JP5180146B2 - DNS message forwarding apparatus, DNS message forwarding system, DNS message forwarding method, and DNS message forwarding program - Google Patents
DNS message forwarding apparatus, DNS message forwarding system, DNS message forwarding method, and DNS message forwarding program Download PDFInfo
- Publication number
- JP5180146B2 JP5180146B2 JP2009126850A JP2009126850A JP5180146B2 JP 5180146 B2 JP5180146 B2 JP 5180146B2 JP 2009126850 A JP2009126850 A JP 2009126850A JP 2009126850 A JP2009126850 A JP 2009126850A JP 5180146 B2 JP5180146 B2 JP 5180146B2
- Authority
- JP
- Japan
- Prior art keywords
- dns
- forwarder
- query response
- dns query
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、DNSメッセージ回送装置、DNSメッセージ回送システム、DNSメッセージ回送方法およびDNSメッセージ回送プログラムに関する。 The present invention relates to a DNS message forwarding apparatus, a DNS message forwarding system, a DNS message forwarding method, and a DNS message forwarding program.
近年、人間が理解しやすい文字列(ドメイン名)と実際の通信に使用する数字列(IPアドレス)とを対応付けるDNS(Domain Name System、非特許文献1〜3参照)が広く利用されている。このDNSによって、一般ユーザは、ドメイン名を指定することにより所望の通信相手との通信が可能となっている。
In recent years, DNS (Domain Name System, see Non-Patent
上記のDNSは、ドメイン名の最後尾に配置されるトップレベルドメインを管理する各DNS権威サーバ装置のIPアドレスを管理しているルートDNS権威サーバ装置を頂点として、下位レベルドメインを管理する複数のDNS権威サーバ装置をネットワーク上に階層的に配置した構成を有する。このようにして、DNSは、ドメイン名とIPアドレスの対応関係を各DNS権威サーバで分散管理する。 The above DNS has a plurality of lower level domains managed with the root DNS authoritative server device managing the IP address of each DNS authoritative server device managing the top level domain arranged at the end of the domain name as a vertex. It has a configuration in which DNS authoritative server devices are arranged hierarchically on a network. In this way, the DNS manages the correspondence between domain names and IP addresses in a distributed manner by each DNS authority server.
そして、一般ユーザ等のDNSクライアント装置からドメイン名に対応するIPアドレスの問合せ(名前解決要求:DNSクエリ要求)が送信されると、DNS権威サーバ装置は、ドメイン名に対応するIPアドレスを検索して、検索結果をDNSクエリ応答としてDNSクライアント装置に応答する。 When a DNS client device such as a general user sends an IP address query (name resolution request: DNS query request) corresponding to the domain name, the DNS authoritative server device searches for the IP address corresponding to the domain name. The search result is returned to the DNS client device as a DNS query response.
ところで、上記のDNSでは、分散配備されているDNS権威サーバ装置との連携、それから、名前解決要求(DNSクエリ要求)への応答に要するDNS権威サーバ装置やネットワークの負荷を低減させることを目的として、DNSクライアント装置とDNS権威サーバ装置との間に、一度検索したドメイン名とIPアドレスとの対応付けを一定期間記憶するDNSキャッシュサーバ装置を設ける技術がある。 By the way, in the above-mentioned DNS, for the purpose of reducing the load on the DNS authoritative server device and the network required for cooperation with the DNS authoritative server devices distributed and then responding to the name resolution request (DNS query request). There is a technique in which a DNS cache server device is provided between a DNS client device and a DNS authoritative server device for storing a correspondence between a domain name and an IP address once retrieved for a certain period.
DNSキャッシュサーバ装置は、DNSクライアント装置からDNSクエリ要求を受信すると、受信したDNSクエリ要求に含まれるドメイン名に対応したIPアドレスがキャッシュされているか否かを判定し、キャッシュされていない場合には、DNS権威サーバ装置との間でDNSメッセージをやり取りすることで再帰的に名前解決を行う。 When receiving the DNS query request from the DNS client device, the DNS cache server device determines whether or not the IP address corresponding to the domain name included in the received DNS query request is cached. Name resolution is recursively performed by exchanging DNS messages with the DNS authoritative server device.
そして、DNSキャッシュサーバ装置は、DNS権威サーバ装置から受信した最終的なDNSクエリ応答が有するヘッダ部に、権威のある応答であることを示す「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容(ドメイン名とIPアドレスとの対応付け)をキャッシュするとともに、最終的な検索結果をDNSクライアント装置に応答する。ここで、「(1)」はAA−bitに「1」が設定されている状態を表し、「(0)」はAA−bitに「0」が設定されている状態を表す。 In the DNS cache server device, “AA-bit = ON (1)” indicating that the response is an authoritative response is set in the header part of the final DNS query response received from the DNS authoritative server device. If there is, the content of the DNS query response (correspondence between the domain name and the IP address) is cached as an authoritative response, and the final search result is returned to the DNS client device. Here, “(1)” represents a state in which “1” is set in AA-bit, and “(0)” represents a state in which “0” is set in AA-bit.
ここで、図12を参照しつつ、DNSキャッシュサーバ装置を有するDNSの動作について具体的に説明する。図12は、従来技術におけるDNSキャッシュサーバ装置を有するDNSの動作を説明するためのシーケンス図である。図12に示すように、DNSクライアント装置は、DNSキャッシュサーバ装置に対して名前解決要求(DNSクエリ要求)を送信する(ステップS01)。 Here, the operation of the DNS having the DNS cache server device will be specifically described with reference to FIG. FIG. 12 is a sequence diagram for explaining the operation of the DNS having the DNS cache server device in the prior art. As shown in FIG. 12, the DNS client device transmits a name resolution request (DNS query request) to the DNS cache server device (step S01).
DNSキャッシュサーバ装置は、DNSクライアント装置からDNSクエリ要求を受信すると、対応するDNSクエリ応答の内容がキャッシュされているか否かを判定し、キャッシュされていない場合には(ステップS02)、DNSクエリ要求をDNS権威サーバ装置に送信する(ステップS03)。DNS権威サーバ装置は、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSキャッシュサーバ装置に送信する(ステップS04)。 When receiving the DNS query request from the DNS client device, the DNS cache server device determines whether or not the content of the corresponding DNS query response is cached. If not (step S02), the DNS query request Is transmitted to the DNS authoritative server device (step S03). The DNS authoritative server device transmits a DNS query response in which “AA-bit = ON (1)” is set in the header portion to the DNS cache server device (step S04).
DNSキャッシュサーバ装置は、DNS権威サーバ装置からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容をキャッシュする(ステップS05)。 When receiving the DNS query response from the DNS authoritative server device, the DNS cache server device determines whether “AA-bit = ON (1)” is set in the header part of the DNS query response, and “AA-bit” If "= ON (1)" is set, the contents of the DNS query response are cached as an authoritative response (step S05).
そして、DNSキャッシュサーバ装置は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置に送信する(ステップS06)。 Then, the DNS cache server device transmits a DNS query response in which “AA-bit = OFF (0)” is set in the header portion to the DNS client device (step S06).
また、DNSクライアント装置は、DNSキャッシュサーバ装置に対して、上述したステップS01と同一のDNSクエリ要求を送信する(ステップS07)。DNSキャッシュサーバ装置は、DNSクライアント装置から受信したDNSクエリに対応するキャッシュがあるか否かを判定し、キャッシュがある場合(キャッシュヒットした場合)には(ステップS08)、DNSクエリをDNS権威サーバ装置に送信するまでもなく、「AA−bit=OFF(0)」をヘッダに設定したDNSクエリ応答をDNSクライアント装置に送信する(ステップS09)。 Further, the DNS client device transmits the same DNS query request as that in step S01 described above to the DNS cache server device (step S07). The DNS cache server device determines whether or not there is a cache corresponding to the DNS query received from the DNS client device. If there is a cache (cache hit) (step S08), the DNS query is sent to the DNS authoritative server. Needless to say, the DNS query response in which “AA-bit = OFF (0)” is set in the header is transmitted to the DNS client device (step S09).
このように、DNSキャッシュサーバ装置を適用することで、名前解決要求(DNSクエリ)への応答に要するDNS権威サーバ装置やネットワークの負荷を低減することができる。 In this way, by applying the DNS cache server device, it is possible to reduce the load on the DNS authoritative server device and the network required for the response to the name resolution request (DNS query).
さらに、セキュリティ向上の観点から、上述したDNSキャッシュサーバ装置をDNS回送サーバ装置とDNSフォワーダ装置とに分散し、インターネット等の外部のネットワークに存在するDNS権威サーバ装置との通信をDNSフォワーダ装置に限定する技術も存在する。 Further, from the viewpoint of improving security, the above-described DNS cache server device is distributed to the DNS forwarding server device and the DNS forwarder device, and communication with the DNS authoritative server device existing in an external network such as the Internet is limited to the DNS forwarder device. There are also techniques to do this.
ここで、図13を参照しつつ、DNSフォワーダ装置を有するDNSの動作について具体的に説明する。図13は、従来技術におけるDNSフォワーダ装置を有するDNSの動作を説明するためのシーケンス図である。図13に示すように、DNSクライアント装置は、DNS回送サーバ装置に対して、DNSクエリ要求を送信する(ステップS11)。 Here, the operation of the DNS having the DNS forwarder apparatus will be specifically described with reference to FIG. FIG. 13 is a sequence diagram for explaining the operation of the DNS having the DNS forwarder device in the prior art. As shown in FIG. 13, the DNS client device transmits a DNS query request to the DNS forwarding server device (step S11).
DNS回送サーバ装置は、DNSクライアント装置からDNSクエリ要求を受信すると、対応するキャッシュがあるか否かを判定し、キャッシュが無い場合には(ステップS12)、DNSクエリ要求をDNSフォワーダ装置に送信する(ステップS13)。 When receiving the DNS query request from the DNS client device, the DNS forwarding server device determines whether or not there is a corresponding cache, and if there is no cache (step S12), transmits the DNS query request to the DNS forwarder device. (Step S13).
DNSフォワーダ装置は、DNS回送サーバ装置から受信したDNSクエリ要求をDNS権威サーバ装置に送信する(ステップS14)。DNS権威サーバ装置は、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置に送信する(ステップS15)。 The DNS forwarder device transmits the DNS query request received from the DNS forwarding server device to the DNS authoritative server device (step S14). The DNS authoritative server device transmits a DNS query response in which “AA-bit = ON (1)” is set in the header portion to the DNS forwarder device (step S15).
DNSフォワーダ装置は、DNS権威サーバ装置からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容をキャッシュする(ステップS16)。そして、DNSフォワーダ装置は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置に送信する(ステップS17)。 When the DNS forwarder apparatus receives the DNS query response from the DNS authoritative server apparatus, the DNS forwarder apparatus determines whether “AA-bit = ON (1)” is set in the header part of the DNS query response, and “AA-bit = If "ON (1)" is set, the DNS query response content is cached as an authoritative response (step S16). Then, the DNS forwarder device transmits a DNS query response in which “AA-bit = OFF (0)” is set in the header portion to the DNS forwarding server device (step S17).
DNS回送サーバ装置は、DNSフォワーダ装置からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のデータ判定を行い、「AA−bit=OFF(0)」が設定されている場合には、権威のない応答として、DNSクエリ応答の内容をキャッシュすることなく(ステップS18)、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置に送信する(ステップS19)。 When the DNS forwarding server apparatus receives the DNS query response from the DNS forwarder apparatus, the DNS forwarding server apparatus performs data determination of the header part of the DNS query response, and when “AA-bit = OFF (0)” is set, As a response, the DNS query response with “AA-bit = OFF (0)” set in the header portion is transmitted as it is to the DNS client device without caching the contents of the DNS query response (step S18) (step S19). ).
また、DNSクライアント装置は、DNS回送サーバ装置に対して、上述したステップS11と同一のDNSクエリ要求を送信する(ステップS20)。DNS回送サーバ装置は、DNSクライアント装置からDNSクエリ要求を受信すると、対応するキャッシュがあるか否かを判定するが、上記のステップS18で説明したようにキャッシュは無いので(ステップS21)、DNSクエリ要求をDNSフォワーダ装置に送信する(ステップS22)。 In addition, the DNS client device transmits the same DNS query request as that in Step S11 described above to the DNS forwarding server device (Step S20). When the DNS forwarding server apparatus receives the DNS query request from the DNS client apparatus, it determines whether or not there is a corresponding cache, but there is no cache as described in step S18 above (step S21). The request is transmitted to the DNS forwarder device (step S22).
DNSフォワーダ装置は、DNS回送サーバ装置からDNSクエリ要求を受信すると、対応するDNSクエリ応答がキャッシュされているか否かを判定するが、上記のステップS16で説明したようにキャッシュヒットするので(ステップS23)、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置に送信する(ステップS24)。 When the DNS forwarder apparatus receives the DNS query request from the DNS forwarding server apparatus, the DNS forwarder apparatus determines whether or not the corresponding DNS query response is cached, but the cache hit occurs as described in step S16 above (step S23). ), A DNS query response in which “AA-bit = OFF (0)” is set in the header is transmitted to the DNS forwarding server device (step S24).
DNS回送サーバ装置は、DNSフォワーダ装置からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部のデータ判定を行うが、「AA−bit=OFF(0)」が設定されていないので、上述したステップS18と同様に、権威のない応答として、DNSクエリ応答の内容をキャッシュすることなく(ステップS25)、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置に送信する(ステップS26)。 When the DNS forwarding server device receives the DNS query response from the DNS forwarder device, it performs data determination of the header part of the DNS query response, but “AA-bit = OFF (0)” is not set, so the above-described steps As in S18, the DNS query response in which “AA-bit = OFF (0)” is set in the header part is directly used as a DNS client without caching the DNS query response content as an unauthorized response (step S25). The data is transmitted to the device (step S26).
上述したDNSフォワーダ装置を用いる技術(図13参照)では、DNSクライアント装置からのDNSクエリ要求に対して、必ず、DNSフォワーダ装置まで問い合わせを行うことになる。したがって、DNSキャッシュサーバ装置を用いる技術(図12参照)に比べて、DNS回送サーバ装置からDNSフォワーダ装置へのDNSクエリ要求、およびDNSフォワーダ装置からDNS回送サーバ装置へのDNSクエリ応答といった、より多くの処理が発生する。このため、DNSキャッシュサーバ装置を用いる技術(図12参照)に比べて、CPUやメモリ等のリソース量がより多く必要となる。 In the technique using the DNS forwarder apparatus described above (see FIG. 13), an inquiry is always made to the DNS forwarder apparatus in response to the DNS query request from the DNS client apparatus. Therefore, compared to the technique using the DNS cache server device (see FIG. 12), there are more DNS query requests from the DNS forwarding server device to the DNS forwarder device, and DNS query responses from the DNS forwarder device to the DNS forwarding server device. Process occurs. For this reason, compared with the technique (refer FIG. 12) using a DNS cache server apparatus, more resources, such as CPU and a memory, are needed.
また、上述したDNSフォワーダ装置を用いる技術では、DNSキャッシュサーバ装置を用いる技術に比べて、DNS回送サーバ装置とDNSフォワーダ装置との間の回線容量も必要となる。 Further, in the technology using the DNS forwarder device described above, the line capacity between the DNS forwarding server device and the DNS forwarder device is also required as compared with the technology using the DNS cache server device.
このように、上述したDNSフォワーダ装置を用いる技術(図13参照)は、セキュリティの向上を図る一方で、DNSキャッシュサーバ装置を用いる技術(図12参照)に比べて、DNSクエリ要求を処理する場合のシステムの負荷が大きいという問題がある。 As described above, the technique using the DNS forwarder apparatus described above (see FIG. 13) improves the security, while processing the DNS query request as compared with the technique using the DNS cache server apparatus (see FIG. 12). There is a problem that the load on the system is large.
本発明は、上記に鑑みてなされたものであって、セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合のシステムの負荷を軽減することが可能なDNSメッセージ回送装置、DNSメッセージ回送システム、DNSメッセージ回送方法およびDNSメッセージ回送プログラムを提供することを目的とする。 The present invention has been made in view of the above. A DNS message forwarding apparatus, a DNS message forwarding system, which can reduce the system load when processing a DNS query request while improving security. An object is to provide a DNS message forwarding method and a DNS message forwarding program.
上述した課題を解決し、目的を達成するために、本発明は、外部ネットワークを介してDNS権威サーバ装置に接続されたDNSフォワーダ装置とDNSクライアント装置との間でやり取りされるDNSメッセージを回送するDNS回送サーバ装置であって、前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、当該DNSクエリ応答をキャッシュするキャッシュ制御手段と、前記DNSクライアント装置からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答を前記キャッシュ制御手段によってキャッシュされたDNSクエリ応答の中から取得して前記DNSクエリ要求の送信元であるDNSクライアント装置に送信するクエリ制御手段とを備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention forwards a DNS message exchanged between a DNS forwarder device and a DNS client device connected to a DNS authoritative server device via an external network. When the DNS forwarding server apparatus receives a DNS query response from the DNS forwarder apparatus, the cache control caches the DNS query response regardless of whether or not the received DNS query response is an authoritative response. And when a DNS query request is received from the DNS client device, a DNS query response corresponding to the received DNS query request is acquired from the DNS query response cached by the cache control unit, and the DNS query request is acquired. DNS client device that is the source of Characterized in that a query control means for transmitting to.
また、本発明は、DNSクライアント装置と、DNS権威サーバ装置と、外部ネットワークを介して前記DNS権威サーバ装置に接続されたDNSフォワーダ装置と、前記DNSクライアント装置とDNSフォワーダ装置との間でやり取りされるDNSメッセージを回送するDNSメッセージ回送装置とを有するDNSメッセージ回送システムであって、
前記DNSメッセージ回送装置が、前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、当該DNSクエリ応答をキャッシュするキャッシュ制御手段と、前記DNSクライアント装置からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答を前記キャッシュ制御手段によってキャッシュされたDNSクエリ応答の中から取得して前記DNSクエリ要求の送信元であるDNSクライアント装置に送信するクエリ制御手段とを備えたことを特徴とする。
In addition, the present invention is exchanged between a DNS client device, a DNS authoritative server device, a DNS forwarder device connected to the DNS authoritative server device via an external network, and the DNS client device and the DNS forwarder device. A DNS message forwarding system comprising a DNS message forwarding device for forwarding a DNS message.
When the DNS message forwarding device receives a DNS query response from the DNS forwarder device, cache control means for caching the DNS query response regardless of whether the received DNS query response is an authoritative response When a DNS query request is received from the DNS client device, a DNS query response corresponding to the received DNS query request is acquired from the DNS query response cached by the cache control unit, and the DNS query request Query control means for transmitting to a DNS client device as a transmission source.
また、本発明は、外部ネットワークを介してDNS権威サーバ装置に接続されたDNSフォワーダ装置とDNSクライアント装置との間でやり取りされるDNSメッセージを回送するDNSメッセージ回送装置に適用されるDNSメッセージ回送方法であって、前記DNSメッセージ回送装置が、前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、当該DNSクエリ応答を記憶部にキャッシュするキャッシュ制御ステップと、前記DNSメッセージ回送装置が、前記DNSクライアント装置からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答を前記キャッシュ制御ステップによって前記記憶部にキャッシュされたDNSクエリ応答の中から取得して前記DNSクエリ要求の送信元であるDNSクライアント装置に送信するクエリ制御ステップとを含んだことを特徴とする。 The present invention also provides a DNS message forwarding method applied to a DNS message forwarding device that forwards a DNS message exchanged between a DNS forwarder device and a DNS client device connected to a DNS authoritative server device via an external network. When the DNS message forwarding device receives a DNS query response from the DNS forwarder device, it stores the DNS query response regardless of whether the received DNS query response is an authoritative response. A cache control step of caching in a storage unit, and when the DNS message forwarding device receives a DNS query request from the DNS client device, a DNS query response corresponding to the received DNS query request is stored in the storage unit by the cache control step. In cash Has been acquired from the DNS query response is characterized by including a query control step of transmitting to the DNS client device which is the transmission source of the DNS query requests.
また、本発明は、DNSメッセージ回送プログラムが、上記方法に対応する処理をコンピュータに実行させることを特徴とする。 The present invention is also characterized in that a DNS message forwarding program causes a computer to execute processing corresponding to the above method.
本発明によれば、セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合のシステムの負荷を軽減することが可能になるという効果を奏する。 According to the present invention, it is possible to reduce the load on the system when processing a DNS query request while improving security.
以下に、本発明に係るDNSメッセージ回送装置、DNSメッセージ回送システム、DNSメッセージ回送方法およびDNSメッセージ回送プログラムの実施例を図面に基づいて詳細に説明する。なお、以下に示す実施例では、DNSクライアント装置と、DNS回送サーバ装置と、DNSフォワーダ装置と、DNS権威サーバ装置とを有するDNSに本発明を適用した場合について説明するが、ここで説明する実施例により本発明が限定されるものではない。 Embodiments of a DNS message forwarding apparatus, a DNS message forwarding system, a DNS message forwarding method, and a DNS message forwarding program according to the present invention will be described below in detail with reference to the drawings. In the embodiment described below, a case will be described in which the present invention is applied to a DNS having a DNS client device, a DNS forwarding server device, a DNS forwarder device, and a DNS authoritative server device. The present invention is not limited to the examples.
まず、図1を参照して、実施例1に係るDNSの概要および構成について説明する。図1は、本実施例1に係るDNSの概要および構成を説明するための図である。図1に示すように、本実施例1に係るDNSは、DNSクライアント装置10と、DNS回送サーバ装置100と、DNSフォワーダ装置20と、DNS権威サーバ装置30とを有する。
First, with reference to FIG. 1, the outline | summary and structure of DNS which concern on Example 1 are demonstrated. FIG. 1 is a diagram for explaining the outline and configuration of the DNS according to the first embodiment. As illustrated in FIG. 1, the DNS according to the first embodiment includes a
DNS回送サーバ装置100は、内部NW(内部ネットワーク)を介してDNSフォワーダ装置20およびDNSクライアント装置10に接続されている。DNSフォワーダ装置20は、外部NW(外部ネットワーク)を介してDNS権威サーバ装置30に接続されている。ここで、内部NWは、例えば閉域網であり、外部NWは、例えばインターネットである。また、図1では図示を省略しているが、外部NWには複数のDNS権威サーバ装置30が接続されており、外部NWおよび内部NWには複数のDNSフォワーダ装置20が接続されており、内部NWには複数のDNSクライアント装置10が接続されている。
The DNS
このように、DNSにおいて、外部NWに接続されるサーバ装置をDNSフォワーダ装置20のみに限定することによって、内部NWにおけるセキュリティを向上させることができる。
As described above, in the DNS, by limiting the server device connected to the external NW to the
DNSクライアント装置10は、一般ユーザが利用する端末装置である。具体的には、DNSクライアント装置10は、一般ユーザによってドメイン名が入力された場合に、入力されたドメイン名に対応するIPアドレスを問い合わせるDNSクエリ要求をDNS回送サーバ装置100に送信する。また、DNSクライアント装置10は、DNS回送サーバ装置100からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答に含まれているIPアドレスを用いて目的のサーバ装置と通信を行う。
The
DNS回送サーバ装置100は、DNSクライアント装置10とDNSフォワーダ装置20との間でDNSメッセージを転送する。具体的には、DNS回送サーバ装置100は、DNSクライアント装置10からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求をDNSフォワーダ装置20に送信する。また、DNS回送サーバ装置100は、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答をDNSクライアント装置10に送信する。
The DNS
DNSフォワーダ装置20は、内部NWと外部NWとの間でやり取りされるDNSメッセージを中継する。具体的には、DNSフォワーダ装置20は、DNS回送サーバ装置100からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求をDNS権威サーバ装置30に送信する。また、DNSフォワーダ装置20は、DNS権威サーバ装置30からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答をDNS回送サーバ装置100に送信する。
The
DNS権威サーバ装置30は、ドメイン名とIPアドレスとの対応関係を管理するとともに、ドメイン名をIPアドレスに変換する名前解決を行う。具体的には、DNS権威サーバ装置30は、DNSフォワーダ装置20からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に含まれるドメイン名に対応するIPアドレスを特定する。そして、DNS権威サーバ装置30は、特定したIPアドレスを含めたDNSクエリ応答をDNSフォワーダ装置20に送信する。
The DNS
すなわち、DNSクライアント装置10から送信されたDNSクエリ要求は、DNS回送サーバ装置100によってDNSフォワーダ装置20に回送され、その後、DNSフォワーダ装置20によってDNS権威サーバ装置30に転送される。一方、DNS権威サーバ装置30から送信されたDNSクエリ応答は、DNSフォワーダ装置20によってDNS回送サーバ装置100に転送され、その後、DNS回送サーバ装置100によってDNSクライアント装置10に転送される。
That is, the DNS query request transmitted from the
このような構成のもと、本実施例1に係るDNSでは、DNS回送サーバ装置100が、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、そのDNSクエリ応答をキャッシュする。そして、DNS回送サーバ装置100は、DNSクライアント装置10からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答をキャッシュされたDNSクエリ応答の中から取得して、DNSクエリ要求の送信元であるDNSクライアント装置10に送信する。
Under such a configuration, in the DNS according to the first embodiment, when the DNS forwarding
これにより、本実施例1では、DNS権威サーバ装置30から送信されたDNSクエリ応答の内容がDNS回送サーバ装置100にもキャッシュされるようになるので、内部NW全体でのキャッシュヒット率が向上する。そのため、DNS回送サーバ装置100からDNSフォワーダ装置20への問い合わせが減ることになるので、セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合のシステムの負荷を軽減することが可能になる。以下では、かかるDNS回送サーバ装置100の機能について具体的に説明する。
Thus, in the first embodiment, the contents of the DNS query response transmitted from the DNS
次に、図1を参照して、DNS回送サーバ装置100の構成について説明する。図1に示すように、DNS回送サーバ装置100は、通信制御IF部110と、記憶部120と、キャッシュデータ部130と、制御部140とを有する。
Next, the configuration of the DNS forwarding
通信制御IF部110は、内部NWを介してやり取りされるDNSメッセージの送受信を制御する。具体的には、通信制御IF部110は、DNSクライアント装置10からDNSクエリ要求を受信し、DNSフォワーダ装置20にDNSクエリ要求を送信する。また、通信制御IF部110は、DNSフォワーダ装置20からDNSクエリ応答を受信し、DNSクライアント装置10にDNSクエリ応答を送信する。
The communication control IF
図1の説明にもどって、記憶部120は、制御部140によって実行される処理に必要な各種情報を記憶する。この記憶部120は、特に、フォワード先リスト121を記憶する。図2は、フォワード先リスト121の一例を示す図である。図2に示すように、具体的には、記憶部120は、DNSクエリ要求の転送先となるDNSフォワーダ装置20のIPアドレスを列挙したデータをフォワード先リスト121として記憶する。
Returning to the description of FIG. 1, the storage unit 120 stores various types of information necessary for processing executed by the
キャッシュデータ部130は、DNSフォワーダ装置20を介してDNS権威サーバ装置30から送信されたDNSクエリ応答の内容を記憶する。具体的には、キャッシュデータ部130は、キャッシュDB131を有しており、DNSフォワーダ装置20を介してDNS権威サーバ装置30から送信されたDNSクエリ応答の内容をキャッシュDB131に記憶させる。なお、ここでいうDNSクエリ応答の内容には、ドメイン名とIPアドレスとを対応付けた情報が含まれている。
The
制御部140は、DNS回送サーバ装置100全体を制御する。この制御部140は、特に、クエリ制御部141と、キャッシュ制御部142とを有する。
The
クエリ制御部141は、DNSクライアント装置10およびDNSフォワーダ装置20との間でやり取りされるDNSメッセージの転送を制御する。
The query control unit 141 controls the transfer of DNS messages exchanged between the
具体的には、クエリ制御部141は、通信制御IF部110を介してDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答がキャッシュDB131にキャッシュされているか否かを確認する。ここで、対応するDNSクエリ応答がキャッシュされていなかった場合には、クエリ制御部141は、フォワード先リスト121に設定されているIPアドレスに基づいて、受信したDNSクエリ要求をDNSフォワーダ装置20に送信する。一方、対応するDNSクエリ応答がキャッシュされていた場合には、クエリ制御部141は、そのクエリ応答をキャッシュDB131から取得し、取得したクエリ応答をDNSクエリ要求の送信元であるDNSクライアント装置10に送信する。なお、かかるクエリ制御部141によって行われる処理については、後にさらに具体的に説明する。
Specifically, when the query control unit 141 receives a DNS query request via the communication control IF
キャッシュ制御部142は、DNSフォワーダ装置20を介してDNS権威サーバ装置30から送信されるDNSクエリ応答のキャッシュを制御する。
The
具体的には、キャッシュ制御部142は、通信制御IF部110を介してDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、そのDNSクエリ応答の内容をキャッシュDB131にキャッシュする。なお、かかるキャッシュ制御部142によって行われる処理については、後にさらに具体的に説明する。
Specifically, when the
次に、図3を参照して、本実施例1に係るDNSの動作について説明する。図3は、本実施例1に係るDNSの動作を説明するためのシーケンス図である。図3に示すように、本実施例1に係るDNSでは、DNSクライアント装置10が、DNS回送サーバ装置100にDNSクエリ要求を送信する(ステップS101)。
Next, the operation of the DNS according to the first embodiment will be described with reference to FIG. FIG. 3 is a sequence diagram for explaining the operation of the DNS according to the first embodiment. As shown in FIG. 3, in the DNS according to the first embodiment, the
DNS回送サーバ装置100では、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信すると、キャッシュDB131を参照して、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。そして、キャッシュが無い場合には(ステップS102)、クエリ制御部141は、受信したDNSクエリ要求をDNSフォワーダ装置20に送信する(ステップS103)。
In the DNS forwarding
DNSフォワーダ装置20は、DNS回送サーバ装置100からDNSクエリ要求を受信すると、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。そして、キャッシュが無い場合には(ステップS104)、DNSフォワーダ装置20は、受信したDNSクエリ要求をDNS権威サーバ装置30に送信する(ステップS105)。
When receiving the DNS query request from the DNS forwarding
DNS権威サーバ装置30は、「AA−bit=ON(1)」をヘッダ部に設定したDNSクエリ応答をDNSフォワーダ装置20に送信する(ステップS106)。
The DNS
DNSフォワーダ装置20は、DNS権威サーバ装置30からDNSクエリ応答を受信すると、DNSクエリ応答のヘッダ部に「AA−bit=ON(1)」が設定されているか否かを判定し、「AA−bit=ON(1)」が設定されている場合には、権威のある応答として、DNSクエリ応答の内容をキャッシュする(ステップS107)。そして、DNSフォワーダ装置20は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置100に送信する(ステップS108)。
When receiving the DNS query response from the DNS
DNS回送サーバ装置100では、キャッシュ制御部142が、DNSフォワーダ装置20からDNSクエリ応答を受信すると、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、すなわち、受信したDNSクエリ応答のヘッダ部に設定されている「AA−bit」の値にかかわらず、そのDNSクエリ応答の内容をキャッシュDB131にキャッシュする(ステップS109)。そして、クエリ制御部141が、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置10に送信する(ステップS110)。
In the DNS forwarding
その後、DNSクライアント装置10が、上述したステップS101と同一のDNSクエリ要求をDNS回送サーバ装置100に送信したとする(ステップS111)。
Thereafter, it is assumed that the
その場合、DNS回送サーバ装置100では、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信すると、キャッシュDB131を参照して、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。そして、クエリ制御部141は、対応するDNSクエリ応答のキャッシュがある場合(キャッシュヒットした場合)には(ステップS112)、対応するDNSクエリ応答をキャッシュDB131から取得してDNSクライアント装置10に送信する。このとき、クエリ制御部141は、「AA−bit=OFF(0)」をヘッダに設定したDNSクエリ応答をDNSクライアント装置10に送信する(ステップS113)。
In that case, in the DNS forwarding
上述してきたように、本実施例1では、キャッシュ制御部142が、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、そのDNSクエリ応答をキャッシュDB131にキャッシュする。そして、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答をキャッシュDB131にキャッシュされたDNSクエリ応答の中から取得してDNSクエリ要求の送信元であるDNSクライアント装置10に送信する。
As described above, in the first embodiment, when the
したがって、本実施例1によれば、DNS権威サーバ装置30から送信されたDNSクエリ応答の内容がDNS回送サーバ装置100にもキャッシュされるようになるので、内部NW全体でのキャッシュヒット率が向上する。そのため、DNS回送サーバ装置100からDNSフォワーダ装置20への問い合わせが減ることになるので、DNS回送サーバ装置100の設備リソース(例えば、CPUやメモリなど)、および、DNS回送サーバ装置100とDNSフォワーダ装置20との間の設備リソース(例えば、回線容量など)を削減することができる。すなわち、本実施例1によれば、セキュリティの向上を図りつつ、DNSクエリ要求を処理する場合のシステムの負荷を軽減することが可能になる。
Therefore, according to the first embodiment, the contents of the DNS query response transmitted from the DNS
ところで、上記実施例1では、DNS回送サーバ装置が、権威のある応答であるか否かにかかわらず、DNSフォワーダ装置から送信されたDNSクエリ応答をキャッシュする場合について説明した。しかしながら、本発明はこれに限られるものではなく、例えば、DNS回送サーバ装置が、さらに、信頼できるDNSフォワーダ装置から送信されたDNSクエリ応答のみをキャッシュするようにしてもよい。そこで、以下では、このような場合を実施例2として説明する。 Incidentally, in the first embodiment, the case has been described in which the DNS forwarding server device caches the DNS query response transmitted from the DNS forwarder device regardless of whether or not the response is an authoritative response. However, the present invention is not limited to this. For example, the DNS forwarding server device may further cache only the DNS query response transmitted from the reliable DNS forwarder device. Therefore, in the following, such a case will be described as a second embodiment.
まず、図4を参照して、実施例2に係るDNSの概要および構成について説明する。図4は、本実施例2に係るDNSの概要および構成を説明するための図である。図4に示すように、本実施例2に係るDNSは、DNSクライアント装置10と、DNSフォワーダ装置20と、DNS権威サーバ装置30と、DNS回送サーバ装置200とを有する。
First, the outline and configuration of the DNS according to the second embodiment will be described with reference to FIG. FIG. 4 is a diagram for explaining the outline and configuration of the DNS according to the second embodiment. As illustrated in FIG. 4, the DNS according to the second embodiment includes a
なお、本実施例2に係るDNSの構成は、基本的には図1に示した構成と同様であり、DNS回送サーバ装置200によって行われる処理が異なるのみであるので、ここではDNS回送サーバ装置200に関する機能を中心に説明する。
Note that the DNS configuration according to the second embodiment is basically the same as the configuration shown in FIG. 1 and only the processing performed by the DNS forwarding
本実施例2に係るDNSでは、DNS回送サーバ装置200が、信頼できるDNSフォワーダ装置である信頼フォワーダを示す情報を記憶する。そして、DNS回送サーバ装置200は、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定し、信頼フォワーダであると判定したDNSフォワーダ装置20から送信されたDNSクエリ応答のみをキャッシュする。
In the DNS according to the second embodiment, the DNS forwarding
これにより、本実施例2では、信頼できないDNSフォワーダ装置20から送信されたDNSクエリ応答はDNS回送サーバ装置200にキャッシュされないように制御することができるので、DNS回送サーバ装置200がDNSキャッシュポイズニング攻撃の被害にあうことを防ぐことが可能になる。なお、ここでいう「DNSキャッシュポイズニング攻撃」とは、偽のDNS情報をキャッシュに記憶させることで、例えば、非正規のIPアドレスに誘導し、ドメイン名を乗っ取っとる攻撃である。以下では、かかるDNS回送サーバ装置200の機能について具体的に説明する。
Accordingly, in the second embodiment, it is possible to control so that the DNS query response transmitted from the unreliable DNS
次に、図4を参照して、DNS回送サーバ装置200の構成について説明する。なお、ここでは説明の便宜上、図1に示した各部と同様の機能を有する機能部については、同じ符号を付すこととして詳細な説明を省略する。図4に示すように、DNS回送サーバ装置200は、通信制御IF部110と、記憶部220と、キャッシュデータ部130と、制御部240とを有する。
Next, the configuration of the DNS forwarding
記憶部220は、制御部240によって実行される処理に必要な各種情報を記憶する。この記憶部220は、特に、信頼情報付フォワード先リスト221を記憶する。図5は、信頼情報付フォワード先リスト221の一例を示す図である。図5に示すように、具体的には、記憶部220は、図2に示したフォワード先リスト121と同様に、DNSクエリ要求の転送先となるDNSフォワーダ装置20のIPアドレスを列挙したデータを信頼情報付フォワード先リスト221として記憶する。
The
ここで、記憶部220は、信頼できるDNSフォワーダ装置である信頼フォワーダと、信頼できないDNSフォワーダ装置である非信頼フォワーダとをそれぞれ区別して記憶する。なお、ここでいう「信頼フォワーダ」とは、例えば、DNSSEC(DNS Security Extension)対応済みで、DNSキャッシュポイズニング攻撃への耐性が強いと判断されるフォワーダ装置である。
Here, the
例えば、図5に示すように、記憶部220は、信頼フォワーダを「trusted−forwarders」とし、非信頼フォワーダを「forwarders」として記憶する。なお、記憶部220は、信頼フォワーダのみを記憶してもよいし、非信頼フォワーダのみを記憶してもよい。
For example, as illustrated in FIG. 5, the
制御部240は、DNS回送サーバ装置200全体を制御する。この制御部240は、特に、クエリ制御部141と、キャッシュ制御部242と、信頼フォワーダ判定部243とを有する。
The
信頼フォワーダ判定部243は、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、信頼情報付フォワード先リスト221の情報に基づいて、受信したDNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する。
When the trust
具体的には、信頼フォワーダ判定部243は、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、信頼情報付フォワード先リスト221を参照し、受信したDNSクエリ応答に含まれている送信元のIPアドレスが信頼フォワーダとして設定されているか、非信頼フォワーダとして設定されているかを判定する。
Specifically, when the trust
そして、信頼フォワーダ判定部243は、信頼情報付フォワード先リスト221において送信元のIPアドレスが信頼フォワーダとして設定されていた場合には、送信元のDNSフォワーダ装置20が信頼フォワーダであると判定する。一方、信頼情報付フォワード先リスト221において送信元のIPアドレスが非信頼フォワーダとして設定されていた場合には、信頼フォワーダ判定部243は、送信元のDNSフォワーダ装置20が非信頼フォワーダであると判定する。
Then, when the source IP address is set as the trust forwarder in the forward destination list with
なお、信頼情報付フォワード先リスト221に信頼フォワーダのみが記憶されている場合には、信頼フォワーダ判定部243は、記憶されている信頼フォワーダでなければ非信頼フォワーダであると判定してもよい。また、信頼情報付フォワード先リスト221に非信頼フォワーダのみが記憶されている場合には、信頼フォワーダ判定部243は、記憶されている非信頼フォワーダでなければ信頼フォワードであると判定してもよい。
When only the trust forwarder is stored in the
キャッシュ制御部242は、DNSフォワーダ装置20を介してDNS権威サーバ装置30から送信されるDNSクエリ応答のキャッシュを制御する。
The
具体的には、キャッシュ制御部242は、通信制御IF部110を介してDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、そのDNSクエリ応答の内容をキャッシュDB131にキャッシュする。ここで、DNSクエリ応答の内容をキャッシュする際に、キャッシュ制御部242は、信頼フォワーダ判定部243によって信頼フォワーダであると判定されたDNSフォワーダ装置20から送信されたDNSクエリ応答のみをキャッシュする。なお、かかるキャッシュ制御部242によって行われる処理については、後にさらに具体的に説明する。
Specifically, when the
次に、図6および7を参照して、本実施例2に係るDNSの動作について説明する。図6および7は、本実施例2に係るDNSの動作を説明するためのシーケンス図である。ここでは、DNSクエリ要求の転送先となるDNSフォワーダ装置20が信頼フォワーダである場合と非信頼フォワーダである場合とをそれぞれ説明する。
Next, the operation of the DNS according to the second embodiment will be described with reference to FIGS. 6 and 7 are sequence diagrams for explaining the operation of the DNS according to the second embodiment. Here, a case where the
最初に、図6を参照して、DNSフォワーダ装置20が信頼フォワーダである場合について説明する。なお、図6に示すステップS201〜S208の手順については、図3に示したステップS101〜S108の手順と同様であるので、ここでは説明を省略する。
First, the case where the
DNSフォワーダ装置20からDNSクエリ応答が送信されると、DNS回送サーバ装置200では、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する。
When the DNS query response is transmitted from the
そして、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が信頼フォワーダであると判定された場合には、キャッシュ制御部242が、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、すなわち、受信したDNSクエリ応答のヘッダ部に設定されている「AA−bit」の値にかかわらず、そのDNSフォワーダ装置20から受信したDNSクエリ応答をキャッシュDB131にキャッシュする(ステップS209)。さらに、クエリ制御部141が、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置10に送信する(ステップS210)。
When the trust
その後、DNSクライアント装置10が、ステップS201と同一のDNSクエリ要求をDNS回送サーバ装置200に送信したとする(ステップS211)。
Thereafter, it is assumed that the
その場合、DNS回送サーバ装置200では、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信すると、キャッシュDB131を参照して、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。そして、クエリ制御部141は、対応するDNSクエリ応答のキャッシュがある場合(キャッシュヒットした場合)には(ステップS212)、対応するDNSクエリ応答をキャッシュDB131から取得してDNSクライアント装置10に送信する。このとき、クエリ制御部141は、「AA−bit=OFF(0)」をヘッダに設定したDNSクエリ応答をDNSクライアント装置10に送信する(ステップS213)。
In that case, in the DNS forwarding
次に、図7を参照して、DNSフォワーダ装置20が非信頼フォワーダである場合について説明する。なお、図7に示すステップS301〜S308の手順については、図3に示したステップS101〜S108の手順と同様であるので、ここでは説明を省略する。
Next, a case where the
DNSフォワーダ装置20からDNSクエリ応答が送信されると、DNS回送サーバ装置200では、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する。
When the DNS query response is transmitted from the
そして、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が非信頼フォワーダであると判定された場合には、キャッシュ制御部242が、受信したDNSクエリ応答の内容をキャッシュすることなく(ステップS309)、クエリ制御部141が、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置10に送信する(ステップS310)。
When the trusted
その後、DNSクライアント装置10が、ステップS301と同一のDNSクエリ要求をDNS回送サーバ装置200に送信したとする(ステップS311)。
Thereafter, it is assumed that the
その場合、DNS回送サーバ装置200では、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信すると、キャッシュDB131を参照して、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。ここで、前述したステップS309においてDNSクエリ応答の内容がキャッシュされていないので、クエリ制御部141は、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがないと判定し(ステップS312)、そのDNSクエリ要求をDNSフォワーダ装置20に送信する(ステップS313)。
In that case, in the DNS forwarding
DNSフォワーダ装置20は、DNS回送サーバ装置200からDNSクエリ要求を受信すると、対応するDNSクエリ応答がキャッシュされているか否かを判定する。ここで、ステップS307においてDNSクエリ応答の内容がキャッシュされているので(ステップS314)、DNSフォワーダ装置20は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置200に送信する(ステップS315)。
When receiving the DNS query request from the DNS forwarding
DNS回送サーバ装置200では、DNSフォワーダ装置20からDNSクエリ応答が送信されると、DNS回送サーバ装置200では、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する。
In the DNS forwarding
そして、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が非信頼フォワーダであると判定された場合には、キャッシュ制御部242が、受信したDNSクエリ応答の内容をキャッシュすることなく(ステップS316)、クエリ制御部141が、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのまま、もしくはエラー応答を、DNSクライアント装置10に送信する(ステップS317)。
When the trusted
上述してきたように、本実施例2では、記憶部220が、信頼できるDNSフォワーダ装置である信頼フォワーダおよび/または信頼できないDNSフォワーダ装置である非信頼フォワーダを示す情報を含んだ信頼情報付フォワード先リスト221を記憶する。また、信頼フォワーダ判定部243が、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、信頼情報付フォワード先リスト221に含まれている情報に基づいて、受信したDNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する。そして、キャッシュ制御部242が、信頼フォワーダ判定部243によって信頼フォワーダであると判定されたDNSフォワーダ装置20から送信されたDNSクエリ応答のみをキャッシュする。
As described above, in the second embodiment, the
したがって、本実施例2によれば、信頼性できないDNSフォワーダ装置20から送信されたDNSクエリ応答はDNS回送サーバ装置200にキャッシュされないように制御することができるので、DNS回送サーバ装置200がDNSキャッシュポイズニング攻撃の被害にあうことを防ぐことが可能になる。
Therefore, according to the second embodiment, the DNS query response transmitted from the unreliable DNS
ところで、上記実施例2では、DNS回送サーバ装置が、信頼できるDNSフォワーダ装置から送信されたDNSクエリ応答のみをキャッシュする場合について説明した。しかしながら、本発明はこれに限られるものではなく、例えば、DNS回送サーバ装置が、さらに、所定の認証方法によって認証されたDNSクエリ応答のみをキャッシュするようにしてもよい。そこで、以下では、このような場合を実施例3として説明する。 By the way, in the second embodiment, the case where the DNS forwarding server apparatus caches only the DNS query response transmitted from the reliable DNS forwarder apparatus has been described. However, the present invention is not limited to this, and for example, the DNS forwarding server device may further cache only the DNS query response authenticated by a predetermined authentication method. Therefore, in the following, such a case will be described as a third embodiment.
まず、図8を参照して、実施例3に係るDNSの概要および構成について説明する。図8は、本実施例3に係るDNSの概要および構成を説明するための図である。図8に示すように、本実施例3に係るDNSは、DNSクライアント装置10と、DNSフォワーダ装置20と、DNS権威サーバ装置30と、DNS回送サーバ装置300とを有する。
First, with reference to FIG. 8, the outline | summary and structure of DNS which concern on Example 3 are demonstrated. FIG. 8 is a diagram for explaining the outline and configuration of the DNS according to the third embodiment. As illustrated in FIG. 8, the DNS according to the third embodiment includes a
なお、本実施例3に係るDNSの構成は、基本的には図1に示した構成と同様であり、DNS回送サーバ装置300によって行われる処理が異なるのみであるので、ここではDNS回送サーバ装置300に関する機能を中心に説明する。
Note that the DNS configuration according to the third embodiment is basically the same as the configuration shown in FIG. 1 except that the processing performed by the DNS forwarding
本実施例3に係るDNSでは、DNS回送サーバ装置300が、信頼フォワーダであると判定されたDNSフォワーダ装置20から送信されたDNSクエリ応答を所定の認証方法により認証判定する。そして、DNS回送サーバ装置300は、認証されたDNSクエリ応答のみをキャッシュする。
In the DNS according to the third embodiment, the DNS forwarding
これにより、本実施例3では、信頼フォワーダへのなりすましを防止することができるので、より強固に、DNS回送サーバ装置300がDNSキャッシュポイズニング攻撃の被害にあうことを防ぐことが可能になる。
As a result, in the third embodiment, it is possible to prevent spoofing of the trusted forwarder, so that it is possible to more firmly prevent the DNS forwarding
次に、図8を参照して、DNS回送サーバ装置300の構成について説明する。なお、ここでは説明の便宜上、図1および4に示した各部と同様の機能を有する機能部については、同じ符号を付すこととして詳細な説明を省略する。図8に示すように、DNS回送サーバ装置300は、通信制御IF部110と、記憶部320と、キャッシュデータ部130と、制御部340とを有する。
Next, the configuration of the DNS forwarding
記憶部320は、制御部340によって実行される処理に必要な各種情報を記憶する。この記憶部320は、特に、信頼情報付フォワード先リスト221と、鍵リスト322とを記憶する。鍵リスト322は、DNSフォワーダ装置20ごとに、TSIG(Transaction Signature)またはSIG(0)の検証に用いられる鍵を記憶する。
The
制御部340は、DNS回送サーバ装置300全体を制御する。この制御部340は、特に、クエリ制御部141と、キャッシュ制御部342と、信頼フォワーダ判定部243と、認証判定部344とを有する。
The
認証判定部344は、信頼フォワーダ判定部243によって信頼フォワーダであると判定されたDNSフォワーダ装置20から送信されたDNSクエリ応答を所定の認証方法により認証判定する。
The
具体的には、認証判定部344は、信頼フォワーダ判定部243によって、DNSクエリ応答の送信元のDNSフォワーダ装置20が信頼フォワーダであると判定された場合に、DNSクエリ応答に含まれている認証用情報に基づいて、そのDNSクエリ応答を認証判定する。例えば、認証判定部344は、DNSクエリ応答の送信元のDNSフォワーダ装置20に対応する鍵を鍵リスト322によって記憶されている鍵の中から取得し、取得した鍵と、DNSクエリ応答に含まれているTSIGまたはSIG(0)の認証用情報とに基づいて、DNSクエリ応答を認証判定する。
Specifically, the
キャッシュ制御部342は、DNSフォワーダ装置20を介してDNS権威サーバ装置30から送信されるDNSクエリ応答のキャッシュを制御する。
The
具体的には、キャッシュ制御部342は、通信制御IF部110を介してDNSクエリ応答を受信した場合に、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、そのDNSクエリ応答の内容をキャッシュDB131にキャッシュする。ここで、DNSクエリ応答の内容をキャッシュする際に、キャッシュ制御部342は、認証判定部344によって認証されたDNSクエリ応答のみをキャッシュする。なお、かかるキャッシュ制御部342によって行われる処理については、後にさらに具体的に説明する。
Specifically, when the
次に、図9、10および11を参照して、本実施例3に係るDNSの動作について説明する。図9、10および11は、本実施例3に係るDNSの動作を説明するためのシーケンス図である。ここでは、信頼フォワーダであるDNSフォワーダ装置20から送信されたDNSクエリ応答が認証される場合と、信頼フォワーダであるDNSフォワーダ装置20から送信されたDNSクエリ応答が認証されない場合と、DNSフォワーダ装置20が非信頼フォワーダである場合とをそれぞれ説明する。
Next, the operation of the DNS according to the third embodiment will be described with reference to FIGS. 9, 10 and 11 are sequence diagrams for explaining the operation of the DNS according to the third embodiment. Here, when the DNS query response transmitted from the
最初に、図9を参照して、信頼フォワーダであるDNSフォワーダ装置20から送信されたDNSクエリ応答が認証される場合について説明する。なお、図9に示すステップS401〜S408の手順については、TSIGやSIG(0)に関するメッセージの扱い以外は、図3に示したステップS101〜S108の手順と同様であるので、ここでは説明を省略する。なお、ステップS408で送信されるクエリ応答には、TSIGまたはSIG(0)の正当な認証用情報が含まれているものとする。
First, a case where a DNS query response transmitted from the
DNSフォワーダ装置20からDNSクエリ応答が送信されると、DNS回送サーバ装置300では、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する(ステップS409)。
When a DNS query response is transmitted from the
そして、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が信頼フォワーダであると判定された場合には、認証判定部344が、鍵リスト322から取得したDNSフォワーダ装置20に対応する鍵と、DNSクエリ応答に含まれているTSIGまたはSIG(0)の認証用情報とに基づいて、送信されたDNSクエリ応答を認証判定する。
When the trust
そして、認証判定部344によってDNSクエリ応答が認証された場合には、キャッシュ制御部342が、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、すなわち、受信したDNSクエリ応答のヘッダ部に設定されている「AA−bit」の値にかかわらず、そのDNSクエリ応答をキャッシュDB131にキャッシュする(ステップS410)。さらに、クエリ制御部141が、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNSクライアント装置10に送信する(ステップS411)。
Then, when the DNS query response is authenticated by the
その後、DNSクライアント装置10が、ステップS401と同一のDNSクエリ要求をDNS回送サーバ装置300に送信したとする(ステップS412)。
Thereafter, it is assumed that the
その場合、DNS回送サーバ装置300では、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信すると、キャッシュDB131を参照して、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。そして、クエリ制御部141は、対応するDNSクエリ応答のキャッシュがある場合(キャッシュヒットした場合)には(ステップS413)、対応するDNSクエリ応答をキャッシュDB131から取得してDNSクライアント装置10に送信する。このとき、クエリ制御部141は、「AA−bit=OFF(0)」をヘッダに設定したDNSクエリ応答をDNSクライアント装置10に送信する(ステップS414)。
In this case, in the DNS forwarding
次に、図10を参照して、信頼フォワーダであるDNSフォワーダ装置20から送信されたDNSクエリ応答が認証されない場合について説明する。なお、図10に示すステップS501〜S508の手順については、TSIGやSIG(0)に関するメッセージの扱い以外は、図3に示したステップS101〜S108の手順と同様であるので、ここでは説明を省略する。なお、ステップS508で送信されるDNSクエリ応答には、TSIGまたはSIG(0)の不正な認証用情報が含まれているか、TSIGまたはSIG(0)の認証用情報が含まれていないものとする。
Next, a case where the DNS query response transmitted from the
DNSフォワーダ装置20からDNSクエリ応答が送信されると、DNS回送サーバ装置300では、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する(ステップS509)。
When a DNS query response is transmitted from the
そして、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が信頼フォワーダであると判定された場合には、認証判定部344が、DNSクエリ応答に含まれているTSIGまたはSIG(0)の認証用情報に基づいて、送信されたDNSクエリ応答を認証判定する。
When the trust
そして、認証判定部344によってDNSクエリ応答が認証されなかった場合には、キャッシュ制御部342が、受信したDNSクエリ応答の内容をキャッシュすることなく(ステップS510)、クエリ制御部141が、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置10に送信する(ステップS511)。
If the DNS query response is not authenticated by the
その後、DNSクライアント装置10が、ステップS501と同一のDNSクエリ要求をDNS回送サーバ装置300に送信したとする(ステップS512)。
Thereafter, it is assumed that the
その場合、DNS回送サーバ装置300では、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信すると、キャッシュDB131を参照して、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。ここで、前述したステップS510においてDNSクエリ応答の内容がキャッシュされていないので、クエリ制御部141は、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがないと判定し(ステップS513)、そのDNSクエリ要求をDNSフォワーダ装置20に送信する(ステップS514)。
In this case, in the DNS forwarding
DNSフォワーダ装置20は、DNS回送サーバ装置300からDNSクエリ要求を受信すると、対応するDNSクエリ応答がキャッシュされているか否かを判定する。ここで、ステップS507においてDNSクエリ応答の内容がキャッシュされているので(ステップS515)、DNSフォワーダ装置20は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置300に送信する(ステップS516)。
When receiving the DNS query request from the DNS forwarding
DNS回送サーバ装置300では、DNSフォワーダ装置20からDNSクエリ応答が送信されると、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する(ステップS517)。
In the DNS forwarding
そして、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が信頼フォワーダであると判定された場合には、認証判定部344が、DNSクエリ応答に含まれているTSIGまたはSIG(0)の認証用情報に基づいて、送信されたDNSクエリ応答を認証判定する。
When the trust
そして、認証判定部344によってDNSクエリ応答が認証されなかった場合には、キャッシュ制御部342が、受信したDNSクエリ応答の内容をキャッシュすることなく(ステップS518)、クエリ制御部141が、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのまま、もしくはエラー応答を、DNSクライアント装置10に送信する(ステップS519)。
If the DNS query response is not authenticated by the
次に、図11を参照して、DNSフォワーダ装置20が非信頼フォワーダである場合について説明する。なお、図11に示すステップS601〜S608の手順については、TSIGやSIG(0)に関するメッセージの扱い以外は、図3に示したステップS101〜S108の手順と同様であるので、ここでは説明を省略する。なお、S608で送信されるDNSクエリ応答には、TSIGまたはSIG(0)の正当な認証用情報が含まれているか、TSIGまたはSIG(0)の不正な認証用情報が含まれているか、TSIGまたはSIG(0)の認証用情報が含まれていないものとする。
Next, a case where the
DNSフォワーダ装置20からDNSクエリ応答が送信されると、DNS回送サーバ装置300では、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する。
When a DNS query response is transmitted from the
ここで、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が信頼フォワーダではないと判定された場合には、認証判定部344が、DNSクエリ応答の認証判定を行わない。そして、キャッシュ制御部342が、受信したDNSクエリ応答の内容をキャッシュすることなく(ステップS609)、クエリ制御部141が、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答をそのままDNSクライアント装置10に送信する(ステップS610)。
Here, when the trust
その後、DNSクライアント装置10が、ステップS601と同一のDNSクエリ要求をDNS回送サーバ装置300に送信したとする(ステップS611)。
Thereafter, it is assumed that the
その場合、DNS回送サーバ装置300では、クエリ制御部141が、DNSクライアント装置10からDNSクエリ要求を受信すると、キャッシュDB131を参照して、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがあるか否かを判定する。ここで、前述したステップS609においてDNSクエリ応答の内容がキャッシュされていないので、クエリ制御部141は、受信したDNSクエリ要求に対応するDNSクエリ応答のキャッシュがないと判定し(ステップS612)、そのDNSクエリ要求をDNSフォワーダ装置20に送信する(ステップS613)。
In this case, in the DNS forwarding
DNSフォワーダ装置20は、DNS回送サーバ装置300からDNSクエリ要求を受信すると、対応するDNSクエリ応答がキャッシュされているか否かを判定する。ここで、ステップS607においてDNSクエリ応答の内容がキャッシュされているので(ステップS614)、DNSフォワーダ装置20は、「AA−bit=OFF(0)」をヘッダ部に設定したDNSクエリ応答をDNS回送サーバ装置300に送信する(ステップS615)。
When receiving the DNS query request from the DNS forwarding
DNS回送サーバ装置300では、DNSフォワーダ装置20からDNSクエリ応答が送信されると、信頼フォワーダ判定部243が、信頼情報付フォワード先リスト221を参照して、DNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定する。
In the DNS forwarding
ここで、信頼フォワーダ判定部243によって、送信元のDNSフォワーダ装置20が信頼フォワーダではないと判定された場合には、認証判定部344が、DNSクエリ応答の認証判定を行わない。そして、キャッシュ制御部342が、受信したDNSクエリ応答の内容をキャッシュすることなく(ステップS616)、クエリ制御部141が、「AA−bit=OFF(0)」がヘッダ部に設定されたDNSクエリ応答DNSクライアント装置10に送信する(ステップS617)。
Here, when the trust
上述してきたように、本実施例3では、認証判定部344が、DNSフォワーダ装置20からDNSクエリ応答を受信した場合に、受信したDNSクエリ応答を所定の認証方法により認証判定する。そして、キャッシュ制御部342が、認証判定部344によって認証されたDNSクエリ応答のみをキャッシュする。
As described above, in the third embodiment, when the
したがって、本実施例3によれば、信頼フォワーダへのなりすましを防止することができるので、より強固に、DNS回送サーバ装置300がDNSキャッシュポイズニング攻撃の被害にあうことを防ぐことが可能になる。
Therefore, according to the third embodiment, it is possible to prevent spoofing of the trusted forwarder, and thus it is possible to more firmly prevent the DNS forwarding
なお、本実施例3では、認証判定部344が、信頼フォワーダ判定部243によって信頼フォワーダであると判定されたDNSフォワーダ装置20から送信されたDNSクエリ応答を所定の認証方法により認証判定することとした。しかしながら、本発明はこれに限られるものではなく、信頼フォワーダ判定部243による判定と、認証判定部344による認証判定とは順序が逆になってもよい。すなわち、信頼フォワーダ判定部243が、送信されたDNSクエリ応答が認証判定部344によって認証された場合に、そのDNSクエリ応答の送信元であるDNSフォワーダ装置20が信頼フォワーダであるか否かを判定するようにしてもよい。
In the third embodiment, the
また、上記実施例で説明したDNS回送装置サーバの機能は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することもできる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク(HD:Hard Disk)、フレキシブルディスク(FD:Flexible Disk)、CD−ROM(Compact Disc Read Only Memory)、MO(Magneto-Optical disk)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 The function of the DNS forwarding device server described in the above embodiment can also be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via a network such as the Internet. This program includes a hard disk (HD), a flexible disk (FD), a CD-ROM (Compact Disc Read Only Memory), an MO (Magneto-Optical disk), a DVD (Digital Versatile Disk), and the like. It can also be executed by being recorded on a computer-readable recording medium and being read from the recording medium by a computer.
以上のように、本発明に係るDNSメッセージ回送装置、DNSメッセージ回送システム、DNSメッセージ回送方法およびDNSメッセージ回送プログラムは、DNS回送サーバ装置とDNSフォワーダ装置とを有するDNSに有用であり、特に、システムの負荷を軽減することが求められる場合に適している。 As described above, the DNS message forwarding device, the DNS message forwarding system, the DNS message forwarding method, and the DNS message forwarding program according to the present invention are useful for a DNS having a DNS forwarding server device and a DNS forwarder device. It is suitable when it is required to reduce the load of
10 DNSクライアント装置
20 DNSフォワーダ装置
30 DNS権威サーバ装置
100,200,300 DNS回送サーバ装置
110 通信制御IF部
120,220,320 記憶部
121 フォワード先リスト
130 キャッシュデータ部
131 キャッシュDB
140,240,340 制御部
141 クエリ制御部
142,242,342 キャッシュ制御部
221 信頼情報付フォワード先リスト
243 信頼フォワーダ判定部
344 認証判定部
DESCRIPTION OF
140, 240, 340 Control unit 141
Claims (7)
前記DNSフォワーダ装置は、前記DNS権威サーバから権威のあるDNSクエリ応答を受信した場合に、当該DNSクエリ応答をキャッシュするとともに、当該DNSクエリ応答を権威のない応答として前記DNSメッセージ回送装置に送信するものであり、
信頼できるDNSフォワーダ装置である信頼フォワーダおよび/または信頼できないDNSフォワーダ装置である非信頼フォワーダを示す情報を記憶する信頼フォワーダ記憶手段と、
前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、前記信頼フォワーダ記憶手段によって記憶されている情報に基づいて、当該DNSクエリ応答の送信元であるDNSフォワーダ装置が信頼フォワーダであるか非信頼フォワーダであるかを判定する信頼フォワーダ判定手段と、
前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、前記信頼フォワーダ判定手段によって前記送信元であるDNSフォワーダ装置が信頼フォワーダであると判定されたときには、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、当該DNSクエリ応答をキャッシュし、前記信頼フォワーダ判定手段によって前記送信元であるDNSフォワーダ装置が非信頼フォワーダであると判定されたときには、当該DNSクエリ応答をキャッシュしないキャッシュ制御手段と、
前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、当該DNSクエリ応答を権威のない応答として前記DNSクライアント装置に送信し、前記DNSクライアント装置からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答を前記キャッシュ制御手段によってキャッシュされたDNSクエリ応答の中から取得して前記DNSクエリ要求の送信元であるDNSクライアント装置に送信するクエリ制御手段と
を備えたことを特徴とするDNSメッセージ回送装置。 A DNS message times OkuSo location to route the DNS messages exchanged between the DNS forwarder device and the DNS client device connected to the DNS authoritative server apparatus via the external network,
When the DNS forwarder device receives an authoritative DNS query response from the DNS authoritative server, the DNS forwarder device caches the DNS query response and transmits the DNS query response to the DNS message forwarding device as an unauthorized response. Is,
Trusted forwarder storage means for storing information indicating a trusted forwarder that is a trusted DNS forwarder device and / or an untrusted forwarder that is an untrusted DNS forwarder device;
When a DNS query response is received from the DNS forwarder device, based on the information stored in the trusted forwarder storage means, whether the DNS forwarder device that is the source of the DNS query response is a trusted forwarder or an untrusted forwarder A reliable forwarder determination means for determining whether or not
When a DNS query response is received from the DNS forwarder device, and the trusted forwarder determination means determines that the DNS forwarder device as the transmission source is a trusted forwarder, the received DNS query response is an authoritative response. regardless of whether to cache the DNS query response, the when the trust forwarders determining means DNS forwarder device is the sender by is determined to be untrusted forwarder does not cache the DNS query response caching Control means;
When a DNS query response is received from the DNS forwarder device, the DNS query response is transmitted to the DNS client device as an unauthoritative response, and when a DNS query request is received from the DNS client device, the received DNS query Query control means for obtaining a DNS query response corresponding to the request from the DNS query response cached by the cache control means, and transmitting the DNS query response to a DNS client device that is the transmission source of the DNS query request. DNS message forwarding device.
前記キャッシュ制御手段は、前記認証判定手段によって認証されたDNSクエリ応答のみをキャッシュすることを特徴とする請求項1に記載のDNSメッセージ回送装置。 An authentication determination unit that determines, when receiving the DNS query response from the DNS forwarder device, authentication of the received DNS query response by a predetermined authentication method;
It said cache control means, DNS message forwarding device according to claim 1, characterized in that caching only authenticated DNS query response by the authentication decision means.
前記DNSフォワーダ装置は、前記DNS権威サーバから権威のあるDNSクエリ応答を受信した場合に、当該DNSクエリ応答をキャッシュするとともに、当該DNSクエリ応答を権威のない応答として前記DNSメッセージ回送装置に送信するものであり、
前記DNSメッセージ回送装置が、
信頼できるDNSフォワーダ装置である信頼フォワーダおよび/または信頼できないDNSフォワーダ装置である非信頼フォワーダを示す情報を記憶する信頼フォワーダ記憶手段と、
前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、前記信頼フォワーダ記憶手段によって記憶されている情報に基づいて、当該DNSクエリ応答の送信元であるDNSフォワーダ装置が信頼フォワーダであるか非信頼フォワーダであるかを判定する信頼フォワーダ判定手段と、
前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、前記信頼フォワーダ判定手段によって前記送信元であるDNSフォワーダ装置が信頼フォワーダであると判定されたときには、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、当該DNSクエリ応答をキャッシュし、前記信頼フォワーダ判定手段によって前記送信元であるDNSフォワーダ装置が非信頼フォワーダであると判定されたときには、当該DNSクエリ応答をキャッシュしないキャッシュ制御手段と、
前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、当該DNSクエリ応答を権威のない応答として前記DNSクライアント装置に送信し、前記DNSクライアント装置からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答を前記キャッシュ制御手段によってキャッシュされたDNSクエリ応答の中から取得して前記DNSクエリ要求の送信元であるDNSクライアント装置に送信するクエリ制御手段と
を備えたことを特徴とするDNSメッセージ回送システム。 A DNS client device, a DNS authoritative server device, a DNS forwarder device connected to the DNS authoritative server device via an external network, and a DNS message exchanged between the DNS client device and the DNS forwarder device A DNS message forwarding system having a DNS message forwarding device,
When the DNS forwarder device receives an authoritative DNS query response from the DNS authoritative server, the DNS forwarder device caches the DNS query response and transmits the DNS query response to the DNS message forwarding device as an unauthorized response. Is,
The DNS message forwarding device is
Trusted forwarder storage means for storing information indicating a trusted forwarder that is a trusted DNS forwarder device and / or an untrusted forwarder that is an untrusted DNS forwarder device;
When a DNS query response is received from the DNS forwarder device, based on the information stored in the trusted forwarder storage means, whether the DNS forwarder device that is the source of the DNS query response is a trusted forwarder or an untrusted forwarder A reliable forwarder determination means for determining whether or not
When a DNS query response is received from the DNS forwarder device, and the trusted forwarder determination means determines that the DNS forwarder device as the transmission source is a trusted forwarder, the received DNS query response is an authoritative response. Regardless of whether or not there is a cache, the DNS query response is cached, and when the reliable forwarder determination unit determines that the DNS forwarder device as the transmission source is an untrusted forwarder, the DNS query response is not cached. Control means;
When a DNS query response is received from the DNS forwarder device, the DNS query response is transmitted to the DNS client device as an unauthoritative response, and when a DNS query request is received from the DNS client device, the received DNS query Query control means for obtaining a DNS query response corresponding to the request from the DNS query response cached by the cache control means, and transmitting the DNS query response to a DNS client device that is the transmission source of the DNS query request. DNS message forwarding system.
前記DNSフォワーダ装置から前記DNSクエリ応答を受信した場合に、受信したDNSクエリ応答を所定の認証方法により認証判定する認証判定手段をさらに備え、
前記キャッシュ制御手段は、前記認証判定手段によって認証されたDNSクエリ応答のみをキャッシュすることを特徴とする請求項3に記載のDNSメッセージ回送システム。 The DNS message forwarding device is
An authentication determination unit that determines, when receiving the DNS query response from the DNS forwarder device, authentication of the received DNS query response by a predetermined authentication method;
4. The DNS message forwarding system according to claim 3 , wherein the cache control unit caches only the DNS query response authenticated by the authentication determination unit.
前記DNSフォワーダ装置は、前記DNS権威サーバから権威のあるDNSクエリ応答を受信した場合に、当該DNSクエリ応答をキャッシュするとともに、当該DNSクエリ応答を権威のない応答として前記DNSメッセージ回送装置に送信するものであり、
前記DNSメッセージ回送装置が、前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、信頼できるDNSフォワーダ装置である信頼フォワーダおよび/または信頼できないDNSフォワーダ装置である非信頼フォワーダを示す情報を記憶した信頼フォワーダ記憶手段によって記憶されている情報に基づいて、当該DNSクエリ応答の送信元であるDNSフォワーダ装置が信頼フォワーダであるか非信頼フォワーダであるかを判定する信頼フォワーダ判定ステップと、
前記DNSメッセージ回送装置が、前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、前記信頼フォワーダ判定ステップによって前記送信元であるDNSフォワーダ装置が信頼フォワーダであると判定されたときには、受信したDNSクエリ応答が権威のある応答であるか否かにかかわらず、当該DNSクエリ応答を記憶部にキャッシュし、前記信頼フォワーダ判定ステップによって前記送信元であるDNSフォワーダ装置が非信頼フォワーダであると判定されたときには、当該DNSクエリ応答を前記記憶部にキャッシュしないキャッシュ制御ステップと、
前記DNSメッセージ回送装置が、前記DNSフォワーダ装置からDNSクエリ応答を受信した場合に、当該DNSクエリ応答を権威のない応答として前記DNSクライアント装置に送信し、前記DNSクライアント装置からDNSクエリ要求を受信した場合に、受信したDNSクエリ要求に対応するDNSクエリ応答を前記キャッシュ制御ステップによって前記記憶部にキャッシュされたDNSクエリ応答の中から取得して前記DNSクエリ要求の送信元であるDNSクライアント装置に送信するクエリ制御ステップと
を含んだことを特徴とするDNSメッセージ回送方法。 A DNS message forwarding method applied to a DNS message forwarding device for forwarding a DNS message exchanged between a DNS forwarder device and a DNS client device connected to a DNS authoritative server device via an external network,
When the DNS forwarder device receives an authoritative DNS query response from the DNS authoritative server, the DNS forwarder device caches the DNS query response and transmits the DNS query response to the DNS message forwarding device as an unauthorized response. Is,
When the DNS message forwarding device receives a DNS query response from the DNS forwarder device, a trust storing information indicating a trusted forwarder that is a reliable DNS forwarder device and / or an untrusted forwarder that is an untrusted DNS forwarder device A trust forwarder determination step for determining whether the DNS forwarder device that is the source of the DNS query response is a trust forwarder or an untrusted forwarder based on the information stored by the forwarder storage means;
When the DNS message forwarding apparatus receives a DNS query response from the DNS forwarder apparatus, the received DNS query is determined when the DNS forwarder apparatus as the transmission source is determined to be a reliable forwarder in the trusted forwarder determination step. Regardless of whether or not the response is an authoritative response, the DNS query response is cached in the storage unit, and the DNS forwarder device as the transmission source is determined to be an untrusted forwarder by the trust forwarder determination step. A cache control step of not caching the DNS query response in the storage unit ;
When the DNS message forwarding device receives a DNS query response from the DNS forwarder device , the DNS message forwarding device transmits the DNS query response to the DNS client device as an unauthoritative response, and receives the DNS query request from the DNS client device In this case, a DNS query response corresponding to the received DNS query request is acquired from the DNS query response cached in the storage unit by the cache control step and transmitted to the DNS client device that is the transmission source of the DNS query request. A DNS message forwarding method comprising: a query control step.
前記キャッシュ制御ステップは、前記認証判定ステップによって認証されたDNSクエリ応答のみをキャッシュすることを特徴とする請求項5に記載のDNSメッセージ回送方法。 An authentication determination step of determining, when the DNS message forwarding device receives the DNS query response from the DNS forwarder device, an authentication of the received DNS query response by a predetermined authentication method;
6. The DNS message forwarding method according to claim 5 , wherein the cache control step caches only the DNS query response authenticated by the authentication determination step.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009126850A JP5180146B2 (en) | 2009-05-26 | 2009-05-26 | DNS message forwarding apparatus, DNS message forwarding system, DNS message forwarding method, and DNS message forwarding program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009126850A JP5180146B2 (en) | 2009-05-26 | 2009-05-26 | DNS message forwarding apparatus, DNS message forwarding system, DNS message forwarding method, and DNS message forwarding program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010278559A JP2010278559A (en) | 2010-12-09 |
| JP5180146B2 true JP5180146B2 (en) | 2013-04-10 |
Family
ID=43425140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009126850A Active JP5180146B2 (en) | 2009-05-26 | 2009-05-26 | DNS message forwarding apparatus, DNS message forwarding system, DNS message forwarding method, and DNS message forwarding program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5180146B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5842128B2 (en) * | 2011-07-19 | 2016-01-13 | パナソニックIpマネジメント株式会社 | Communication system, equipment communication server, client equipment |
-
2009
- 2009-05-26 JP JP2009126850A patent/JP5180146B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010278559A (en) | 2010-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4287456B2 (en) | Server apparatus, method and program for preventing denial of service attacks | |
| US8438614B2 (en) | Communication system, relay apparatus, terminal apparatus and computer readable medium | |
| TWI310649B (en) | Peer-to-peer name resolution protocol (pnrp) security infrastructure and method | |
| US20020035685A1 (en) | Client-server system with security function intermediary | |
| JP4917596B2 (en) | Providing anonymity to mobile nodes in session with supported nodes | |
| RU2005108655A (en) | METHOD, GATEWAY AND SYSTEM FOR DATA TRANSFER BETWEEN THE DEVICE ON THE GENERAL USE NETWORK AND THE DEVICE ON THE INTERNAL NETWORK | |
| US11265397B2 (en) | Systems and methods for providing secure access to shared registration systems | |
| CN108632221B (en) | Method, equipment and system for positioning controlled host in intranet | |
| US11888828B2 (en) | Domain name system queries | |
| JP4693174B2 (en) | Intermediate node | |
| Van Der Toorn et al. | Addressing the challenges of modern DNS a comprehensive tutorial | |
| JP5180146B2 (en) | DNS message forwarding apparatus, DNS message forwarding system, DNS message forwarding method, and DNS message forwarding program | |
| JP2011049745A (en) | Device for defending dns cache poisoning attack | |
| JP5095675B2 (en) | DNS response control device, DNS response control system, DNS response control method, and DNS response control program | |
| JP3910611B2 (en) | Communication support server, communication support method, and communication support system | |
| US10057214B2 (en) | DNSSEC lightweight database access protocol gateway | |
| Ahrenholz | Host identity protocol distributed hash table interface | |
| JP4856111B2 (en) | COMMUNICATION DEVICE, PROGRAM, AND RECORDING MEDIUM | |
| JP2007259384A (en) | Communication control system, communication control apparatus, terminal, communication control method, and program therefor | |
| JP4690964B2 (en) | Communication support system | |
| JP4066719B2 (en) | Location information server that provides location information and its user terminal | |
| US11647011B2 (en) | Control method, information processing apparatus, and non-transitory computer-readable storage medium for storing control program | |
| JP3911697B2 (en) | Network connection device, network connection method, network connection program, and storage medium storing the program | |
| Rembarz et al. | Private domains in networks of information | |
| JP2010206411A (en) | Dns server device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110922 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120927 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121009 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121207 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130108 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5180146 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |