) * 2005-04-21 2008-06-10 International Business Machines Corporation Priority based differentiated DNS processing
KR100735321B1 (ko) 2005-09-09 2007-07-04 삼성전자주식회사 무선 패킷 네트워크에서의 착신 패킷 필터링 장치 및 방법
WO2007050244A2 (en) 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US7970878B1 (en) * 2005-11-16 2011-06-28 Cisco Technology, Inc. Method and apparatus for limiting domain name server transaction bandwidth
JP4668775B2 (ja) * 2005-11-28 2011-04-13 株式会社日立製作所 Dnsサーバ装置
US7827280B2 (en) * 2006-02-28 2010-11-02 Red Hat, Inc. System and method for domain name filtering through the domain name system
FI20065179A0 (fi) * 2006-03-20 2006-03-20 Nixu Sofware Oy Kokonaisuudeksi koottu nimipalvelin
US20080148340A1 (en) * 2006-10-31 2008-06-19 Mci, Llc. Method and system for providing network enforced access control
US8862735B1 (en) 2006-12-05 2014-10-14 Aol Inc. IP address management of multiple DHCP and DNS servers
US20080281699A1 (en) 2007-05-11 2008-11-13 Verizon Services Organization Inc. Systems and methods for using ip transport records to provide targeted marketing services
US7860982B2 (en) * 2008-03-14 2010-12-28 Microsoft Corporation Internet connectivity verification
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
EP2359576B1 (en) * 2008-11-20 2017-12-27 Mark Kevin Shull Domain based authentication scheme
US8238538B2 (en) 2009-05-28 2012-08-07 Comcast Cable Communications, Llc Stateful home phone service
FR2950769B1 (fr) * 2009-09-30 2022-09-16 Trustseed Sas Systeme et procede de gestion de sessions de correspondance electronique securisee
US8463887B2 (en) * 2009-12-23 2013-06-11 Citrix Systems, Inc. Systems and methods for server surge protection in a multi-core system
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
KR101223931B1 (ko) 2011-01-28 2013-02-05 주식회사 코닉글로리 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
JP2012216023A (ja) * 2011-03-31 2012-11-08 Toshiba Corp 通信装置、通信プログラム、及び通信システム
US9467421B2 (en) * 2011-05-24 2016-10-11 Palo Alto Networks, Inc. Using DNS communications to filter domain names
JP5987832B2 (ja) * 2011-09-06 2016-09-07 日本電気株式会社 エージェント装置及び通信中継方法
JP6057115B2 (ja) * 2012-03-24 2017-01-11 日本電気株式会社 情報処理システム、情報処理方法、携帯端末、情報処理装置およびその制御方法と制御プログラム
US8990392B1 (en) 2012-04-11 2015-03-24 NCC Group Inc. Assessing a computing resource for compliance with a computing resource policy regime specification
US9106661B1 (en) 2012-04-11 2015-08-11 Artemis Internet Inc. Computing resource policy regime specification and verification
US8799482B1 (en) 2012-04-11 2014-08-05 Artemis Internet Inc. Domain policy specification and enforcement
US9083727B1 (en) 2012-04-11 2015-07-14 Artemis Internet Inc. Securing client connections
US9264395B1 (en) 2012-04-11 2016-02-16 Artemis Internet Inc. Discovery engine
JP6007644B2 (ja) * 2012-07-31 2016-10-12 富士通株式会社 通信装置、プログラムおよびルーティング方法
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
JP6084023B2 (ja) * 2012-11-14 2017-02-22 キヤノン株式会社 情報処理装置、プログラム及び制御方法
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
JP6506522B2 (ja) * 2014-09-29 2019-04-24 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US10178195B2 (en) 2015-12-04 2019-01-08 Cloudflare, Inc. Origin server protection notification
US10505985B1 (en) 2016-04-13 2019-12-10 Palo Alto Networks, Inc. Hostname validation and policy evasion prevention
US10547636B2 (en) * 2016-12-28 2020-01-28 Verisign, Inc. Method and system for detecting and mitigating denial-of-service attacks
US10375020B2 (en) 2017-01-18 2019-08-06 Cisco Technology, Inc. Security policy for HTTPS using DNS
CN109451090B (zh) * 2018-11-13 2021-08-10 郑州云海信息技术有限公司 一种域名解析方法及装置

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
JPH09266475A (ja) * 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム
US5805820A (en) * 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6128279A (en) * 1997-10-06 2000-10-03 Web Balance, Inc. System for balancing loads among network servers
US6119171A (en) * 1998-01-29 2000-09-12 Ip Dynamics, Inc. Domain name routing
US6557037B1 (en) * 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
JP2002518726A (ja) * 1998-06-19 2002-06-25 サンマイクロシステムズ インコーポレーテッド プラグインフィルタを用いた拡張性の高いプロキシサーバ
US6256671B1 (en) * 1998-06-24 2001-07-03 Nortel Networks Limited Method and apparatus for providing network access control using a domain name system
US6400707B1 (en) * 1998-08-27 2002-06-04 Bell Atlantic Network Services, Inc. Real time firewall security
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US6434600B2 (en) * 1998-09-15 2002-08-13 Microsoft Corporation Methods and systems for securely delivering electronic mail to hosts having dynamic IP addresses
US6728885B1 (en) * 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
KR100295457B1 (ko) * 1998-11-10 2001-07-12 이계철 서비스 게이트웨이를 이용한 인터넷 액세스 단말간 인터넷 프로토콜(ip) 레벨 연결성 제공 장치 및 방법
US6457061B1 (en) * 1998-11-24 2002-09-24 Pmc-Sierra Method and apparatus for performing internet network address translation
US6480508B1 (en) * 1999-05-12 2002-11-12 Westell, Inc. Router-based domain name system proxy agent using address translation
US6442602B1 (en) * 1999-06-14 2002-08-27 Web And Net Computing System and method for dynamic creation and management of virtual subdomain addresses
US6374292B1 (en) * 1999-07-20 2002-04-16 Sun Microsystems, Inc. Access control system for an ISP hosted shared email server
US6321267B1 (en) * 1999-11-23 2001-11-20 Escom Corporation Method and apparatus for filtering junk email
US6732165B1 (en) * 2000-08-31 2004-05-04 International Business Machines Corporation Simultaneous network configuration of multiple headless machines
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network

Also Published As

Publication number Publication date
JP2001203762A (ja) 2001-07-27
US20010052007A1 (en) 2001-12-13
US7013343B2 (en) 2006-03-14

Similar Documents

Publication Publication Date Title
JP3596400B2 (ja) Dnsサーバフィルタ
JP4546382B2 (ja) 機器検疫方法、および、機器検疫システム
US8887265B2 (en) Named sockets in a firewall
US8584195B2 (en) Identities correlation infrastructure for passive network monitoring
US7840699B2 (en) Name resolution server and packet transfer device
US7360242B2 (en) Personal firewall with location detection
US10218676B2 (en) Flexible network security system and method for permitting trusted process
US6574666B1 (en) System and method for dynamic retrieval loading and deletion of packet rules in a network firewall
US7818565B2 (en) Systems and methods for implementing protocol enforcement rules
US10491561B2 (en) Equipment for offering domain-name resolution services
US20090178110A1 (en) Communication Control Device, Communication Control System, Communication Control Method, and Communication Control Program
US20040111623A1 (en) Systems and methods for detecting user presence
EP0887979A2 (en) Method and apparatus for client-host communication over a computer network
WO2014185394A1 (ja) 中継装置および中継装置の制御方法
JP2008116998A (ja) 端末装置管理システム、データ中継装置、ネットワーク間接続装置、および端末装置の検疫方法
US20060129831A1 (en) System and method of facilitating the identification of a computer on a network
US8326919B1 (en) Network address translation auto-discovery in data storage networks
US11522832B2 (en) Secure internet gateway
US20030053421A1 (en) Method and apparatus for transferring packets in network
JP5267893B2 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
JP2002108729A (ja) ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体
JP2004104739A (ja) ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置
US20230362132A1 (en) Rule selection management based on currently available domain name system (dns) servers
CN113839938B (zh) 一种域名接管漏洞的检测方法和装置
JP4447479B2 (ja) データ処理装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040726

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040830

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080917

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080917

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090917

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090917

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100917

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110917

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees