JP5976232B2 - ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法 - Google Patents

ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法 Download PDF

Info

Publication number
JP5976232B2
JP5976232B2 JP2015542935A JP2015542935A JP5976232B2 JP 5976232 B2 JP5976232 B2 JP 5976232B2 JP 2015542935 A JP2015542935 A JP 2015542935A JP 2015542935 A JP2015542935 A JP 2015542935A JP 5976232 B2 JP5976232 B2 JP 5976232B2
Authority
JP
Japan
Prior art keywords
dns
domain name
information
client
route information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015542935A
Other languages
English (en)
Other versions
JP2015536623A (ja
Inventor
正 煥 徐
正 煥 徐
暎 錫 林
暎 錫 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lim Young Suk
Seo Jeong Hoan
Original Assignee
Lim Young Suk
Seo Jeong Hoan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lim Young Suk, Seo Jeong Hoan filed Critical Lim Young Suk
Publication of JP2015536623A publication Critical patent/JP2015536623A/ja
Application granted granted Critical
Publication of JP5976232B2 publication Critical patent/JP5976232B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9537Spatial or temporal dependent retrieval, e.g. spatiotemporal queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/59Network arrangements, protocols or services for addressing or naming using proxies for addressing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/33Types of network names containing protocol addresses or telephone numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/35Types of network names containing special prefixes

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ドメインネーム・サービスに係り、特に、ユーザ別に目的地経路を分配して制御して安定して回線を管理し、サービスに利用されるサーバ及び装置の非正常的な動作中でも、ユーザにサービスの連続性を維持させる、ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法に関する。
インターネットは、個体を区分するために、IPアドレスを利用する。しかし、人は、アドレスよりは名称を使用しようとする傾向がある。従って、名称をアドレスに変え、かつアドレスを名称にするシステムが必要である。
かような変換システムは、名称及びアドレス(全ての名称とアドレスは、一意(unique)である)をマッピングさせ、一つを知っていれば、他の一つを知らせる形態によってなるが、インターネットの規模がだんだんと大きくなりながら、全ての名称及びアドレスを単一コンピュータに保存して知らせることが不可能になった。
これに対する解決策として現在使用されいるシステムは、非常に多くの情報を小さい部分に分けた後、互いに異なるコンピュータに各部分を分けて保存するドメインネーム・システム(DNS)である。
ドメインネームは、「.」で区切られる多くのラベルを有するが、各ラベルは、最大63個の文字からなる。言い換えれば、完全なドメインネームは、「.」で区切られる複数のラベルの連続である。
例えば、「service.com」は、serviceラベル、comラベル及びNULLラベルからなる(ドメインネームの終わりには、常にNULLラベルが含まれる)。
名称をアドレスに変換したり、あるいはアドレスを名称に変換することを名称アドレス解析(name-address resolution)という。
図1は、ドメインネーム解析過程に係わる一例を示したものであり、図1を参照し、ドメインネームの一例として、「www.service.com」ドメインを解析する過程を説明する。
一般的にユーザは、ブラウザを介して、ドメインネームにサービスを要請するが、アドレスを名称に変換することを所望するホストは、リゾルバ(resolver)と呼ばれるDNSクライアントを呼び出す。リゾルバは、解析要求を送るために、最も近いDNSサーバに接続する。DNSサーバは、ホストのOS(operating system)上に設定され、本明細書では、DNSサーバを公開DNSと称する。
解析は、ドメインネームの後尾から始まる。ドメインネームの最後尾は、常にNULLラベル115が存在し、ドメインネームの終わりには、常にドット(.)が存在する。
NULLラベル115は、ルートDNSサーバ130を意味し、ユーザのドメイン要請メッセージを受けた公開DNS125は、設定されたルートサーバに「www.service.com」のIPアドレスを要請する。
ルートDNSサーバ130は、当該ドメインに係わるIPアドレス情報を有していないのであれば、comラベル110に係わる情報を有したcomネームサーバ135のアドレスを応答する。
公開DNS125は、応答されたcomネームサーバ135に、「www.service.com」のIPアドレスを要請し、comネームサーバ135は、serviceラベル105の情報(権限)を有したDNSサーバ140を応答する。
また、公開DNS125は、応答されたDNSサーバに、「www.service.com」に係わる解析を要請する。要請を受けたDNSサーバは、serviceの情報を有したゾーンファイル(zone file)145内部に、「www」に係わるマッピングされたIPアドレス情報があるので、IPアドレス(200.1.1.1)を応答する。
応答された公開DNSサーバ125は、クライアントリゾルバ(resolver)120に「200.1.1.1」を応答し、クライアントリゾルバ120が応答メッセージを解析した後、解析を要求したクライアント・プログラムにその値を渡す。
このように、DNSサーバがドメインに係わる権限を有したDNSサーバのIPを渡し、質疑を反復して試みる方式を反復的(iterative)解析という。
そして、DNSサーバがzoneファイルにおいて、ドメインネームとマッチングされたIPアドレスを応答するが、初期には、アドレスに多くの変更が加えられるか予測することができなかった。
ドメインネームとマッピングされたIPアドレス情報を変更しなければならないとき、それを管理者が受動的に一つ一つ変更することは、大変に厄介である。その解決策として、DNSメインファイルを自動的に更新させるが、それを動的(dynamic)DNSと呼ぶ。
しかし、ユーザベースの情報提供のためには、DNS要請メッセージからユーザ情報を収集しなければならないが、従来のDNS要請メッセージには、その情報が極めて制限的である。また、DNSサーバのメインマスターファイルの修正、すなわち、マッピングされた情報の追加、除去及び変更が頻繁であり、同期化を常に維持しなければならないサービスの場合、従来の静的DNSでは、機能を完壁に遂行し難い。
それだけでなく、分散サービス拒否攻撃(D−DOS:distributed denial-of-service attack)は、インターネット上で多数のシステムが協力し、1つの標的システムを攻撃することにより、サービス拒否(DOS)を起こさせることをいう。標的システムは、氾濫するメッセージによって、結局システム稼動が止まり、善意のユーザは、まさにそのシステムからサービスを受けることができないという事態になる。すなわち、目標システムの特定資源や、使用が可能な回線トラフィックを独占し、善意のユーザが目標システムのサービスを受けることができないのである。
そして、ロードバランシング(load balancing)とは、並列に運用されている機器間で、負荷が均等になるように処理を分散して割り当てることをいう。ロードバランシングは、コンピュータ内の多くのマイクロプロセッサに均等に処理を付与したり、あるいは、接続要求をネットワーク上の余力があるサーバに回送するような多様な分野で幅広く利用されている概念である。ロードバランシングを効率的に遂行するためには、各機器の負荷を継続的に測定する必要があるが、それを正確に適用するためには、ロードバランシングの制御自体が大きい負荷を発生させる。従って、実際に利用されているロードバランシングは、正確度と負荷とのバランスを取るようになっており、それよりももっと効率的な手段を求めるために研究が続けられている。
ところで、帯域幅攻撃の場合、装置(IPS(intrusion prevention system)、サーバ)の高度化だけでは攻撃を防ぎにくい。ネットワーク帯域幅攻撃の場合、ゾンビPC(personal computer)のネットワーク性能と合わさって攻撃が強まる。ゾンビPCで利用するネットワークとPC性能がすぐれるほど攻撃が強まるが、以前のADSL(asymmetric digital subscriber line)基準で,100Gb/sの攻撃を作るためには、10万台のゾンビPCが必要であったが、最近普及された光LAN(local area network)(アップロード100Mb/s)の場合、1,000台のゾンビPCでも可能である。そして、これから登場するギガビット(giga bit)ホームLANが普及される場合、100台のゾンビPCだけでも、90Gb/sの帯域幅攻撃が可能である。これからもIPS装置の高度化は進められるが、帯域幅攻撃を防ぐのは、現実的に非常に困難である。
また、サーバのIPアドレスが露出されて公開される場合、悪意的なユーザによって,攻撃対象になりもする。DNSサーバの場合、ドメイン管理機関を介して、ネームサーバ情報が公開されるために、IPアドレス露出が不可避である。また、DNSサーバ自体が使用不可能になる場合、当該DNSで管理したドメインのサービス自体が不可能である。
本発明が解決しようとする課題は、前述の問題点を解決するためのものであり、ユーザ別に目的地経路を分配して制御して安定して回線を管理し、サービスに利用されるサーバ及び装置の非正常的な動作中でも、ユーザにサービスの連続性を維持させることができる、ユーザ情報に基づいたドメインネーム・システム及びドメインネーム・サービス方法を提供するものである。
本発明によるユーザ情報に基づいたドメインネーム・サービスシステムは、ユーザ情報と、サービスドメインネーム情報とを含むドメインネーム・クエリを出力するクライアントと、前記クライアントから、前記ドメインネーム・クエリを受信するDNSと、前記DNSから、前記ドメインネーム・クエリを受信し、前記ドメインネーム・クエリに含まれたユーザ情報を抽出し、前記ユーザ情報別に目的地経路情報を異ならせて提供するデータベースと、を含み、前記クライアントは、前記データベースから出力されるユーザ情報別の目的地経路情報を、前記DNSを介して受信することを特徴とする。
そして、前記データベースは、ユーザ情報別に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、前記DNSが動作しないとき前記DNSの代わりに使用可能な迂回DNSサーバ経路情報または迂回プロキシ経路情報、あるいはゲートウェイ経路情報と、を提供することが望ましい。前記クライアントは、ドメイン解析のために設定されたDNSに、DNS要請メッセージを伝送するクライアントリゾルバと、前記DNS要請メッセージにユーザ情報を追加し、前記DNSにクエリを出力するエージェントと、を含むことが望ましい。
本発明によるユーザ情報に基づいたドメインネーム・サービスシステムは、クライアントからユーザ情報と、サービスドメインネーム情報とを含む前記ドメインネーム・クエリを受信するDNSと、前記DNSから、前記ドメインネーム・クエリを受信し、前記ドメインネーム・クエリに含まれたユーザ情報を抽出し、前記ユーザ情報別に、目的地経路情報を異ならせて提供するデータベースと、を含み、前記DNSは、前記データベースから出力されるユーザ情報別の目的地経路情報を前記クライアントに伝送することを特徴とする。そのとき、前記データベースは、ユーザ情報別に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、前記DNSが動作しないとき、前記DNSの代わりに使用可能な迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を提供することが望ましい。
本発明によるユーザ情報に基づいたドメインネーム・サービスシステムは、クライアントからユーザ情報と、サービスドメインネーム情報とを含むドメインネーム・クエリを受信するクエリ受信部;前記クエリ受信部から受信された前記ドメインネーム・クエリに含まれたユーザ情報を抽出し、前記ユーザ情報別に、目的地経路情報を異ならせて提供する経路提供部;及び前記経路提供部から出力されるユーザ情報別の目的地経路情報を前記クライアントに伝送するクエリ応答部を含むことを特徴とする。前記経路提供部はユーザ情報別に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、DNSが動作しないとき、前記DNSの代わりに使用可能な迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を提供することが望ましい。
本発明によるユーザ情報に基づいたドメインネーム・サービス方法は、クライアントがユーザ情報と、サービスドメインネーム情報とを含むドメインネーム・クエリを出力する段階と、DNSが前記クライアントから、前記ドメインネーム・クエリを受信する段階と、前記DNSから、前記ドメインネーム・クエリを受信し、前記ドメインネーム・クエリに含まれたユーザ情報を抽出する段階と、前記抽出されたユーザ情報によって、目的地経路情報を異ならせて提供する段階と、を含む。前記クライアントは、前記データベースから出力されるユーザ情報別の目的地経路情報を、前記DNSを介して受信する段階をさらに含むことが望ましい。
そして、プロセッサによって実行するプログラムを記録したプロセッサによって読取り可能な記録媒体を提供する。
本発明によるユーザ情報に基づいたドメインネーム・サービスシステムによれば、ユーザ別に目的地経路を分配して制御して安定して回線を管理し、サービスに利用されるサーバ及び装置の非正常的な動作中でも、ユーザにサービスの連続性を維持させることができる。
また、ユーザ別に目的地経路を分配及び制御することにより、D−DOSによる帯域幅攻撃を防ぐことができる。そして、攻撃または障害を受けたプロキシ、ゲートウェイなどの装置を割り当てられたユーザをデータベースで検索し、非正常的な攻撃または障害を誘発したユーザを直ちに認知することができ、追加的な措置を下すことができる。
ドメインネーム解析過程に係わる一例を示した図面である。 本発明によるユーザ情報に基づいたドメインネーム・サービスシステムの構成に係わる一実施形態を図示した図面である。 クライアントのDNS解析要請過程に使用されるクライアントPCまたは装置に係わる詳細構成をブロック図で示した図面である。 クライアントのDNS解析要請過程に使用されるクライアントPCまたは装置に係わる詳細構成をブロック図で示した図面である。 本発明によるユーザ情報に基づいたドメインネーム・サービスシステムの構成に係わる他の実施形態を図示した図面である。 本発明によるユーザ情報に基づいたドメインネーム・サービスシステムにおいて、クライアントとデータベースとのデータ伝送過程に係わる一例について説明するためのシステム構成をブロック図で示した図面である。 クライアントと、クライアントがサービスを受けることを所望するホストサーバとのサービス過程を示した図面である。 DNSを利用したプログラム及び装置情報提供において、エージェントによる情報獲得過程を示した図面である。 DNSを利用したプログラム及び装置情報提供において、ユーザによる情報獲得過程を示した図面である。 DNS迂回経路制御に係わる一実施形態を示した図面である。 DNS迂回経路制御に係わる他の実施形態を示した図面である。 本発明による、ユーザ情報に基づいたドメインネーム・サービス方法に係わる一実施形態を示したフローチャートである。 本発明によるユーザ情報に基づいたドメインネーム・サービス方法に係わる一例を示したフローチャートである。
以下、添付された図面を参照し、本発明の望ましい実施形態について詳細に説明する。それに先立ち、本明細書に記載された実施形態と、図面に図示された構成は、本発明の望ましい一実施形態に過ぎず、本発明の技術的思想をいずれも代弁するものではないので、本出願時点において、それらを代替することができる多様な均等物と変形例とがありうるということを理解しなければならない。
図2は、本発明によるユーザ情報に基づいたドメインネーム・サービスシステムの構成に係わる一実施形態を図示したものであり、そのドメインネーム・サービスシステムは、クライアント200、DNS(domain name system)220及びデータベース240を含んでなる。
クライアント200は、ユーザ情報と、サービスドメインネーム情報とを含むドメインネーム・クエリをDNSに伝送する。そして、クライアント200は、データベース240から出力されるユーザ情報別の目的地経路情報を、DNS220を介して受信する。
DNS220は、クライアント200から、ドメインネーム・クエリを受信する。
データベース240は、DNS220から、ドメインネーム・クエリを受信し、ドメインネーム・クエリに含まれたユーザ情報を抽出し、ユーザ情報別に、目的地経路情報を異ならせて提供する。具体的には、データベース240は、ユーザ情報別に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、DNSが動作しないとき、DNSの代わりに使用可能な迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を提供することが望ましい。
クライアント200は、ドメイン解析のために設定されたDNSに、DNS要請メッセージを伝送するクライアントリゾルバ(図示せず)、及びDNS要請メッセージにユーザ情報を追加し、DNSにクエリを出力するエージェント(図示せず)を含んでもよい。
一方、本発明によるユーザ情報に基づいたドメインネーム・サービスシステムは、クライアントとは別個に、DNS220及びデータベース240を含んでもなる。そのとき、DNS220は、クライアント200から、ユーザ情報と、サービスドメインネーム情報とを含むドメインネーム・クエリを受信する。そしてデータベース240は、DNS220から、ドメインネーム・クエリを受信し、当該ドメインネーム・クエリに含まれたユーザ情報を抽出し、ユーザ情報別に、目的地経路情報を異ならせて提供することもできる。
ここで、DNS220は、データベース240から出力されるユーザ情報別の目的地経路情報をクライアント220で伝送する。そして、データベース240は、ユーザ情報別に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、DNSが動作しないとき、DNSの代わりに使用可能な迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を提供することが望ましい。
図3及び図4は、クライアント200のDNS解析要請過程に使用されるクライアントPC(personal computer)または装置に係わる詳細構成をブロック図で示したものである。
本発明によるクライアント200は、図3及び図4に図示されているように、ユーザプログラム300,400、リゾルバ310,420、エージェント320,410、及びキャッシュ330,340,430,440を含んでなる。そして、図13は、本発明によるユーザ情報に基づいたドメインネーム・サービス方法に係わる一例を示したものである。
図3、図4及び図13を参照し、本発明によるユーザ情報に基づいたドメインネーム・サービスシステム及び方法に係わるさらに具体的な実施形態について説明する。
ユーザ・プログラム300は、リゾルバ310にドメインネーム解析を要請する(S1300段階)。リゾルバ310は、ドメインネーム解析のために設定されたDNSに、DNS要請メッセージを伝送する(S1310段階)。そのとき、エージェント320は、DNS要請が発生されれば、Question sectionのクエリ名称(query name)領域にユーザ情報を追加し、DNS要請メッセージを公開DNSサーバ350に伝送する。
公開DNSサーバ350は、クエリ名称の情報を、要請メッセージの情報(権限)を有したDNSサーバ360に伝送する。情報(権限)を有したDNSサーバ360は、既設定のデータベース370に問い合わせる(S1340段階)。DNS360は、要請メッセージを、データベースにおいて、追加、修正及び抽出する機能を遂行する。データベース370は、マッチングされた情報を応答する(S1355段階)。ここで、データベース370は、エージェント320が追加したユーザ情報を抽出し、ユーザ情報別に、目的地経路情報、例えば、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を提供することができる。
DNS360は、データベース370から受けた応答情報を公開DNS350に伝達する(S1365段階)。公開DNS350が、DNS360から受けた応答情報を、エージェント320に伝達すれば(S1370段階)、エージェント320は、応答メッセージ内容を確認した後、DNS解析を要請したリゾルバ310に伝送する(S1375段階)。リゾルバ310は、応答メッセージを分析してキャッシングした後、ユーザ・プログラム300に伝達すれば(S1380段階)、ユーザ・プログラムは、応答されたアドレスに接続してサービスを利用する(S1385段階)。ここで、リゾルバ310は、応答メッセージに、迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報があれば、それをキャッシング(caching)することができる。
そして、図3のリゾルバ310とエージェント320は、図4のように、互いに位置を変えて位置することもできる。すなわち、エージェント410は、DNSクエリをリゾルバ420に伝送し、リゾルバ420から出力される応答メッセージをエージェント410に伝送することもできる。
一方、図5は、本発明によるユーザ情報に基づいたドメインネーム・サービスシステムの構成に係わる他の実施形態を図示したものであり、本発明によるドメインネーム・サービスシステムは、クエリ受信部500、経路提供部520及びクエリ応答部540を含んでもなる。
クエリ受信部500は、クライアント550から、ユーザ情報と、サービスドメインネーム情報とを含むドメインネーム・クエリを受信する。
経路提供部520は、クエリ受信部500から受信されたドメインネーム・クエリに含まれたユーザ情報を抽出し、ユーザ情報別に、目的地経路情報をクエリ応答部540で提供する。経路提供部520は、ユーザ情報別に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、DNSが動作しないとき、DNSの代わりに使用可能な迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を提供することが望ましい。
クエリ応答部540は、経路提供部520から出力されるユーザ情報別の目的地経路情報をクライアント650に伝送する。
前述のクエリ受信部500、経路制御部520及びクエリ応答部540は、1つのシステムにも具現されて設置され、経路制御部520を別途の装置、例えば、データベースを利用して具現して設置することもできる。
図6は、本発明によるユーザ情報に基づいたドメインネーム・サービスシステムにおいて、クライアントとデータベースとのデータ伝送過程に係わる一例について説明するためのシステム構成をブロック図で示したものである。
エージェント620は、ユーザの情報を収集し、ユーザのプログラム(ブラウザ)のDNS解析要請時、当該メッセージにユーザ情報を含める機能を遂行するプログラムまたは装置である。
DNSサーバ640は、DNS要請メッセージのホストを、既設定のデータベース650にマッチングされた情報を要請し、データベース650から応答された情報を公開DNSを介してエージェントに伝送する。DNS1(640)は、ネームサーバ情報が公開されたDNSサーバであり、図10のDNS1(1030)と同一である。そして、図10のDNS2(1070)は、ネームサーバ情報が公開されていないDNSサーバをいい、DNS1と同一のデータベースを利用して同一の役割を行う。
データベース650,1040は、ドメインネーム・システムのサービスまたは管理に利用されるデータが保存されており、ユーザ別に他の目的地経路を設定したものを保存している。
図6に図示されたユーザ情報に基づいたドメインネーム・サービスシステムは、次のような条件を有すると仮定する。
1)DNS1(640)を介して、「service.com」というドメインをユーザ情報に基づいた経路制御を行う。
2)ユーザは、ブラウザなどのプログラムを介してservice.comドメインを利用するウェブサーバに接続することを所望する。
3)service.comドメインは、前もって登録されている。
4)データベース650には、クライアントの情報別にservice.comのホストサーバに行くためのプロキシあるいはゲートウェイの経路情報(IPアドレス、ドメインなど)、ゲートウェイの経路情報(IPアドレス、ドメインなど)、またはホストサーバ経路情報(IPアドレス、ドメインなど)が保存されている。
5)クライアント情報としては、IPアドレスだけではなく、Mac ID(identification)、Login IDなどユーザを認証することができる多くの情報が単独あるいは複合的に使用されもするが、図6では、IPアドレスのみを利用すると仮定する。
6)クライアントの公認IPは、100.100.100.1と仮定する。
7)目的地(service.comのプロキシまたはゲートウェイ)IPアドレスは、200.0.0.1と仮定する。
DNSを利用したユーザベースの目的地経路提供は、次のようになされる。まず、ユーザの要請をエージェントが伝達される過程は、次の通りである。まず、ユーザは、クライアント・プログラム600を介して、ドメイン名称(「service.com」)に係わるIPアドレスを、DNSクライアントであるリゾルバ610に要請する。要請されたリゾルバ610は、当該ドメインネームを、運用体制(OS)に設定されたDNSサーバアドレスにDNS要請メッセージを伝送するが、既インストールのエージェント620は、DNS要請メッセージを次の通り変調する。
変更前:「service.com」
変更後:「100_100_100_1.service.com」
ここで、「100_100_100_1」は、クライアントのIPアドレスを、分かりやすいように表記した内容であり、該当情報は、暗号化されていないクライアントIPアドレスを意味する。
エージェント620が変更されたメッセージを、運用体制(OS)に設定されたDNSサーバアドレスに伝送する。
公開DNS630は、「100_100_100_1.service.com」ドメインを解析するために、rootネームサーバに解析要請を送り、rootネームサーバは、「com」ネームサーバのアドレスを知らせる。「com」ネームサーバは、「service.com」のドメイン情報が登録されたDNSサーバのアドレスをさらに知らせる。comネームサーバは、service.comドメイン情報が登録されたDNSサーバのアドレスをさらに知らせる。DNSサーバは、「100_100_100_1.service.com」を解析するが、既設定のデータベース650に当該ドメイン内容を質疑する。
データベース650は、当該データにマッチングされた情報IPアドレス:200.0.0.1を、DNSネームサーバにさらに応答する。
もしマッチングされた情報がなければ、DNS1(640)は、既設定のポリシーによって、クライアント100_100_100_1に係わる情報を、データベース650に挿入(insert)する。
DNS1(640)は、伝達された情報、すなわち、目的地経路を公開DNS630に応答する。公開DNS630は、エージェント620にドメイン解析結果を応答する。
エージェント620は、応答メッセージを分析し、応答された情報がIPアドレスであるならば、キャッシングする。その後、ドメインネーム解析結果をリゾルバ610に応答する。
リゾルバ610は、ドメイン解析を要請したクライアント・プログラム600に当該経路を応答する。クライアント・プログラム600は、目的地IPアドレスが200.0.0.1であるサーバに接続する。
図7は、クライアントと、当該クライアントがサービスを受けることを所望するホストサーバとのサービス過程を示したものである。
図7に図示されているように、クライアント700は、DNSクエリを出力すれば、エージェント710が、当該DNSクエリにユーザ情報を追加し、公開DNS720を介して、DNS1(730)に、ユーザ情報とドメインネーム情報とを含むドメインネーム・クエリを伝送する。それにより、DNS1(730)は、ドメインネーム・クエリからユーザ情報を抽出し、抽出されたユーザ情報に該当する目的地経路情報、例えば、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を公開DNS720を介して、エージェント710に伝達する。エージェント710は、クライアント700に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報を伝達すれば、クライアント700は、自体の情報を基に事前に割り当てられたホストサーバ、プロキシまたはゲートウェイ740を介して、目的地であるホストサーバ750にアクセスする。
図8は、DNSを利用したプログラム及び装置情報提供において、エージェントによる情報獲得過程を示している。
プログラム及び装置が、自らDNS1(830)に質疑を伝送して情報を提供される方式である。エージェント810が、周期的にあるいは特定イベント発生時に、DNSに装置情報が含まれた、例えば、プログラムバージョン、設定バージョンのようなDNS質疑を要請し、データベースから情報を提供される。
DNS質疑は、テキスト方式で要請することができ、テキスト方式だけではなく、DNS問い合わせレコードの質疑種類(query type)に適用される全ての形式で応答可能である。
エージェントは、10秒ごとに1回ずつ自体のプログラムバージョンが含まれたDNS質疑「configversion00002.service.com」をテキスト形式で公開DNSに伝送し、「service.com」の情報を有したDNS1サーバに要請を送れば、DNS1サーバは、データベースでマッチングされた情報をテキスト形式で応答する。
この応答メッセージに含まれた情報を適用または加工し、エージェントは、二次的な情報の利用が可能である。
図9は、DNSを利用したプログラム及び装置情報提供において、ユーザによる情報獲得過程を示したものであり、図8のエージェントによる情報獲得と類似しているが、クライアント900の要請によって、エージェント910及び公開DNS920を経て、DNS1(930)に質疑を伝送して情報を提供される。
一方、図10は、DNS迂回経路制御に係わる一例を示したものであり、DNS迂回経路制御は、次の通りなされる。
DNSは、ネームサーバ情報、例えば、DNSサーバのIP及びその他登録情報を公開することによって、直接的な攻撃、例えば、(D−DOS:distributed denial-of-service attack)攻撃に露出される。
DNS1(1030)は、非正常的な状況、例えば、DNSのネームサーバ情報公開による悪意的ユーザの攻撃、または自体DNSサーバの自体エラーなどにより、正常なDNSサービスが不可能である場合、DNS2(1070)でDNS要請経路を制御し、エージェント1010がインストールされたユーザに、DNSサービスの連続性を維持させるが、かような機能をDNS迂回経路制御という。
すなわち、DNS迂回経路制御とは、DNS1(1030)が使用不可能であるとき、同一の機能、例えば、同一のデータベースを利用する他のDNS2(1070)で経路を制御するのである。
迂回経路制御の正しい使用例を挙げるために、サービス状況を二つに分けて説明する。
第1の状況は、正常なサービス過程であり、第2の状況は、非常時、すなわち、正常なサービス過程時に使用されるDNS1(1030)が使用不可能であるときのサービス過程である。
正常なサービス過程は、DNSサービスモデルで表現された図6、図7と同一である。ただし、1つの情報が追加して運用されるが、それは、非常時に、DNS2(1070)の情報を有したプロキシあるいはゲートウェイの経路情報、またはDNS2の経路情報、すなわち、公開DNSと同一の役割を担当するプロキシあるいはゲートウェイのIPアドレス情報、またはDNS2のIPアドレス情報である。
クライアントのDNS解析要請によって、リゾルバがDNS要請パケットを生成し、エージェント1010がこのメッセージを変調した後、公開DNS1020を介して、DNS1(1030)に要請する。DNS1(1030)は、当該ドメイン情報に含まれたユーザ情報を基に、目的地またはその経路に係わる情報を提供するが、そのとき、ユーザ情報に基づいたDNS2(1070)の経路情報、例えば、プロキシあるいはゲートウェイのIPアドレスあるいはドメインネームを、同時にまたは順次に、DNS応答メッセージに含めて伝送する。
公開DNS1020は、応答されたメッセージをエージェント1010にさらに応答し、エージェント1010は、当該DNS応答メッセージを分析しつつ、ここで2つの状況に分けられる。
第1は、正常な応答メッセージである場合である。エージェント1010は、DNS応答メッセージにおいて、DNS要請に対する応答と、迂回DNS情報とに分離した後、迂回情報(DNS2情報)は、クライアント1000のメモリにキャッシュ(caching)する。もしすでにキャッシュされた情報があるならば変更し、DNS応答メッセージは、リゾルバを介して、クライアント1000に伝達し、クライアント・プログラムは、伝達された経路を介して、所望するサービスを利用する。
第2は、非正常な応答メッセージである場合である。エージェント1010は、DNS1(1030)が正常なサービスが不可能であると判断し、キャッシングされた迂回情報、例えば、プロキシあるいはゲートウェイのIPアドレスあるいはドメインネームに、DNS要請メッセージを伝送する。
プロキシまたはゲートウェイ1060は、既設定のDNS2(1070)、または同一の役割を行うように具現された装置に、ドメインネームにマッチングされた情報を要請し、応答を受けてエージェント1010に伝送する。そのとき、DNS要請メッセージは、最初に伝送されたDNS要請メッセージと同一であり、応答もまた同じデータベースを参照するために同一である。UDP(user datagram protocol)通信だけではなく、TCP(transmission control protocol)通信も支援され、プロトコルの変調も可能である。ただし、迂回への経路は、第3DNS、例えば、図面上では存在しないDNS3の経路情報を伝送する。
すなわち、DNSは、ドメインネームに係わる情報だけではなく、DNS迂回情報を同時に提供し、エージェント1010は、迂回情報をキャッシングして保存していて、DNS1(1030)利用が不可能なとき、当該迂回アドレスを介して、ネームサーバ情報が露出されていない他のDNS2(1070)を利用して、DNSサービスを受ける。
図11は、DNS迂回経路制御に係わる他の例を示したものであり、図10において、公開DNS1020及びプロキシまたはゲートウェイ1060がない場合を示したものである。クライアント1110、エージェント1110、DNS1(1120)、データベース1130、キャッシュ1140及びDNS2(1150)は、図10のエージェント1010、DNS1(1030)、データベース1040、キャッシュ1050及びDNS2(1070)とその機能が同一である。
また、図10の公開DNS1020、及びプロキシまたはゲートウェイ1060のうちいずれか一つだけがなくとも、図10で説明したDNS迂回経路制御が可能である。
一方、図12は、本発明による、ユーザ情報に基づいたドメインネーム・サービス方法に係わる一実施形態を示したものである。
図2と図12とを参照すれば、まず、クライアント200が、ユーザ情報と、サービスドメインネーム情報とを含むドメインネーム・クエリをDNS220に伝送する(S1200段階)。DNS220は、クライアント200から、ドメインネーム・クエリを受信し、データベース240に伝達する(S1210段階)。データベース240は、DNS220から、ドメインネーム・クエリを受信し、当該ドメインネーム・クエリに含まれたユーザ情報を抽出し、ユーザ情報によって、目的地経路情報を異ならせて提供する(S1220段階)。ここで、目的地経路提供は、ユーザ情報別に、ホストサーバ経路情報、またはプロキシあるいはゲートウェイの経路情報と、DNSが動作しないとき、DNSの代わりに使用可能な迂回DNSサーバ経路情報、または迂回プロキシあるいはゲートウェイの経路情報と、を提供することが望ましい。そして、クライアント200は、データベース240から出力されるユーザ情報別の目的地経路情報を、DNS220を介して受信する(S1230段階)。
前述のように、本発明によるユーザ情報に基づいたドメインネーム・サービスシステム及び方法は、D−DOS攻撃のような外部からの攻撃がある場合、各ユーザごとに異なるホスト情報を応答し、攻撃者と一般ユーザとを分離する。そのためにクライアントがドメインネーム解析を要請すればユーザ情報を共に伝送するためのプログラム及び装置を利用することができる。
そして、攻撃の対象になるサーバのIPアドレスを露出させず、DNSサーバが使用不可能になった場合、臨時的にIPアドレスが露出されないDNSを、ユーザ別にまたはユーザが属したグループ別に異なるように利用することができる迂回路を提供する。そのため、にDNSサーバは、ドメイン情報をzoneファイルではないデータベースを介して管理する。データベースは、DNSの内部または外部に存在する。また、ドメインを登録するとき、TTL(time to live)を最低値に設定し、キャッシュされないようにする。
一方、前述の本発明によるユーザ情報に基づいたドメインネーム・サービスシステム及び方法で使用される詳細的なデータフォーマットは、次の通りである。
まず、クライアントがDNSメッセージのデータフォーマットは、次の通りである。
Figure 0005976232
DNSメッセージデータ・フォーマットは、OSI(open systems interconnection)参照モデルの下位階層ヘッダが含まれたデカプセル化される前のDNSメッセージである。
下位階層のヘッダを介して、断片的なユーザ、すなわち、DNSメッセージを要請したクライアント情報を知ることができるが、例えば、Macヘッダを介して、当該パケットを送信する側のMacアドレスが分かり、IPヘッダでは、パケットの出発地アドレス、すなわち、ソースアドレスが分かり、TCP/UDPヘッダを介して使用されたポートを知ることができる。
しかし、図1で説明したように、現在使用されるドメインネーム・システム上、DNSが受信するパケットの出発地は、ユーザ(クライアント)の情報ではない公開DNSの情報であるのである。
そして、DNS要請メッセージとDNS応答メッセージとのフォーマットは、次の通りである。
Figure 0005976232
Figure 0005976232
エージェントは、既存のDNSで使用される共通規約であるRFC(request for comment)規約を守るために、DNS要請メッセージ及びDNS応答メッセージのヘッダを修正しない。
また、DNS問い合わせレコードのフォーマットは、次の通りである。
Figure 0005976232
Query name(質疑名称)フィールドは、可変長を有し、ドメインネームを含む。
Query type(質疑種類)フィールドは、16ビットからなり、質疑種類を示す。
本発明で頻繁に使用されるクエリ種類は、表5の通りである。
Figure 0005976232
エージェントは、前述のDNS問い合わせレコード形式において、Query nameとQuery typeとを修正し、DNS問い合わせメッセージを伝送する。そして、Query typeを変更することも可能であるが、それはIPアドレスだけではなく、Text型情報、例えば、クライアント・モジュールに必要な情報を伝送されるためである。
そして、本発明によるユーザ情報に基づいたドメインネーム・サービスシステム及び方法において、ユーザ情報追加前後のクエリ名称変化に係わる例を挙げれば、次の通りである。
1つのラベルを介して、ユーザ情報を追加する場合:
変更前:www.service.com
変更後:IPAddressUserID.www.service.com
多数のラベルを介して、ユーザ情報を追加する場合:
変更前:www.service.com
変更後:Ipaddress.UserID.www.service.com
上述の方法でクライアント・モジュールの情報を追加する場合:
変更前:www.service.com
変更後:ModuleVersion.UserID.www.service.com
上述の方法で装置情報を追加する場合:
変更前:www.service.com
変更後:DevInfo.www.service.com
すなわち、ドメインネームの前に情報を追加し、DNSサーバがそれを受信することを可能にする。
サービスドメイン「www.service.com」を修正し、他のDNSサーバがそれを受信することを可能にする場合
変更前:www.service.com
変更後:Ipaddress.UserID.Service.OtherDNS.com
すなわち、「OtherDNS.com」というドメイン情報を登録したDNSサーバが変更後に該当するドメイン情報を解析する。
そして、データベース連結の例を挙げれば、表6の通りである。
Figure 0005976232
表6の例は、説明のための単純な例であり、要請したドメインネームと一致する情報を、表5のように、多様なタイプで応答することができる。セキュリティが要求されるDNSサービスについては、DNSSEC方式も適用可能である。
一方、本発明によるDNSの応答データの例は、次の通りである。本発明の実施形態において使用される応答データとして、DNS解析を要請するとき、ユーザ情報(クライアント)別の目的地経路とDNS迂回情報を共に応答する。DNS応答は、ポリシーによって、1つのDNS応答メッセージ内に、目的地IPアドレスと迂回DNSアドレスとが含まれたり、あるいは2つのDNS応答メッセージに分けて応答したりすることができる。
Figure 0005976232
情報入力または情報獲得の場合にも、同様に、DNS迂回情報を共に応答する。
Figure 0005976232
本発明は、コンピュータで読取り可能な記録媒体に、コンピュータ(情報処理機能を有する装置をいずれも含む)で読取り可能なコードとして具現することが可能である。コンピュータで読取り可能な記録媒体は、コンピュータ・システムによって読取り可能なデータが保存される全ての種類の記録装置を含む。コンピュータで読取り可能な記録装置の例としては、ROM(read-only memory)、RAM(random-access memory)、CD(compact disc)−ROM、磁気テープ、フロッピーディスク、光データ保存装置などがある。
本発明は、図面に図示された実施形態を参照して説明したが、それらは例示的なものに過ぎず、本技術分野の当業者であるならば、それらから多様な変形及び均等な他の実施形態が可能であるという点を理解するであろう。従って、本発明の真の技術的保護範囲は、特許請求の範囲の技術的思想によって決まらなければならないのである。
サービスに利用されるサーバ及び装置の非正常的な動作中にも、ユーザにサービスの連続性を維持させることができるドメインネーム・システムとドメインネーム・サービスとに利用可能である。

Claims (3)

  1. ユーザ情報とサービスドメインネーム情報とを含むドメインネーム・クエリを出力するクライアントと、
    前記クライアントから、前記ドメインネーム・クエリを受信し、前記ドメインネーム・クエリを出力するDNS(domain name system)と、
    ユーザ情報別に目的地経路情報を保存しており、前記DNSから前記ドメインネーム・クエリを受信し、前記ドメインネーム・クエリに含まれたユーザ情報を抽出し、前記抽出されたユーザ情報に対応する目的地経路情報と前記クライアントが前記DNSにドメインネーム・クエリを行う際に前記DNSが動作しない場合に備えて前記DNSを代替する前記DNSと異なる第2DNSの経路情報とを前記DNSに提供するデータベースと、
    を含み、
    前記DNSは、前記データベースから前記クライアントのドメインネーム・クエリに対応する目的地経路情報と前記第2DNSの経路情報とを受信して、前記クライアントに送信し、
    前記クライアントは、エージェントを含み、
    前記エージェントは、前記DNSにドメインネーム・クエリを送信するとき、前記ドメインネーム・クエリにユーザ情報を追加して前記DNSに出力し、前記ドメインネーム・クエリに対する応答として前記DNSから前記目的地経路情報と前記第2DNSの経路情報とを受信すると、前記目的地経路情報と前記第2DNSの経路情報とを分離し前記第2DNSの経路情報をキャッシュするように構成されており、
    前記エージェントは、更に、前記DNSに送信したドメインネーム・クエリに対して前記DNSが応答しない場合、先行して送信したドメインネーム・クエリに対して受信しキャッシュされた前記第2DNSの経路情報を用いて、前記第2DNSにドメインネーム・クエリを出力するように構成されている
    ことを特徴とするユーザ情報に基づいたドメインネーム・サービスシステム。
  2. クライアントから、ユーザ情報とサービスドメインネーム情報とを含むドメインネーム・クエリを受信するクエリ受信部と、
    ユーザ情報別に目的地経路情報を保存しており、前記クエリ受信部から受信された前記ドメインネーム・クエリに含まれたユーザ情報を抽出し、前記抽出されたユーザ情報に対応する目的地経路情報と前記クライアントがDNSにドメインネーム・クエリを行う際に前記DNSが動作しない場合に備えて前記DNSを代替する第2DNSの経路情報とを提供する経路提供部と、
    前記経路提供部から出力される目的地経路情報と第2DNSの経路情報とを前記クライアントに送信するクエリ応答部と、
    を含む
    ことを特徴とするユーザ情報に基づいたドメインネーム・サービスシステム。
  3. クライアントが、ユーザ情報とサービスドメインネーム情報とを含むドメインネーム・クエリを出力する段階と、
    DNS(domain name system)が、前記クライアントから前記ドメインネーム・クエリを受信し、前記ドメインネーム・クエリを出力する段階と、
    データベースが、前記DNSから前記ドメインネーム・クエリを受信し、前記ドメインネーム・クエリに含まれたユーザ情報を抽出する段階と、
    前記データベースが、前記抽出されたユーザ情報に対応する目的地経路情報と、前記クライアントが前記DNSにドメインネーム・クエリを行う際に前記DNSが動作しない場合に備えて前記DNSを代替する前記DNSと異なる第2DNSの経路情報と、を前記DNSに提供する段階と、
    前記DNSが、前記クライアントのドメインネーム・クエリに対応する目的地経路情報と第2DNSの経路情報とを受信して前記クライアントに送信する段階と、
    前記クライアントが、前記DNSから前記目的地経路情報と第2DNSの経路情報とを受信する段階と、
    を含み、
    前記クライアントに含まれるエージェントが、前記DNSにドメインネーム・クエリを送信するとき、前記ドメインネーム・クエリにユーザ情報を追加して前記DNSに出力する段階と、
    前記エージェントが、前記目的地経路情報と前記第2DNSの経路情報とを受信すると、前記目的地経路情報と前記第2DNSの経路情報とを分離し前記第2DNSの経路情報をキャッシュする段階と、
    前記エージェントが、前記DNSに送信したドメインネーム・クエリに対して前記DNSが応答しない場合、先行して送信したドメインネーム・クエリに対して受信しキャッシュされた前記第2DNSの経路情報を用いて、前記第2DNSにドメインネーム・クエリを出力する段階と、
    を更に含む
    ことを特徴とするユーザ情報に基づいたドメインネーム・サービス方法。
JP2015542935A 2013-08-26 2013-08-26 ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法 Active JP5976232B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/KR2013/007638 WO2015030270A1 (ko) 2013-08-26 2013-08-26 사용자 정보에 기반한, 도메인 네임 시스템 및 도메인 네임 서비스 방법

Publications (2)

Publication Number Publication Date
JP2015536623A JP2015536623A (ja) 2015-12-21
JP5976232B2 true JP5976232B2 (ja) 2016-08-23

Family

ID=52586810

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015542935A Active JP5976232B2 (ja) 2013-08-26 2013-08-26 ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法

Country Status (5)

Country Link
US (1) US10313299B2 (ja)
EP (1) EP2866386B1 (ja)
JP (1) JP5976232B2 (ja)
CN (1) CN104798343B (ja)
WO (1) WO2015030270A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103647856B (zh) * 2013-12-23 2017-09-08 成都西加云杉科技有限公司 App获取本地终端的mac地址的方法及系统
CN105338126B (zh) * 2014-07-17 2018-10-23 阿里巴巴集团控股有限公司 远程查询信息的方法及服务器
US9807050B2 (en) 2015-04-15 2017-10-31 Cisco Technology, Inc. Protocol addressing for client and destination identification across computer networks
CN105357175B (zh) * 2015-09-25 2018-12-07 互联网域名系统北京市工程研究中心有限公司 源地址域名安全的查询方法和装置
CN105357328B (zh) * 2015-09-28 2018-10-02 互联网域名系统北京市工程研究中心有限公司 域名解析方法、dns递归服务器及域名解析系统
CN108809910B (zh) * 2017-05-04 2021-01-05 贵州白山云科技股份有限公司 一种域名系统服务器调度方法和系统
CN109063061B (zh) * 2018-07-20 2022-09-30 北京百度网讯科技有限公司 跨分布式系统数据处理方法、装置、设备及存储介质
JP7309418B2 (ja) * 2019-03-29 2023-07-18 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
CN111314472B (zh) * 2020-02-21 2022-03-11 聚好看科技股份有限公司 域名解析方法、域名解析服务器及终端设备
CN113286016B (zh) * 2021-07-20 2021-09-28 中国人民解放军国防科技大学 一种缓存域名系统服务范围分析方法及装置
US11552925B1 (en) 2021-12-14 2023-01-10 Bitdefender IPR Management Ltd. Systems and methods of controlling internet access using encrypted DNS

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805820A (en) * 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
US6470389B1 (en) * 1997-03-14 2002-10-22 Lucent Technologies Inc. Hosting a network service on a cluster of servers using a single-address image
US6185598B1 (en) * 1998-02-10 2001-02-06 Digital Island, Inc. Optimized network resource location
US7814180B2 (en) * 2000-07-13 2010-10-12 Infoblox, Inc. Domain name service server
US20040044791A1 (en) * 2001-05-22 2004-03-04 Pouzzner Daniel G. Internationalized domain name system with iterative conversion
US7228359B1 (en) * 2002-02-12 2007-06-05 Cisco Technology, Inc. Methods and apparatus for providing domain name service based on a client identifier
KR20040041389A (ko) * 2002-11-11 2004-05-17 김동환 유동ip를 활용한 웹서버 운용 시스템 및 방법
JP2004266568A (ja) * 2003-02-28 2004-09-24 Nec Corp 名前解決サーバおよびパケット転送装置
KR20050003598A (ko) 2003-06-27 2005-01-12 주식회사 케이티 이중화된 도메인 네임 서버를 이용한 도메인 네임 서비스제공 시스템 및 제공 방법
KR20050002292A (ko) * 2003-06-30 2005-01-07 주식회사 케이티 접속 제한 기능을 가지는 무선 랜을 통한 인터넷 접속시스템 및 그 방법
KR20050002337A (ko) 2003-06-30 2005-01-07 주식회사 케이티 프락시 서버, 그리고 이를 이용한 동적 dns 서비스시스템 및 방법
US20050027862A1 (en) * 2003-07-18 2005-02-03 Nguyen Tien Le System and methods of cooperatively load-balancing clustered servers
US7437364B1 (en) * 2004-06-30 2008-10-14 Google Inc. System and method of accessing a document efficiently through multi-tier web caching
US7565423B1 (en) * 2004-06-30 2009-07-21 Google Inc. System and method of accessing a document efficiently through multi-tier web caching
US20070050507A1 (en) * 2005-08-24 2007-03-01 Nokia Corporation Context discovery for DNS names
EP1919155A1 (en) * 2006-10-31 2008-05-07 Alcatel Lucent Resolution of flexible address schemes for IMS services
KR100950182B1 (ko) * 2007-11-14 2010-03-29 (주)씨디네트웍스 서버의 로드 밸런싱 방법 및 그 장치
US8645570B2 (en) * 2007-12-20 2014-02-04 Fast Health Corporation System and method for the issuance of an emergency text alert in response to the redirection of a website
US8646049B2 (en) * 2008-05-02 2014-02-04 Toposis Corporation Systems and methods for secure management of presence information for communication services
KR101005778B1 (ko) * 2008-07-15 2011-01-06 (주)씨디네트웍스 도메인 네임 시스템의 데이터베이스에 저장된 정보의 획득방법 및 장치
US8910270B2 (en) * 2009-01-20 2014-12-09 Microsoft Corporation Remote access to private network resources from outside the network
WO2011020494A1 (en) 2009-08-17 2011-02-24 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus in a telecommunications network
US8140669B2 (en) * 2009-08-31 2012-03-20 International Business Machines Corporation Resolving hostnames on a private network with a public internet server
US8489637B2 (en) * 2009-11-19 2013-07-16 International Business Machines Corporation User-based DNS server access control
US8156214B2 (en) * 2009-12-22 2012-04-10 At&T Intellectual Property I, Lp System and method to discover clients associated with local domain name server using sampling
WO2012052569A1 (en) 2010-10-22 2012-04-26 Telefonaktiebolaget L M Ericsson (Publ) Mobile-access information based adaptation of network address lookup for differentiated handling of data traffic
US9106607B1 (en) * 2011-04-11 2015-08-11 Viasat, Inc. Browser based feedback for optimized web browsing
US9331975B2 (en) * 2011-12-16 2016-05-03 The Nielsen Company (Us), Llc Systems, methods, and apparatus to identify media presentation devices
US9015833B2 (en) * 2012-11-07 2015-04-21 Trusteer, Ltd. Defense against DNS DoS attack

Also Published As

Publication number Publication date
JP2015536623A (ja) 2015-12-21
WO2015030270A1 (ko) 2015-03-05
CN104798343A (zh) 2015-07-22
US10313299B2 (en) 2019-06-04
US20160241508A1 (en) 2016-08-18
EP2866386A1 (en) 2015-04-29
EP2866386A4 (en) 2015-12-16
CN104798343B (zh) 2018-04-10
EP2866386B1 (en) 2020-01-22

Similar Documents

Publication Publication Date Title
JP5976232B2 (ja) ユーザ情報に基づいた、ドメインネーム・システム及びドメインネーム・サービス方法
US11683401B2 (en) Correlating packets in communications networks
EP2380309B1 (en) Remote access to private network resources from outside the network
US9172619B1 (en) Maintaining IP tables
US10645057B2 (en) Domain name system identification and attribution
US20160164826A1 (en) Policy Implementation at a Network Element based on Data from an Authoritative Source
US20100057895A1 (en) Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products
US9497063B2 (en) Maintaining IP tables
US8737396B2 (en) Communication method and communication system
JP2004266568A (ja) 名前解決サーバおよびパケット転送装置
WO2018214853A1 (zh) 一种减小dns报文长度的方法、装置、介质及设备
US20120191769A1 (en) Site-aware distributed file system access from outside enterprise network
CN108632221A (zh) 定位内网中的受控主机的方法、设备及系统
BRPI0616599A2 (pt) método e sistema para estabelecer uma conexão ponto a ponto
KR101345372B1 (ko) 사용자 정보에 기반한, 도메인 네임 시스템 및 도메인 네임 서비스 방법
US20200137173A1 (en) USER BASED mDNS SERVICE DISCOVERY
JP5815045B2 (ja) マルチコア・プラットフォームのためのdns転送器
US11711342B2 (en) Endpoint-assisted access control for network security devices
US11716222B2 (en) Communications bridge
US9609017B1 (en) Methods for preventing a distributed denial service attack and devices thereof
JP2012527794A (ja) ホストアイデンティティタグ取得のための方法およびシステム
JP5137201B2 (ja) ユーザ認証型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム
KR20150019303A (ko) Dns 프로토콜에 기반하여 인증 서버를 식별하기 위한 기법

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160701

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160719

R150 Certificate of patent or registration of utility model

Ref document number: 5976232

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250