JP4343914B2 - Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム - Google Patents

Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム Download PDF

Info

Publication number
JP4343914B2
JP4343914B2 JP2006062705A JP2006062705A JP4343914B2 JP 4343914 B2 JP4343914 B2 JP 4343914B2 JP 2006062705 A JP2006062705 A JP 2006062705A JP 2006062705 A JP2006062705 A JP 2006062705A JP 4343914 B2 JP4343914 B2 JP 4343914B2
Authority
JP
Japan
Prior art keywords
response
dns query
response control
query request
control content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006062705A
Other languages
English (en)
Other versions
JP2007243565A (ja
Inventor
伸夫 福島
祐一 島村
泰輔 若杉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006062705A priority Critical patent/JP4343914B2/ja
Publication of JP2007243565A publication Critical patent/JP2007243565A/ja
Application granted granted Critical
Publication of JP4343914B2 publication Critical patent/JP4343914B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムに関する。
従来より、一般的に多く利用されているインターネットサービスにおいて、ホスト名(ドメイン名)とIPアドレス(Internet Protocol Address)とを対応させるDNS(Domain Name System)が多く利用されている。そして、悪意のあるユーザによるこれらDNSサーバに対してのDoS攻撃(Denial of Service)が、DNSサーバを停止させるなど、インターネットサービスの混乱・停止を引き起こす原因となっている。そこで、これらDNSサーバに対してのDoS攻撃に対抗するための有効な手段として、DNSサーバにDNSクエリ要求を送信する発信元のIPアドレスにより、クエリ応答を制御するアクセスコントロール(応答制御)がある。
かかる応答制御を具体的に説明すると、DNSサーバでは、DNSクエリ要求を送信するIPアドレスごとに無応答、拒否応答またはリソースレコード応答などのクエリ応答を規定したアクセスコントロールリストを管理しておき、DNSクエリ要求を送信してきたIPアドレスに基づいてアクセスコントロールリストを参照し、クエリ応答の応答制御を行う。
例を挙げると、DNSサーバで一般的に多く使用されるDNSソフトウエアのBINDでは、この応答制御をシステム単位およびゾーン単位で設定して行うことができる。具体的に説明すると、DNSクエリ要求を受け付けたDNSサーバは、まず、DNSクエリ要求を送信した発信元のIPアドレス(以下、発信元IP)に基づいてシステム単位およびゾーン単位に規定されたアクセスコントロールリストを参照し、応答制御を行う。このように、BINDでは、システム単位とゾーン単位の応答制御を行うことができる。
ところが、この技術では、ゾーンを構成するドメイン単位毎での応答制御ができないため、より細かい条件で応答制御を行うことができない。そこで、この問題を解決するために、ドメイン単位での応答制御を行う技術が開示されている(例えば、特許文献1参照)具体的に説明すると、DNSサーバは、システムやゾーンを構成する全てのドメイン単位で規定されたアクセスコントロールリストを管理する。そして、DNSクエリ要求を受け付けると、DNSサーバは、ドメイン単位に規定されたアクセスコントロールリストに基づいて、応答制御を行う。
特開2005−210513号公報
しかしながら、上記した特許文献1では、登録されている全てのドメインにおいて応答制御の設定をする必要があり、設定箇所が多く、作業が煩雑であるため、DoS攻撃発生時に迅速な応答制御を行うことができないという問題点があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能であるDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、発明は、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSサーバ装置であって、システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶手段と、前記DNSクエリ要求を受信した場合に、前記応答制御内容記憶手段に記憶される前記システム単位および/またはゾーン単位ごとの応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位および/またはゾーン単位ごとの応答制御内容により許可されたDNSクエリ要求に対してのみ、前記応答制御内容記憶手段に記憶される前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手段と、を備えたことを特徴とする。
また、発明は、上記の発明において、前記DNSクエリ応答制御手段は、前記応答制御内容記憶手段が前記システム単位およびゾーン単位ごとの応答制御内容と、前記ドメイン単位の応答制御内容を記憶する場合に、前記応答制御内容記憶手段に記憶される前記システム単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位の応答制御内容により許可されたDNSクエリ要求に対して、前記応答制御内容記憶手段に記憶される前記ゾーン単位の応答制御内容に基づいて応答を制御し、前記ゾーン単位の応答制御内容により許可されたDNSクエリ要求に対して、前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御することを特徴とする。
また、発明は、上記の発明において、前記DNSクエリ応答制御手段は、前記応答制御内容記憶手段に記憶される前記システム単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位の応答制御内容により許可されたDNSクエリ要求に対して、前記応答制御内容記憶手段に記憶される前記ゾーン単位の応答制御内容に基づいて応答制御することなく、前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御することを特徴とする。
また、発明は、上記の発明において、前記応答制御内容記憶手段は、前記システム単位の応答制御内容の少なくとも一つとして、リソースレコードを記憶するものであって、前記DNSクエリ応答制御手段は、前記システム単位の応答制御内容に前記DNSクエリ要求が該当する場合には、前記DNSクエリ要求に対して前記リソースレコードを応答することを特徴とする。
また、発明は、上記の発明において、前記応答制御内容記憶手段は、前記DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに対応付けて、前記応答制御内容を記憶するものであって、前記DNSクエリ応答制御手段は、前記DNSクエリ要求に含まれる当該DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに基づいて、当該DNSクエリ要求に対する応答を制御することを特徴とする。
また、発明は、上記の発明において、前記応答制御内容記憶手段は、前記DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに対応付けて、無応答、拒否応答、リソースレコードのいずれか一つの応答制御内容を記憶するものであって、前記DNSクエリ応答制御手段は、前記DNSクエリ要求に含まれる前記装置アドレスに対応付けて前記応答制御内容記憶手段に記憶される無応答、拒否応答、リソースレコード応答のいずれか一つを行うことを特徴とする。
また、発明は、上記の発明において、前記DNSクエリ要求は、名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求であって、前記DNSクエリ応答制御手段は、前記名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求に対する応答を制御することを特徴とする。
また、発明は、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法であって、システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶に格納する応答制御内容格納工程と、前記DNSクエリ要求を受信した場合に、前記応答制御内容記憶部に記憶される前記システム単位および/またはゾーン単位ごとの応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位および/またはゾーン単位ごとの応答制御内容により許可されたDNSクエリ要求に対してのみ、前記応答制御内容記憶部に記憶される前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御工程と、を含んだことを特徴とする。
また、発明は、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法をコンピュータに実行させるDNSクエリ要求制御プログラムであって、システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶に格納する応答制御内容格納手順と、前記DNSクエリ要求を受信した場合に、前記応答制御内容記憶部に記憶される前記システム単位および/またはゾーン単位ごとの応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位および/またはゾーン単位ごとの応答制御内容により許可されたDNSクエリ要求に対してのみ、前記応答制御内容記憶部に記憶される前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手順と、をコンピュータに実行させることを特徴とする。
発明によれば、DNSクエリ要求に対して、システム単位および/またはゾーン単位による応答制御と、ドメイン単位による応答制御とを組み合わせて適用することができる結果、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
また、発明によれば、ドメイン単位による応答制御を行った後に、システム単位やゾーン単位による応答制御を行う手法に比較して、全体として迅速な応答制御を実現することが可能である。
また、発明によれば、一部のDNSクエリ要求に対してはシステム単位に続いてドメイン単位で応答を制御するなど、ゾーン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。
また、発明によれば、一部のDNSクエリ要求に対してはシステム単位に続いてリソースレコードを応答するなど、ゾーン単位およびドメイン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。
また、発明によれば、DNSクエリ要求の送信元であるDNSクライアント装置ごとやキャッシュサーバ装置ごとに、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
また、発明によれば、システム単位やゾーン単位、ドメイン単位で、無応答、拒否応答、リソースレコード応答(例えば、全クライアント向けに用意された一つのリソースレコード、クライアントアドレスごとに用意されたリソースレコード、国ごとに用意されたリソースレコード、社内外ごとに用意されたリソースレコードなどの応答)のいずれか一つを行うという多様な応答制御を実現することが可能である。
また、発明によれば、DNSサーバ装置が受信する各種の要求に対して、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
以下に添付図面を参照して、この発明に係るDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムの実施例を詳細に説明する。
以下では、実施例1に係るDNSサーバ装置の概要および特徴、DNSサーバ装置の構成および処理の流れを説明し、最後に実施例1による効果を説明する。なお、以下の実施例1に登場する「権威サーバ」とは、特許請求の範囲に記載の「DNSサーバ装置」に対応する。
[DNSサーバ装置(権威サーバ)の概要および特徴]
まず最初に、図1を用いて、実施例1に係るDNSサーバ装置(権威サーバ)の概要および特徴を説明する。図1は、実施例1に係るDNSサーバ装置(権威サーバ)を含むDNSシステムの全体構成を示すシステム構成図である。
図1に示したように、実施例1に係るDNSシステムは、インターネットに複数の権威サーバ30とDNSクライアント10とが接続されて構成されている。かかるDNSシステムにおいて、DNSクライアント10からDNSクエリ要求を受け付けた権威サーバ30は、受信したDNSクエリ要求に対応したリソースレコードを送信元のDNSクライアント10に送信したり、発信元IPに基づいてクエリ応答を拒否する(拒否応答)など、クエリ要求に対する応答制御を行うことを概要とするものであり、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、図1において、権威サーバ30は、任意のドメインを管理するサーバであり、DNSクライアント10のIPアドレスに対応付けて、システム単位、ゾーン単位およびドメイン単位で許可応答または拒否応答が規定されたアクセスコントロールリストを管理している。このような構成を有する権威サーバ30は、DNSクライアント10からDNSクエリ要求が送信されると(図1の(1))、当該DNSクエリ要求を受信し、受信した発信元IPに基づいて、応答制御を実行して(図1の(2))、その結果をクエリ応答として送信元のDNSクライアントに送信する(図1の(3))。
具体的には、権威サーバ30は、受信したDNSクエリ要求の発信元IPに基づいて、まず、システム単位で規定されたアクセスコントロールリストを参照して、その発信元IPが許可応答として規定されている場合には、続いて、ゾーン単位で規定されたアクセスコントロールリストを参照して、同様に許可応答として規定されているか否かを判定する。そして、許可応答として規定されている場合には、次に、ドメイン単位で規定されているアクセスコントロールリストを参照して、同様に許可応答として規定されているか否かを判定し、許可応答として規定されている場合には、規定されているリソースレコードをクエリ応答として送信する。一方、システム単位、ゾーン単位またはドメイン単位でそれぞれ規定されているアクセスコントロールリストに拒否応答として規定されていた場合は、拒否応答をクエリ応答として送信する。
このように、実施例1に係る権威サーバ30は、DNSクエリ要求に対して、システム単位および/またはゾーン単位による応答制御と、ドメイン単位による応答制御とを組み合わせて適用することができる結果、上記した主たる特徴の如く、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
[DNSサーバ装置(権威サーバ)の構成]
次に、図2から図5を用いて、図1に示した権威サーバの構成を説明する。図2は、権威サーバ30の構成を示すブロック図であり、図3は、アクセスコントロールリスト(システム単位)の例を示した図であり、図4は、アクセスコントロールリスト(ゾーン単位)の例を示した図であり、図5は、アクセスコントロールリスト(ドメイン単位)の例を示した図である。図2に示すように、この権威サーバ30は、通信制御I/F部31と、記憶部32と、制御部33とから構成される。
このうち、通信制御I/F部31は、DNSクライアントとの間でやり取りする各種情報に関する通信を制御する手段である。具体的には、DNSクライアントから送信されるDNSクエリ要求を受信し、クエリ応答を発信元のDNSクライアントに送信する。
記憶部32は、制御部33による各種処理に必要なデータおよびプログラムを格納する格納手段(記憶手段)であり、特に本発明に密接に関連するものとしては、アクセスコントロールリスト(システム単位)32aと、アクセスコントロールリスト(ゾーン単位)32bと、アクセスコントロールリスト(ドメイン単位)32cとを備える。なお、記憶部32は、特許請求の範囲に記載の「応答制御内容記憶手段」に対応する。
このうち、アクセスコントロールリスト(システム単位)32aは、DNSクエリ要求の送信元となるDNSクライアント10のIPアドレスに対応付けて、DNSクエリ要求に対する応答制御内容をシステム単位で記憶する手段である。具体的には、図3に例示するように、DNSクエリ要求に対して無応答となるIPアドレスやネットワークアドレス、DNSクエリ要求に対して許可応答となるIPアドレスやネットワークアドレスを列挙して記憶する手段である。例えば、図3では、DNSクエリ要求の発信元IPが172.168.23.1または1234::0:1であるか、172.168.23.192/26に入っているなら、無応答となり、DNSクエリ要求の発信元IPが172.168.23.0/24または1234::/112に入っていなければ、拒否応答となる。
アクセスコントロールリスト(ゾーン単位)32bは、DNSクエリ要求の送信元となるDNSクライアント10のIPアドレスに対応付けて、DNSクエリ要求に対する応答制御内容をゾーン単位で記憶する手段である。具体的には、図4に例示するように、ゾーン単位(例えば、zone=AAAなど)にDNSクエリ要求に対して許可応答となるIPアドレスやネットワークアドレスを列挙して記憶する手段である。例えば、図4では、zoneがAAAであるネットワークに対してのDNSクエリ要求である場合、DNSクエリ要求の発信元IPが172.168.23.0/24または1234::1:0/120に入っているならば、許可応答となる。
アクセスコントロールリスト(ドメイン単位)32cは、DNSクエリ要求の送信元となるDNSクライアント10のIPアドレスに対応付けて、DNSクエリ要求に対する応答制御内容をリソースレコードファイルとしてドメイン単位で記憶する手段である。具体的には、図5に例示するように、ドメイン単位(例えば、ドメインaaa.AAAなど)にDNSクエリ要求に対して拒否応答となるIPアドレスやネットワークアドレス、拒否応答以外のIPアドレスやネットワークアドレスの場合に、クエリ応答として送信するリソースレコードを列挙して記憶する手段である。例えば、図5では、ドメインがaaa.AAAであるネットワークに対してのDNSクエリ要求である場合、DNSクエリ要求の発信元IPが192.168.23.1ならば拒否応答となり、それ以外ならば、クエリ応答として、DNSクエリ要求に対応したリソースレコードを送信する。
制御部33は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する処理部であり、特に本発明に密接に関連するものとしては、DNSクエリ応答制御部33aを備える。なお、DNSクエリ応答制御部33aは、特許請求の範囲に記載の「DNSクエリ応答制御手段」に対応する。
かかるDNSクエリ応答制御部33aは、DNSクライアント10からDNSクエリ要求を受信して、応答制御を実行する手段である。具体的には、DNSクエリ応答制御部33aは、DNSクエリ要求を受信すると、DNSクエリ要求の発信元IPに基づいて、記憶部32に記憶されているアクセスコントロールリスト(システム単位)32a、アクセスコントロールリスト(ゾーン単位)32b、アクセスコントロールリスト(ドメイン単位)32cを順に参照して、応答制御内容を決定し、クエリ応答を送信する応答制御を行う。
例えば、DNSクエリ要求を受信したDNSクエリ応答制御部33aは、DNSクエリ要求の発信元IPに対応付けてアクセスコントロールリスト(システム単位)32aに「無応答」が規定されている場合は、無応答の応答制御を行い、「許可応答」として規定されている場合には、続いて、アクセスコントロールリスト(ゾーン単位)32bを参照する。そして、アクセスコントロールリスト(ゾーン単位)32bに「許可応答」として規定されていない場合には、拒否応答のクエリ応答を行い、「許可応答」として規定されている場合には、次に、アクセスコントロールリスト(ドメイン単位)32cを参照する。そして、アクセスコントロールリスト(ドメイン単位)32cに「拒否応答」として規定されている場合に、拒否応答のクエリ応答を行い、それ以外の場合には、規定されているリソースレコードのクエリ応答を行う。
[DNSサーバ装置(権威サーバ)による応答制御処理]
次に、図6を用いて、権威サーバによる応答制御処理を説明する。図6は、応答制御処理の流れを示すフローチャートである。
図6に示すように、権威サーバ30は、DNSクエリ要求を受信すると(ステップS601肯定)、アクセスコントロールリスト(システム単位)32aを参照して、DNSクエリ要求の発信元IPがblackhole(無応答)か否かを判定する(ステップS602)。そして、発信元IPがblackhole(無応答)である場合(ステップS602肯定)、権威サーバ30は、無応答の応答制御を行う(ステップS603)。
一方、blackhole(無応答)でない場合、権威サーバ30は、続いて、アクセスコントロールリスト(システム単位)32aを参照して、発信元IPがallow(許可応答)対象であるか否かを判定する(ステップS604)。そして、発信元IPがallow(許可応答)でない場合(ステップS604否定)、権威サーバ30は、拒否応答をクエリ応答として送信する(ステップS605)。
一方、発信元IPがallow対象である場合、権威サーバ30は、次に、アクセスコントロールリスト(ゾーン単位)32bを参照して、発信元IPがゾーン拒否応答の対象か否かを判定する(ステップS606)。そして、発信元IPがゾーン拒否応答の対象である場合には(ステップS606肯定)、権威サーバ30は、拒否応答をクエリ応答として送信する。
一方、発信元IPがゾーン拒否応答の対象でない場合(ステップS606否定)、権威サーバ30は、アクセスコントロールリスト(ドメイン単位)32cを参照して、発信元IPがドメイン拒否応答の対象か否かを判定する(ステップS607)。そして、発信元IPがドメイン拒否応答の対象である場合には(ステップS607肯定)、権威サーバ30は、拒否応答をクエリ応答として送信し、発信元IPがドメイン拒否応答の対象でない場合には(ステップS607否定)、アクセスコントロールリスト(ドメイン単位)32cに規定されているリソースレコードをクエリ応答として送信する(ステップS608)。
[実施例1による効果]
上述してきたように、実施例1によれば、権威サーバ30は、システム単位および/またはゾーン単位ごとにDNSクエリ要求に対する応答制御内容(アクセスコントロールファイル)を記憶するとともに、ドメイン単位ごとにDNSクエリ要求に対する応答制御内容を記憶しておき、システム単位および/またはゾーン単位、並びに、ドメイン単位でDNSクエリ要求に対する応答を制御するので、DNSクエリ要求に対して、システム単位および/またはゾーン単位による応答制御と、ドメイン単位による応答制御とを組み合わせて適用することができる結果、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
また、実施例1によれば、権威サーバ30は、システム単位、ゾーン単位およびドメイン単位ごとにそれぞれ応答制御内容を記憶しておき、システム単位、ゾーン単位、ドメイン単位の順に、各単位で記憶された応答制御内容に基づいて、DNSクエリ要求に対する応答を制御するので、ドメイン単位による応答制御を行った後に、システム単位やゾーン単位による応答制御を行う手法に比較して、全体として迅速な応答制御を実現することが可能である。
また、実施例1によれば、権威サーバ30は、応答制御内容として、無応答、拒否応答、リソースレコードのいずれか一つを記憶しておき、無応答、拒否応答、リソースレコード応答のいずれか一つを行うので、システム単位やゾーン単位、ドメイン単位で、無応答、拒否応答、リソースレコード応答(例えば、全クライアント向けに用意された一つのリソースレコード、クライアントアドレスごとに用意されたリソースレコード、国ごとに用意されたリソースレコード、社内外ごとに用意されたリソースレコードなどの応答)のいずれか一つを行うという多様な応答制御を実現することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例2として、本発明に含まれる他の実施例について説明する。
例えば、実施例1では、権威サーバ30は、DNSクエリ要求を送信するDNSクライアントのIPアドレスに基づいて応答制御を行う場合を説明したが、本発明はこれに限定されるものではなく、DNSのフルサービスリゾルバとして機能するキャッシュサーバのIPアドレスに基づいて応答制御を行ってもよい。
例を挙げれば、図7に示したように、権威サーバ30は、任意のドメインを管理するサーバであり、キャッシュサーバ20のIPアドレスに対応付けて、システム単位、ゾーン単位およびドメイン単位で許可応答または拒否応答が規定されたアクセスコントロールリストを管理している。このような構成のもと、DNSクライアント10からDNSクエリ要求が送信されると(図7の(1))、このDNSクエリ要求を受信したキャッシュサーバ20が、任意のドメインを管理する権威サーバ30にDNSクエリ要求を送信する(図7の(2))。そして、このDNSクエリ要求を受信した権威サーバ30は、送信元のキャッシュサーバのIPアドレスに基づいて、応答制御を行い(図7の(3))、その結果をクエリ応答としてキャッシュサーバ20に送信する(図7の(4))。続いて、当該クエリ応答を受信したキャッシュサーバ20は、当該DNSクエリ要求を送信したDNSクライアント10にクエリ応答を送信する(図7の(5))。これにより、DNSクエリ要求の送信元であるキャッシュサーバ装置ごとに、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
また、実施例1では、DNSクエリ要求の発信元IPに基づいてシステム単位、ゾーン単位およびドメイン単位の順に応答制御を行う場合を説明したが、本発明はこれに限定されるものではなく、ゾーン単位での応答制御を省略して、システム単位、ドメイン単位の順に応答制御を行うようにしてもよい。これにより、一部のDNSクエリ要求に対してはシステム単位に続いてドメイン単位で応答を制御するなど、ゾーン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。
さらに、ドメイン単位での応答制御も省略して、システム単位でリソースレコードに応答するように応答制御を行ってもよく、これにより、一部のDNSクエリ要求に対してはシステム単位に続いてリソースレコードを応答するなど、ゾーン単位およびドメイン単位の応答制御を省くことで、全体として一層迅速な応答制御を実現することが可能である。
また、実施例1では、DNSクエリ要求の応答制御を行う場合を説明したが、本発明はこれに限定されるものではなく、例えば、名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求(ノーティファイ)、または、ゾーン転送の応答制御を行う場合にも本発明を同様に適用すること可能である。これにより、権威サーバ30が受信する各種の要求に対して、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することが可能である。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図5に示したDNSサーバ装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、DNSサーバ装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に、分散・統合して構成することができる。さらに、DNSサーバ装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、上記の実施例では、本発明を実現するDNSサーバ装置を機能面から説明したが、DNSサーバ装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータにプログラムを実行させることによって実現することもできる。すなわち、上記の実施例で説明した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。つまり、例を挙げれば、実施例に示したようなDNSクエリ要求制御プログラムを格納したCD−ROM(装置ごとに別個のCD−ROMであってもよい)を配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。
以上のように、本発明に係るDNSサーバ装置、DNSクエリ要求制御方法およびDNSクエリ要求制御プログラムは、DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するのに有用であり、特に、システム単位やゾーン単位による簡易かつ迅速な応答制御とともに、ドメイン単位による細かな応答制御を実現することに適する。
DNSサーバ装置を含むDNSシステムの全体構成を示すシステム構成図である。 DNSサーバ装置の構成を示すブロック図である。 アクセスコントロールリスト(システム単位)の例を示した図である。 アクセスコントロールリスト(ゾーン単位)の例を示した図である。 アクセスコントロールリスト(ドメイン単位)の例を示した図である。 実施例1に係るDNSサーバ装置(権威サーバ)による応答制御処理の流れを示すフローチャートである。 実施例2に係るキャッシュサーバを含めたDNSシステムの全体構成を示すシステム構成図である。
符号の説明
10 DNSクライアント
20 キャッシュサーバ
30 権威サーバ
31 通信制御I/F部
32 記憶部
32a アクセスコントロールリスト(システム単位)
32b アクセスコントロールリスト(ゾーン単位)
32c アクセスコントロールリスト(ドメイン単位)
33 制御部
33a DNSクエリ応答制御部

Claims (9)

  1. DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSサーバ装置であって、
    システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶手段と、
    前記DNSクエリ要求を受信した場合に、前記応答制御内容記憶手段に記憶される前記システム単位および/またはゾーン単位ごとの応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位および/またはゾーン単位ごとの応答制御内容により許可されたDNSクエリ要求に対してのみ、前記応答制御内容記憶手段に記憶される前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手段と、
    を備えたことを特徴とするDNSサーバ装置。
  2. 前記DNSクエリ応答制御手段は、前記応答制御内容記憶手段が前記システム単位およびゾーン単位ごとの応答制御内容と、前記ドメイン単位の応答制御内容を記憶する場合に、前記応答制御内容記憶手段に記憶される前記システム単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位の応答制御内容により許可されたDNSクエリ要求に対して、前記応答制御内容記憶手段に記憶される前記ゾーン単位の応答制御内容に基づいて応答を制御し、前記ゾーン単位の応答制御内容により許可されたDNSクエリ要求に対して、前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御することを特徴とする請求項1に記載のDNSサーバ装置。
  3. 前記DNSクエリ応答制御手段は、前記応答制御内容記憶手段に記憶される前記システム単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位の応答制御内容により許可されたDNSクエリ要求に対して、前記応答制御内容記憶手段に記憶される前記ゾーン単位の応答制御内容に基づいて応答制御することなく、前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御することを特徴とする請求項2に記載のDNSサーバ装置。
  4. 前記応答制御内容記憶手段は、前記システム単位の応答制御内容の少なくとも一つとして、リソースレコードを記憶するものであって、
    前記DNSクエリ応答制御手段は、前記システム単位の応答制御内容に前記DNSクエリ要求が該当する場合には、前記DNSクエリ要求に対して前記リソースレコードを応答することを特徴とする請求項2に記載のDNSサーバ装置。
  5. 前記応答制御内容記憶手段は、前記DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに対応付けて、前記応答制御内容を記憶するものであって、
    前記DNSクエリ応答制御手段は、前記DNSクエリ要求に含まれる当該DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに基づいて、当該DNSクエリ要求に対する応答を制御することを特徴とする請求項1〜4のいずれか一つに記載のDNSサーバ装置。
  6. 前記応答制御内容記憶手段は、前記DNSクエリ要求の送信元となるDNSクライアント装置および/またはキャッシュサーバ装置を識別するための装置アドレスに対応付けて、無応答、拒否応答、リソースレコードのいずれか一つの応答制御内容を記憶するものであって、
    前記DNSクエリ応答制御手段は、前記DNSクエリ要求に含まれる前記装置アドレスに対応付けて前記応答制御内容記憶手段に記憶される無応答、拒否応答、リソースレコード応答のいずれか一つを行うことを特徴とする請求項1〜5のいずれか一つに記載のDNSサーバ装置。
  7. 前記DNSクエリ要求は、名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求であって、
    前記DNSクエリ応答制御手段は、前記名前解決に係る要求、ダイナミックDNSに係る要求、ゾーン更新に係る要求、または、ゾーン転送に係る要求に対する応答を制御することを特徴とする請求項1〜6のいずれか一つに記載のDNSサーバ装置。
  8. DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法であって、
    システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶に格納する応答制御内容格納工程と、
    前記DNSクエリ要求を受信した場合に、前記応答制御内容記憶部に記憶される前記システム単位および/またはゾーン単位ごとの応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位および/またはゾーン単位ごとの応答制御内容により許可されたDNSクエリ要求に対してのみ、前記応答制御内容記憶部に記憶される前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御工程と、
    を含んだことを特徴とするDNSクエリ要求制御方法。
  9. DNSクエリ要求を受信して当該DNSクエリ要求に対する応答を制御するDNSクエリ要求制御方法をコンピュータに実行させるDNSクエリ要求制御プログラムであって、
    システム単位および/またはゾーン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶するとともに、ドメイン単位ごとに前記DNSクエリ要求に対する応答制御内容を記憶する応答制御内容記憶に格納する応答制御内容格納手順と、
    前記DNSクエリ要求を受信した場合に、前記応答制御内容記憶部に記憶される前記システム単位および/またはゾーン単位ごとの応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御し、前記システム単位および/またはゾーン単位ごとの応答制御内容により許可されたDNSクエリ要求に対してのみ、前記応答制御内容記憶部に記憶される前記ドメイン単位の応答制御内容に基づいて、前記DNSクエリ要求に対する応答を制御するDNSクエリ応答制御手順と、
    をコンピュータに実行させることを特徴とするDNSクエリ要求制御プログラム。
JP2006062705A 2006-03-08 2006-03-08 Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム Active JP4343914B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006062705A JP4343914B2 (ja) 2006-03-08 2006-03-08 Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006062705A JP4343914B2 (ja) 2006-03-08 2006-03-08 Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム

Publications (2)

Publication Number Publication Date
JP2007243565A JP2007243565A (ja) 2007-09-20
JP4343914B2 true JP4343914B2 (ja) 2009-10-14

Family

ID=38588658

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006062705A Active JP4343914B2 (ja) 2006-03-08 2006-03-08 Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム

Country Status (1)

Country Link
JP (1) JP4343914B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4592789B2 (ja) * 2008-07-29 2010-12-08 日本電信電話株式会社 通信制御装置、通信制御方法および通信制御処理プログラム
JP6285884B2 (ja) * 2015-03-04 2018-02-28 日本電信電話株式会社 Enumサーバ、および、特異アクセス判定方法

Also Published As

Publication number Publication date
JP2007243565A (ja) 2007-09-20

Similar Documents

Publication Publication Date Title
US9300623B1 (en) Domain name system cache integrity check
JP6058699B2 (ja) サーバー・ネーム・インディケーション(sni)を伴わない暗黙的なssl証明書管理
US7630985B2 (en) Data server, data management method, and data management system
US8689280B2 (en) DNS-based content routing
US7454421B2 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
RU2461050C2 (ru) Сетевое имя группы для виртуальных машин
US20140075531A1 (en) Using identity/resource profile and directory enablers to support identity management
US10270782B2 (en) Virtual desktopaccess control
US7194532B2 (en) Distributed file management method and program therefor
US8078754B2 (en) Group access privatization in clustered computer system
JP6096376B2 (ja) アクセス制御方法、装置、プログラム、及び記録媒体
CN111327668B (zh) 网络管理方法、装置、设备和存储介质
US10178183B2 (en) Techniques for prevent information disclosure via dynamic secure cloud resources
JP4362487B2 (ja) Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
US9565276B2 (en) Transparent redirection of clients to a surrogate payload server through the use of a proxy location server
JP4343914B2 (ja) Dnsサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
CA3102850A1 (en) Domain name security in cloud computing environment
JP4223045B2 (ja) Dnsサーバ装置、要求電文処理方法および要求電文処理プログラム
JP4492569B2 (ja) ファイル操作制御装置、ファイル操作制御システム、ファイル操作制御方法及びファイル操作制御プログラム
CN111641696B (zh) 一种基于分布式系统环境的WebService服务注册和治理方法及系统
JP7038165B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN107623683B (zh) 一种通过动态的安全的云资源防止信息公开的方法
JP2006352641A (ja) ドメイン情報記憶装置、ドメイン情報記憶方法およびドメイン情報記憶プログラム
JP2009044216A (ja) ネットワーク流出情報の拡散抑止方法及びシステム
JP5339611B2 (ja) 既存ファイルサーバへのアクセス可能なクライアントコンピュータを制限する方法及びシステム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081111

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090707

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090709

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120717

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4343914

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130717

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350