JP5930546B2 - Dnsサーバ調査装置及びdnsサーバ調査方法 - Google Patents
Dnsサーバ調査装置及びdnsサーバ調査方法 Download PDFInfo
- Publication number
- JP5930546B2 JP5930546B2 JP2013114403A JP2013114403A JP5930546B2 JP 5930546 B2 JP5930546 B2 JP 5930546B2 JP 2013114403 A JP2013114403 A JP 2013114403A JP 2013114403 A JP2013114403 A JP 2013114403A JP 5930546 B2 JP5930546 B2 JP 5930546B2
- Authority
- JP
- Japan
- Prior art keywords
- dns
- history data
- address
- dns server
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、DNSサーバの異常を調査するDNSサーバ調査装置及びDNSサーバ調査方法に関する。
DNSサーバ(DNSキャッシュサーバ)は、IPアドレスとドメインの組み合わせを上位のDNSサーバに問合せして解決すると、取得したIPアドレスとドメインの組み合わせを一定期間保存している。したがって、その後に再度同一のIPアドレスとドメインの組み合わせが必要になった場合、一定期間は記憶した組み合わせを利用することになる。
したがって、問合せ時に不正なIPアドレスとドメインの組み合わせを通知されたDNSサーバは、一定期間、不正なIPアドレスとドメインを記憶することとなり、改ざんされた状態が継続される。
http://www.ietf.org/rfc/rfc1034.txt.pdf(2013年5月30日検索)
従来、上述したようなDNSサーバの改ざんを調査することは困難であった。
上記課題に鑑み、本発明は、DNSサーバの改ざんを容易に調査することを目的とする。
上記目的を達成するために、本発明に係るDNSサーバ調査装置は、DNSクエリを受信すると、過去に取得したドメインとIPアドレスの履歴に関する第1履歴データと、当該第1履歴データに含まれるより以前に取得したドメインとIPアドレスの履歴に関する第2履歴データとから、受信したDNSクエリに含まれるドメインと対応するIPアドレスを抽出する抽出部と、前記抽出部によって第1履歴データから抽出されたドメインとIPアドレスの組と、第2履歴データから抽出されたドメインとIPアドレスの組とを比較し一致しない場合に、第1履歴データの取得に使用されたDNSサーバのデータが当該ドメインとIPアドレスの組について誤っている可能性有と判定する判定部とを備える。
本発明によれば、DNSサーバの改ざんを容易に調査することができる。
以下に、図面を用いて本発明に係るDNSサーバ調査装置について説明する。本発明に係るDNSサーバ調査装置は、接続されるDNSサーバが改ざん(なお、ここでいう「改ざん」は、故意にデータが改ざんされた場合だけでなく、誤ったデータが記憶された場合も含むものとする)されているか否か調査するとともに、改ざんされていると判定された場合に正しい接続先を検索するものである。なお、以下の説明において、同一の装置または構成については、同一の符号を用いて図示し、説明を省略する。
〈第1実施形態〉
図1に一例を示す第1実施形態に係るDNSサーバ調査装置1Aは、いわゆるDNSサーバ(DNSキャッシュサーバ)であって、ネットワークを介してクライアント端末2、他のDNSサーバ3、上位のDNSサーバ3a〜3dと接続されている。例えば、DNSサーバ調査装置1Aは、接続されるクライアント端末2からドメインに対応するIPアドレスの問合せを受けた際に、接続される他のDNSサーバ3の改ざんを調査する処理を実行する。
図1に一例を示す第1実施形態に係るDNSサーバ調査装置1Aは、いわゆるDNSサーバ(DNSキャッシュサーバ)であって、ネットワークを介してクライアント端末2、他のDNSサーバ3、上位のDNSサーバ3a〜3dと接続されている。例えば、DNSサーバ調査装置1Aは、接続されるクライアント端末2からドメインに対応するIPアドレスの問合せを受けた際に、接続される他のDNSサーバ3の改ざんを調査する処理を実行する。
図2に示す例を用いてDNSサーバ調査装置1Aが存在するネットワークにおけるデータの送受信の流れを説明する。まず、改ざんされたDNSサーバが存在しない場合、図2(a)に示すように、DNSサーバ1は、クライアント端末2からドメイン「b」のIPアドレスの問合せを受けると、接続される他のDNSサーバ3に問合せを行い、ドメイン「b」のサーバ4のIPアドレス「5」を応答することができる。ドメイン「b」のIPアドレスを受信したクライアント端末2は、目的のサーバ4に接続することができる。
一方、図2(b)に示すように、悪意のサーバ5が存在し、DNSサーバ3が改ざんされているとする。この場合、DNSサーバ1は、クライアント端末2からドメイン「b」のIPアドレスを受けた場合、接続される他のDNSサーバ3に問合せを行い、ドメイン「b」のサーバ4のIPアドレスとして、改ざんされたIPアドレス「4」を応答することになる。この改ざんされたIPアドレス「4」を受信したクライアント端末2は、悪意あるサーバ5に接続される問題が生じる。
したがって、第1実施形態に係るDNSサーバ調査装置1Aは、このような接続を防ぐため、改ざんのおそれがある場合には、図2(c)に示すように、上位のDNSサーバ3a〜3dにアクセスし、目的のIPアドレスを検索する。ここで、DNSサーバ調査装置1Aは、DNSキャッシュサーバであるため、IPアドレスが履歴データ(リソースレコード)として記憶されている場合、接続されるDNSサーバ3に問合せをせずにIPアドレスを応答することができる。
なお、以下では、DNSサーバ調査装置1Aは、クライアント端末2からDNSクエリを受信し、このクライアント端末2にDNS応答信号を送信するものとして説明するが、このクライアント端末2を他のDNSサーバに置き換えても同様である。
DNSサーバ調査装置1Aは、DNSサーバに調査プログラムがインストールされることで、DNSサーバ調査装置1Aとして送受信部11、抽出部12、判定部13、設定部14、検索部15及び更新部16が実装され、接続される他のDNSサーバ3の改ざんについての調査処理を実行することができる。また、DNSサーバ調査装置1Aでは、過去に問合せがされたドメイン及びIPアドレスが蓄積される履歴データDを記憶装置で記憶している。
送受信部11は、クライアント端末2から送信されたDNSクエリを受信する。このDNSクエリには、問合せの対象の「ドメイン」が含まれている。また、送受信部11は、受信したDNSクエリに対してDNS応答信号を送信する。このDNS応答信号には、問合せを受けたドメインの「IPアドレス」が含まれている。
抽出部12は、送受信部11がDNSクエリを受信すると、履歴データDから当該DNSクエリに含まれるドメインを含むデータを抽出し、抽出結果を判定部13に出力する。
履歴データDは、「ドメイン」及び「IPアドレス」を含むとともに、過去にドメインにアクセスした「時間」、「NSレコード」、「Aレコード」、「TTL」等を含むいわゆるリソースレコードである。この履歴データDは、例えば、現在から所定の時間T前(例えば、現在から3日前)までの履歴に関する第1履歴データD1と、第1履歴データD1の履歴以前(例えば、3日前以前)の履歴に関する第2履歴データD2とを含んでいる。この第1履歴データD1及び第2履歴データD2の基準となる時間Tは、「TTL」を用いても良いし、「TTL」が短いと判断される場合には、TTLよりも長い時間を設定していても良い。履歴データ及び所定の時間Tの詳細については、後述する。
なお、図1において、第1履歴データD1と第2履歴データD2とは独立しているが、履歴データD内で、特定のフラグ(例えば、第2履歴データフラグ)がオンのレコードを第2履歴データD2とし、当該フラグがオフのレコードを第1履歴データD1としてもよい。このように、1つのデータをフラグにより第1履歴データD1と第2履歴データD2とに区別することで、効率的に処理することができる。
また、第2履歴データD2は、時間の経過に伴いデータ量が増加していく。したがって、DNSサーバ調査装置1Aでは、第2履歴データD2のみ外部の記憶装置に記憶させてもよい。このようにした場合、DNSサーバ調査装置1Aの記憶装置の容量が少ない場合に装置内での処理負担を軽減することができる点で好ましい。
抽出部12は、第1履歴データD1及び第2履歴データD2の両者からデータを抽出する。ここで、第1履歴データD1及び第2履歴データD2にそれぞれ複数の履歴が含まれる場合、抽出部12は、複数の履歴のうち最も新しい履歴を抽出する。
判定部13は、抽出部12の抽出結果を利用し、予め定められる判定条件を利用して抽出されたデータの信頼性を判定する。
例えば、第1履歴データD1の抽出結果と第2履歴データD2の抽出結果とが同一の組のドメイン及びIPアドレスを有する(差分がない)とき、第1履歴データD1及び第2履歴データD2に含まれるIPアドレスの信頼性が高いと判定し、送受信部11に出力する。一方、第1履歴データD1及び第2履歴データD2の抽出結果のドメイン及びIPアドレスが異なる組を有する(差分がある)とき、判定部13は、第1履歴データD1及び第2履歴データD2の抽出結果に含まれるIPアドレスの信頼性が低いとする判定結果を設定部14に出力するとともに、対象のドメインに対応するIPアドレスの検索を要求する検索リクエストを検索部15に出力する。
また、第1履歴データD1からデータが抽出されなかったとき、判定部13は、対象のドメインに対応するIPアドレスの問合せを要求する問合せリクエストを検索部15に出力する。さらに、第1履歴データD1からデータが抽出されたが、第2履歴データD2からデータが抽出されなかったとき、第1履歴データD1の抽出結果に含まれるIPアドレスを送受信部11に出力する。
設定部14は、判定部13から信頼性が低いとする判定結果を入力すると、このデータの取得に使用したDNSサーバ3を改ざんが行われた可能性のある被疑サーバとして設定する。例えば、判定部13は、被疑サーバと設定したDNSサーバ3への問合せを停止したり、管理サーバ(図示せず)等にDNSサーバ3の調査を依頼する。
検索部15は、判定部13から問合せリクエストを入力すると、接続されるDNSサーバ3に対象のドメインを含むDNSクエリを送信して問合せを行い、問合せの結果として得られたDNS応答信号を判定部13に出力する。また、検索部15は、判定部13から検索リクエストを入力すると、接続される上位のDNSサーバ3a〜3dに対象のドメインを含むDNSクエリを送信し、このDNSクエリに応答して上位のDNSサーバ3a〜3dから得られたDNS応答信号を判定部13に出力する。ここで、上位のDNSサーバ3a〜3dとは、通常のDNS解決の処理において信号を送受信するDNSサーバ3ではなく、通常のDNS解決の処理に信号を送受信するDNSサーバ3にとっても上位に位置する所定のDNSサーバである。検索部15は、この上位のDNSサーバのリストを有している。
ここで、上位のDNSサーバは複数存在する。例えば、検索部15がリストを有する上位のDNSサーバがm個存在し、上位のDNSサーバへの問合せの実行回数をn回とし、n/mが所定の値以上となるように上位のDNSサーバへの問い合わせの実行を繰り返したときのみ、上位のDNSサーバの問い合わせの結果を有効としてもよい。
判定部13は、検索部15からの検索結果としてDNS応答信号を入力すると、入力したDNS応答信号を用いて再びデータの信頼性を判定する。
更新部16は、送受信部11がDNS応答信号を送信すると、送信したDNS応答信号を追加して履歴データDを更新する。また、履歴データDは、所定時間T前までの第1履歴データD1と所定時間T以前の第2履歴データD2とを含んでいるが、更新部16は、時間の経過に応じて、第1履歴データD1に含まれるデータを第2履歴データD2に追加して履歴データDを更新する。
例えば、所定時間Tとして3日が設定されているとする。この場合、更新部16は、追加されてから3日を経過するまでは第1履歴データD1に含まれていたリソースレコードについて、第1履歴データD1から削除して第2履歴データD2に追加する。さらに、一定期間を経過したリソースレコードについては第2履歴データD2から削除してもよい。この第2履歴データD2にリソースレコードを保存する期間は、DNSサーバ調査装置1Aの処理能力や使用頻度、記憶装置の容量等に応じて設定することができる。
続いて、図3に示すフローチャートを用いて、DNSサーバ調査装置1Aにおける処理の流れを説明する。まず、送受信部11が接続されるクライアント端末2からDNSクエリを受信すると(S1)、抽出部12は、第1履歴データD1及び第2履歴データD2からDNSクエリに含まれるドメインに対応するデータを抽出する(S2)。
判定部13は、第1履歴データD1と第2履歴データD2からデータが抽出されたとき(S3でYES及びS4でYES)、検出された各データが含むIPアドレスに差分があるか否かを判定する(S5)。
差分がある場合(S5でYES)、設定部14は、判定部13から入力する判定結果にしたがって、接続されるDNSサーバ3を被疑サーバとして設定する(S6)。また、検索部15は、判定部13から入力する検索リクエストにしたがって、上位のDNSサーバ3a〜3dにDNSクエリを送信する(S7)。検索部15は、送信したDNSクエリに対して上位のDNSサーバ3a〜3dから送信されたDNS応答信号を受信すると、このDNS応答信号を判定部13に出力する(S8)。その後、このDNS応答信号は、判定部13から送受信部11に出力され、送受信部11によってクライアント端末2に送信される(S9)。なお、ステップS8で上位のDNSサーバ3a〜3dからIPアドレスを含むDNS応答信号が受信できない場合、送受信部11は、エラーとして信号を送信する。
例えば、図4(a)に示すように、第1履歴データD1に含まれるIPアドレス「5」と第2履歴データD2に含まれるIPアドレス「4」とが異なったとき、DNSサーバ調査装置1Aは、上位のDNSサーバ3a〜3dから取得したIPアドレス(例えば、「5」)をDNS応答信号として利用する。
一方、図4(b)に示すように、差分がない場合(S5でNO)、抽出されたデータは判定部13から送受信部11に出力され、送受信部11によってこのデータに含まれるIPアドレスを含むDNS応答信号がクライアント端末2に送信される(S10)。
また、図4(c)に示すように、第1履歴データD1からデータが抽出されたが、第2履歴データD2からデータが抽出されないとき(S3でYES及びS4でNO)、第1履歴データD1から抽出されたデータが判定部13から送受信部11に出力され、送受信部11によってこのデータに含まれるIPアドレスがクライアント端末2に送信される(S11)。
第1履歴データD1からデータが抽出されない場合(S3でNO)、送受信部11は、判定部13から入力する検索リクエストにしたがって、接続されるDNSサーバ3にDNSクエリを送信する(S12)。また、送受信部11は、送信したDNSサーバに対して接続されるDNSサーバ3から送信されたDNS応答信号を受信すると、このDNS応答信号を判定部13に出力する(S13)。
DNSサーバ3から送信されたDNS応答信号を受信した判定部13は、第2履歴データD2からデータが抽出されているとき(S14でYES)、受信したDNS応答信号が含むIPアドレスと第2履歴データD2から抽出されたデータが含むIPアドレスとに差分があるか否かを判定する(S15)。
差分がある場合(S15でYES)、設定部14は、判定部13から入力する判定結果にしたがって、接続されるDNSサーバ3を被疑サーバとして設定する(S16)。また、検索部15は、判定部13から入力する検索リクエストにしたがって、上位のDNSサーバにDNSクエリを送信する(S17)。検索部15は、送信したDNSクエリに対して上位のDNSサーバから送信されたDNS応答信号を受信すると、このDNS応答信号を判定部13に出力する(S18)。その後、このDNS応答信号は、判定部13から送受信部11に出力され、送受信部11によってクライアント端末2に送信される(S19)。なお、ステップS18で上位のDNSサーバ3a〜3dからIPアドレスを含むDNS応答信号が受信できない場合、送受信部11は、エラーとして信号を送信する。
例えば、図4(d)に示すように、第2履歴データD2に含まれるIPアドレス「5」と、DNSサーバ3から今回取得したIPアドレス「4」とが異なったとき、DNSサーバ調査装置1Aは、上位のDNSサーバ3a〜3dから取得したIPアドレス(例えば、「5」)をDNS応答信号として利用する。
一方、図4(e)に示すように、差分がない場合(S15でNO)、DNS応答信号は判定部13から送受信部11に出力され、送受信部11によってこのデータに含まれるIPアドレスを含むDNS応答信号がクライアント端末2に送信される(S20)。
また、図4(f)に示すように、第2履歴データD2からもデータが抽出されないとき(S14でNO)、検索部15は、判定部13から入力する検索リクエストにしたがって、上位のDNSサーバにDNSクエリを送信する(S21)。検索部15は、送信したDNSクエリに対して上位のDNSサーバから送信されたDNS応答信号を受信すると、このDNS応答信号を判定部13に出力する(S22)。その後、この判定部13によって定められた検索結果のIPアドレスが送受信部11に出力され、送受信部11によってクライアント端末2に送信される(S23)。なお、ステップS22で上位のDNSサーバ3a〜3dからIPアドレスを含むDNS応答信号が受信できない場合、送受信部11は、エラーとして信号を送信する。
仮に、ステップS22で検索部15が受信したDNS応答信号に含まれるIPアドレスがステップS13で得られたIPアドレスと異なるとき、DNSサーバ調査装置1Aは、さらに調査を継続してもよいし、エラーとして信号を送信してもよい。
その後、更新部16は、送受信部11の送信結果によって、第1履歴データD1を更新する(S22)。例えば、ステップS9及びS19のように、上位のDNSサーバ3a〜3dから取得した結果を使用した場合、そのデータが第1履歴データD1に追加される。また、例えば、ステップS10及びS11のように、第1履歴データD1又は第2履歴データD2のデータを使用した場合、第1履歴データD1は更新されない。さらに、ステップS20やS23のように、DNSサーバ3に問合せをして得られた組み合わせを採用した場合、DNSサーバから取得した組み合わせで第1履歴データD1を更新する。
なお、上述した例では、検索部15は、ステップS7、S17及びS21において上位のDNSサーバ3a〜3dを利用してDNS解決を行っているがこれに限られない。具体的には、DNSサーバ3以外の装置であればよく、他の装置のキャッシュデータ等を利用してDNS解決を行うことができれば、DNSサーバ調査装置1Aは、上位のDNSサーバ3a〜3d以外の装置を利用してDNS解決を行っても良い。
上述したように、第1実施形態に係るDNSサーバ調査装置1Aは、履歴データDを利用して、自装置が有するゾーンデータである履歴データDの改ざんを調査するとともに、接続されるDNSサーバ3の改ざんを調査することができる。一般的には、一定期間を経過したリソースレコードはDNSサーバでキャッシュとして使用されることがない。これに対し、DNSサーバ調査装置1Aでは、過去に使用して問題のなかったIPアドレスは信頼性が高いと判断することができるため、一定期間を経過したリソースレコードについても、DNSサーバ3の改ざんの調査に使用している。
具体的には、第1履歴データD1として一般的にキャッシュデータとして利用されるような比較的新しいリソースレコードを使用し、それより古いデータについては、第2履歴データD2として利用している。
ここで、例えば、図5に示すように、リソースレコードでは、対象の接続がされた「時刻」、「NSレコード」、「Aレコード」、「TTL」等のデータに加え、第1履歴データD1として有効であるか否かを特定する「有効フラグ」を設定し、「有効フラグ」で「有効」とされているリソースレコードを第1履歴データD1とし、「無効」とされているリソースレコードを第2履歴データD2として使用することができる。この場合、DNSサーバ調査装置1Aは、「時刻」から所定時間Tが経過したリソースレコードについて、「有効フラグ」を「有効」から「無効」に変更することで、履歴データDを容易に管理することができる。また、履歴データDでは、「有効フラグ」のみを変更(書き換え)可能とし、他の部分については変更できないように設定することで、外部からの履歴データDの改ざんを防止することができる。なお、リソースレコードは、具体的には、図6に詳細を示すように構成されている。
〈第2実施形態〉
図7に示すように、第2実施形態に係るDNSサーバ調査装置1Bも、図1を用いて上述したDNSサーバ調査装置1Aと同様にDNSサーバ(DNSキャッシュサーバ)であって、クライアント端末2及びDNSサーバ3と接続されている。一方、DNSサーバ調査装置1Bは、ドメイン解決サーバ6と接続されている点でDNSサーバ調査装置1Aと異なる。
図7に示すように、第2実施形態に係るDNSサーバ調査装置1Bも、図1を用いて上述したDNSサーバ調査装置1Aと同様にDNSサーバ(DNSキャッシュサーバ)であって、クライアント端末2及びDNSサーバ3と接続されている。一方、DNSサーバ調査装置1Bは、ドメイン解決サーバ6と接続されている点でDNSサーバ調査装置1Aと異なる。
第1実施形態に係るDNSサーバ調査装置1Aの検索部15は、DNSサーバ3の改ざんが疑われた場合、自ら上位のDNSサーバ3a〜3dに問合せを実行していた。これに対し、第2実施形態に係るDNSサーバ調査装置1Bの検索部15は、図8に示すように、DNS解決を実行するドメイン解決サーバ6にDNS解決を依頼する。
具体的には、図9のフローチャートに示すように、まず、送受信部11がクライアント端末2からDNSクエリを受信すると(S31)、抽出部12は、第1履歴データD1及び第2履歴データD2からDNSクエリに含まれるドメインに対応するデータを抽出する(D32)。
抽出部12からデータを入力した、判定部13は、第1履歴データD1と第2履歴データD2からデータが抽出されたデータに差分があるか否かを判定する(S33)。
差分がある場合(S33でYES)、判定部13から検索リクエストを入力した検索部15は、DNSクエリを生成し、ドメイン解決サーバ6にDNSクエリを送信する(S34)。その後、検索部15は、送信したDNSクエリに対してDNS応答信号を受信すると、判定部13に出力する(S35)。
送受信部11は、判定部13から入力したIPアドレスを含むDNS応答信号をクライアント端末2に送信する(S36)。具体的には、差分がなかった場合(S33でNO)、抽出部12が抽出したデータが含むIPアドレスを含むDNS応答信号が送信される。一方、差分が合った場合(S33でYES)、ドメイン解決サーバ6で得られたIPアドレスを含むDNS応答が送信される。
また、クライアント端末2にDNS応答信号が送信されると、更新部16は、履歴データDを更新する(S37)。
上述したように、実施形態2に係るDNSサーバ調査装置1Bにおいても、履歴データDを利用して接続されるDNSサーバ3の改ざんを調査することができる。
以上、実施形態を用いて本発明を詳細に説明したが、本発明は本明細書中に説明した実施形態に限定されるものではない。本発明の範囲は、特許請求の範囲の記載及び特許請求の範囲の記載と均等の範囲により決定されるものである。
1A…DNSサーバ調査装置
1B…DNSサーバ調査装置
11…送受信部
12…抽出部
13…判定部
14…設定部
15…検索部
16…更新部
D…履歴データ
D1…第1履歴データ
D2…第2履歴データ
2…クライアント端末
3…DNSサーバ
3a〜3d…DNSサーバ
4…サーバ
5…サーバ
6…ドメイン解決サーバ
1B…DNSサーバ調査装置
11…送受信部
12…抽出部
13…判定部
14…設定部
15…検索部
16…更新部
D…履歴データ
D1…第1履歴データ
D2…第2履歴データ
2…クライアント端末
3…DNSサーバ
3a〜3d…DNSサーバ
4…サーバ
5…サーバ
6…ドメイン解決サーバ
Claims (3)
- DNSクエリを受信すると、過去に取得したドメインとIPアドレスの履歴に関する第1履歴データと、当該第1履歴データに含まれるより以前に取得したドメインとIPアドレスの履歴に関する第2履歴データとから、受信したDNSクエリに含まれるドメインと対応するIPアドレスを抽出する抽出部と、
前記抽出部によって第1履歴データから抽出されたドメインとIPアドレスの組と、第2履歴データから抽出されたドメインとIPアドレスの組とを比較し一致しない場合に、第1履歴データの取得に使用されたDNSサーバのデータが当該ドメインとIPアドレスの組について誤っている可能性有と判定する判定部と、
を備えることを特徴とするDNSサーバ調査装置。 - 前記判定部によって前記第1履歴データの取得に使用されたDNSサーバのデータが当該ドメインとIPアドレスの組について誤っている可能性有と判定されると、上位のDNSサーバにDNSクエリを送信しドメインとIPアドレスの組を検索する検索部をさらに有し、
前記判定部は、前記検索部が上位のサーバからドメインとIPアドレスを受信すると、当該IPアドレスと前記抽出部が抽出したドメインとIPアドレスの組とを比較し、前記DNSサーバのデータが誤っていると判定する
ことを特徴とする請求項1に記載のDNSサーバ調査装置。 - DNSクエリを受信するステップと、
過去に取得したドメインとIPアドレスの履歴に関する第1履歴データと、当該第1履歴データに含まれるより以前に取得したドメインとIPアドレスの履歴に関する第2履歴データとから、受信したDNSクエリに含まれるドメインと対応するIPアドレス抽出するステップと、
第1履歴データから抽出されたIPアドレスと、第2履歴データから抽出されたIPアドレスとを比較し、第1履歴データの取得に使用されたDNSサーバの改ざんの可能性を判定するステップと、
改ざんの可能性があると判定されると、上位のDNSサーバにDNSクエリを送信しIPアドレスを検索するステップと、
を備えることを特徴とするDNSサーバ調査方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013114403A JP5930546B2 (ja) | 2013-05-30 | 2013-05-30 | Dnsサーバ調査装置及びdnsサーバ調査方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013114403A JP5930546B2 (ja) | 2013-05-30 | 2013-05-30 | Dnsサーバ調査装置及びdnsサーバ調査方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014236224A JP2014236224A (ja) | 2014-12-15 |
| JP5930546B2 true JP5930546B2 (ja) | 2016-06-08 |
Family
ID=52138667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013114403A Active JP5930546B2 (ja) | 2013-05-30 | 2013-05-30 | Dnsサーバ調査装置及びdnsサーバ調査方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5930546B2 (ja) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4213689B2 (ja) * | 2005-07-08 | 2009-01-21 | 株式会社クローバー・ネットワーク・コム | ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム |
| US20080060054A1 (en) * | 2006-09-05 | 2008-03-06 | Srivastava Manoj K | Method and system for dns-based anti-pharming |
| JP2009206626A (ja) * | 2008-02-26 | 2009-09-10 | Mitsubishi Electric Corp | 名前解決方法、dnsサーバ、クライアント端末、通信システムおよび名前解決プログラム |
| US7930428B2 (en) * | 2008-11-11 | 2011-04-19 | Barracuda Networks Inc | Verification of DNS accuracy in cache poisoning |
| FR2955405B1 (fr) * | 2010-01-19 | 2015-08-21 | Alcatel Lucent | Procede et systeme de prevention d'empoisonnement des caches dns |
-
2013
- 2013-05-30 JP JP2013114403A patent/JP5930546B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014236224A (ja) | 2014-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9883002B2 (en) | Method and system for accessing website | |
| RU2685994C1 (ru) | Способ оценки сетевой атаки, способ безопасной передачи данных сети и соответствующее устройство | |
| JP6435398B2 (ja) | 端末識別子を促進する方法及びシステム | |
| US9648033B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| US11347797B2 (en) | Asset search and discovery system using graph data structures | |
| US10270806B2 (en) | Defense against NXDOMAIN hijacking in domain name systems | |
| US11438358B2 (en) | Aggregating asset vulnerabilities | |
| US10225231B2 (en) | Method and server of remote information query | |
| US20130269042A1 (en) | Optimizing security seals on web pages | |
| CN104468860B (zh) | 域名解析服务器危险性的识别方法和装置 | |
| US8949599B2 (en) | Device management apparatus, method for device management, and computer program product | |
| CN105407186A (zh) | 获取子域名的方法和装置 | |
| US10931688B2 (en) | Malicious website discovery using web analytics identifiers | |
| CN111447226B (zh) | 用于检测dns劫持的方法和设备 | |
| US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
| CN112115103B (zh) | 文件地址显示方法、装置、电子设备及可读存储介质 | |
| US20200202005A1 (en) | Automated Software Vulnerability Determination | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| JP5930546B2 (ja) | Dnsサーバ調査装置及びdnsサーバ調査方法 | |
| CN110691023B (zh) | 地址系统 | |
| US10193853B1 (en) | Web browser or web service based detection of internet facing DNS server | |
| JP2020052688A (ja) | 分析装置、端末装置、分析システム、分析方法およびプログラム | |
| JP5973381B2 (ja) | Dnsサーバ迂回システム、dnsサーバ迂回方法、データ提供サーバおよびデータ提供プログラム | |
| JP7120049B2 (ja) | サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置 | |
| JP5930545B2 (ja) | Dnsサーバ調査システム及びdnsサーバ調査方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150714 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160413 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160421 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160425 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5930546 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |