JP5986955B2 - DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program - Google Patents

DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program Download PDF

Info

Publication number
JP5986955B2
JP5986955B2 JP2013105568A JP2013105568A JP5986955B2 JP 5986955 B2 JP5986955 B2 JP 5986955B2 JP 2013105568 A JP2013105568 A JP 2013105568A JP 2013105568 A JP2013105568 A JP 2013105568A JP 5986955 B2 JP5986955 B2 JP 5986955B2
Authority
JP
Japan
Prior art keywords
information
dns
domain name
cache
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013105568A
Other languages
Japanese (ja)
Other versions
JP2014229937A (en
Inventor
翠 山根
翠 山根
大我 米元
大我 米元
宮奥 健人
健人 宮奥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2013105568A priority Critical patent/JP5986955B2/en
Publication of JP2014229937A publication Critical patent/JP2014229937A/en
Application granted granted Critical
Publication of JP5986955B2 publication Critical patent/JP5986955B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、DNS(Domain Name System)キャッシュサーバにおけるDNSキャッシュポイズニングの有無を判定するDNSキャッシュポイズニング判定装置、DNSキャッシュポイズニング判定方法、及びDNSキャッシュポイズニング判定プログラムに関する。   The present invention relates to a DNS cache poisoning determination apparatus, a DNS cache poisoning determination method, and a DNS cache poisoning determination program for determining the presence or absence of DNS cache poisoning in a DNS (Domain Name System) cache server.

従来、DNSキャッシュサーバに対して、問い合わせ先のDNSサーバの応答パケットを偽造したパケットを送信し、特定ドメインのIP(Internet Protocol)アドレスを悪意あるサイトのIPアドレスに書き換えるDNSキャッシュポイズニングという不正行為が問題となっている。DNSキャッシュポイズニングを防止するために、DNSサーバとDNSキャッシュサーバとの間に攻撃防御装置を介在させる技術が提案されている(特許文献1参照)。特許文献1の攻撃防御装置は、応答パケットがDNSサーバからの正当な応答であることを確認する。   Conventionally, a DNS cache poisoning fraudulent act of sending a forged packet of a DNS server response packet to a DNS cache server and rewriting the IP (Internet Protocol) address of a specific domain with an IP address of a malicious site has been performed. It is a problem. In order to prevent DNS cache poisoning, a technique has been proposed in which an attack defense device is interposed between a DNS server and a DNS cache server (see Patent Document 1). The attack defense apparatus of Patent Literature 1 confirms that the response packet is a valid response from the DNS server.

特開2011−49745号公報JP 2011-49745 A

しかしながら、上記従来技術では、DNSサーバとの間に攻撃防御装置を介在させたDNSキャッシュサーバのIPアドレス情報に関してのみ、攻撃防御装置は、DNSキャッシュポイズニングを検出可能となっていた。そのため、上記従来技術の攻撃防御装置は、不特定多数のDNSキャッシュサーバのIPアドレス情報に関してDNSキャッシュポイズニングを検出することができなかった。   However, in the above prior art, the attack defense device can detect DNS cache poisoning only with respect to the IP address information of the DNS cache server in which the attack defense device is interposed between the DNS server. For this reason, the above-described conventional attack defense apparatus cannot detect DNS cache poisoning regarding the IP address information of an unspecified number of DNS cache servers.

上記事情に鑑み、本発明は、不特定多数のDNSキャッシュサーバのIPアドレス情報に関してDNSキャッシュポイズニングを検出するDNSキャッシュポイズニング判定装置、DNSキャッシュポイズニング判定方法、及びDNSキャッシュポイズニング判定プログラムを提供することを目的としている。   In view of the above circumstances, the present invention provides a DNS cache poisoning determination device, a DNS cache poisoning determination method, and a DNS cache poisoning determination program for detecting DNS cache poisoning for IP address information of an unspecified number of DNS cache servers. It is aimed.

本発明の一態様は、DNSキャッシュポイズニング判定装置において、ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する通信部と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部とを備える。   According to an aspect of the present invention, in the DNS cache poisoning determination apparatus, a communication unit that receives information indicating a combination of a domain name and an IP address included in a response from a DNS cache server that has received an inquiry about an IP address for a domain name; When the cache poisoning information database in which the combination of the domain name and the IP address that were erroneously answered in the past is recorded is compared with the domain name of the information and the recorded contents of the cache poisoning information database, and the two match Includes a determination unit that determines that the information is cache poisoned.

また、本発明の一態様においては、過去に正しく回答されたドメイン名とIPアドレスとの組み合わせを記録した解決情報データベースを更に備え、前記判定部は、前記情報に含まれるドメイン名及びIPアドレスの組み合わせと前記解決情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていないと判定する。   In one aspect of the present invention, the information processing apparatus further includes a solution information database in which combinations of domain names and IP addresses that have been correctly answered in the past are recorded, and the determination unit includes domain names and IP addresses included in the information. The combination and the recorded contents of the solution information database are compared, and if the two match, it is determined that the information is not cache poisoned.

また、本発明の一態様においては、前記情報に含まれるドメイン名及びIPアドレスの組み合わせが前記解決情報データベースの記録内容と一致しない場合には、前記情報のドメイン名に対する正しいIPアドレスを権威DNSサーバに問い合わせる問合部を更に備える。   In one aspect of the present invention, if the combination of the domain name and the IP address included in the information does not match the content recorded in the resolution information database, the correct DNS address is assigned to the domain name of the information. The inquiry part which inquires is further provided.

また、本発明の一態様は、DNSキャッシュポイズニング判定方法において、ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する受信段階と、前記情報のドメイン名と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定段階とを備える。   According to another aspect of the present invention, in the DNS cache poisoning determination method, a reception step of receiving information indicating a combination of a domain name and an IP address included in a reply of a DNS cache server that has received an inquiry about an IP address for a domain name And the recorded contents of the cache poisoning information database in which the combination of the domain name and the IP address wrongly answered in the past is recorded, and if both match, the information is And a determination step of determining that the cache is poisoned.

また、本発明の一態様は、コンピュータを、ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する通信部と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部として機能させるDNSキャッシュポイズニング判定プログラムである。   According to another aspect of the present invention, there is provided a communication unit that receives information indicating a combination of a domain name and an IP address included in a reply from a DNS cache server that has received an inquiry about an IP address for a domain name; Compared with the cache poisoning information database in which the combination of the domain name and the IP address incorrectly answered is compared with the domain name of the information and the recorded contents of the cache poisoning information database, if both match, The information is a DNS cache poisoning determination program that functions as a determination unit that determines that the cache poisoning is performed.

本発明によれば、不特定多数のDNSキャッシュサーバのIPアドレス情報に関してDNSキャッシュポイズニングを検出することができる。   According to the present invention, DNS cache poisoning can be detected for IP address information of an unspecified number of DNS cache servers.

本発明の一実施形態に係るDNSキャッシュポイズニング判定サーバの接続状態を示す図である。It is a figure which shows the connection state of the DNS cash poisoning determination server which concerns on one Embodiment of this invention. DNSキャッシュポイズニング判定サーバの構成を示すブロック図である。It is a block diagram which shows the structure of a DNS cash poisoning determination server. ゲートウェイ装置の構成を示すブロック図である。It is a block diagram which shows the structure of a gateway apparatus. ゲートウェイ装置の処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of a gateway apparatus. DNSキャッシュポイズニング判定サーバの処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of a DNS cash poisoning determination server. キャッシュポイズニング情報データベースの記録内容の具体例を示す図である。It is a figure which shows the specific example of the recording content of a cash poisoning information database. 解決情報データベースの記録内容の具体例を示す図である。It is a figure which shows the specific example of the recording content of a solution information database.

図1は、本実施形態に係るDNSキャッシュポイズニング判定サーバ100の接続状態を示す図である。DNSキャッシュポイズニング判定サーバ100は、IP(Internet Protocol)ネットワークを介して、複数のゲートウェイ装置50a〜50dと接続される。各ゲートウェイ装置50a〜50dは、LAN(Local Area Network)を介して、複数の端末10a〜10hと接続される。端末10a〜10hは、例えば、パーソナルコンピュータ、携帯電話、スマートフォン等の端末装置である。ゲートウェイ装置50a〜50dは、IPネットワークを介して、DNSキャッシュサーバ200a〜200dに接続される。各DNSキャッシュサーバ200a〜200dは、IPネットワークを介して、権威DNSサーバ300と接続される。権威DNSサーバ300は、IPネットワークを介して、DNSキャッシュポイズニング判定サーバ100と接続される。例えば、端末10aから特定ドメインのIPアドレスを問い合わせるDNSクエリを受信すると、ゲートウェイ装置50aは、受信したDNSクエリをDNSキャッシュサーバ200aに転送する。DNSキャッシュサーバ200aは、DNS解決のために、問い合わせたドメイン名を管轄する権威DNSサーバ300に、そのドメイン名に対応するIPアドレスを問い合わせる。   FIG. 1 is a diagram showing a connection state of the DNS cache poisoning determination server 100 according to the present embodiment. The DNS cache poisoning determination server 100 is connected to a plurality of gateway devices 50a to 50d via an IP (Internet Protocol) network. Each of the gateway devices 50a to 50d is connected to a plurality of terminals 10a to 10h via a LAN (Local Area Network). The terminals 10a to 10h are terminal devices such as personal computers, mobile phones, and smartphones, for example. The gateway devices 50a to 50d are connected to the DNS cache servers 200a to 200d via the IP network. Each DNS cache server 200a-200d is connected to the authoritative DNS server 300 via an IP network. The authoritative DNS server 300 is connected to the DNS cache poisoning determination server 100 via the IP network. For example, when receiving a DNS query for inquiring an IP address of a specific domain from the terminal 10a, the gateway device 50a transfers the received DNS query to the DNS cache server 200a. The DNS cache server 200a inquires of the IP address corresponding to the domain name to the authoritative DNS server 300 having jurisdiction over the inquired domain name for DNS resolution.

図2は、DNSキャッシュポイズニング判定サーバ100の構成を示すブロック図である。図2に示されるように、DNSキャッシュポイズニング判定サーバ100は、制御部110と、通信部120と、判定部130と、キャッシュポイズニング情報データベース140と、解決情報データベース150と、問合部160と、記録部170とを含む。制御部110は、DNSキャッシュポイズニング判定サーバ100の全般の動作を制御する。通信部120は、IPネットワークを介して、ゲートウェイ装置50a〜50dや権威DNSサーバ300と通信する。判定部130は、通信部120によって受信した報告情報とキャッシュポイズニング情報データベース140や解決情報データベース150の記録内容とを比較する。キャッシュポイズニング情報データベース140は、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録する。解決情報データベース150は、過去に正しく回答されたドメイン名とIPアドレスとの組み合わせを記録する。   FIG. 2 is a block diagram illustrating a configuration of the DNS cache poisoning determination server 100. 2, the DNS cache poisoning determination server 100 includes a control unit 110, a communication unit 120, a determination unit 130, a cache poisoning information database 140, a solution information database 150, an inquiry unit 160, Recording unit 170. The control unit 110 controls the overall operation of the DNS cache poisoning determination server 100. The communication unit 120 communicates with the gateway devices 50a to 50d and the authoritative DNS server 300 via the IP network. The determination unit 130 compares the report information received by the communication unit 120 with the recorded contents of the cache poisoning information database 140 and the solution information database 150. The cache poisoning information database 140 records combinations of domain names and IP addresses that have been erroneously answered in the past. The solution information database 150 records combinations of domain names and IP addresses that have been correctly answered in the past.

問合部160は、報告情報に含まれる特定ドメイン名とキャッシュポイズニング情報データベース140の記録内容とが一致しない場合、かつ、報告情報に含まれる特定ドメイン名とIPアドレスとの組み合わせが解決情報データベース150の記録内容と一致しない場合に問い合わせを実行する。具体的には、問合部160は、報告情報に含まれる特定ドメイン名に対する正しいIPアドレスを、その特定ドメインを管轄する権威DNSサーバ300に問い合わせる。記録部170は、報告情報に含まれる特定ドメイン名に対するIPアドレスが、権威DNSサーバ300から回答されたIPアドレスと一致しない場合には、報告情報に含まれる特定ドメイン名とIPアドレスとの組み合わせをキャッシュポイズニング情報データベース140に記録する。また、記録部170は、報告情報に含まれる特定ドメイン名に対するIPアドレスが、権威DNSサーバ300から回答されたIPアドレスと一致した場合には、報告情報に含まれる特定ドメイン名とIPアドレスとの組み合わせを解決情報データベース150に記録する。   When the specific domain name included in the report information does not match the recorded content of the cache poisoning information database 140, the inquiry unit 160 determines that the combination of the specific domain name and IP address included in the report information is the resolution information database 150. An inquiry is executed when the recorded contents do not match. Specifically, the inquiry unit 160 inquires the authoritative DNS server 300 having jurisdiction over the specific domain for the correct IP address for the specific domain name included in the report information. When the IP address for the specific domain name included in the report information does not match the IP address returned from the authoritative DNS server 300, the recording unit 170 selects a combination of the specific domain name and the IP address included in the report information. Record in the cache poisoning information database 140. When the IP address for the specific domain name included in the report information matches the IP address returned from the authoritative DNS server 300, the recording unit 170 determines whether the specific domain name and the IP address included in the report information are The combination is recorded in the solution information database 150.

図3は、ゲートウェイ装置50aの構成を示すブロック図である。ゲートウェイ装置50aは、LAN側のネットワークとWAN(Wide Area Network)側のネットワークとを接続する。ゲートウェイ装置50aは、DNSプロキシ部51aと、DNS問合部52aと、報告情報送信部53aと、制御部54aと、ルータ部55aとを含む。DNSプロキシ部51aは、LAN側のネットワークに接続された端末10aや端末10bからのDNSクエリをWAN側のネットワークに接続されたDNSキャッシュサーバ200aに転送する。DNS問合部52aは、ゲートウェイ装置50aがドメイン名のアドレス解決を図るためのDNS問い合わせをDNSキャッシュサーバ200aに送信する。報告情報送信部53aは、報告情報をDNSキャッシュポイズニング判定サーバ100に送信する。報告情報は、DNSキャッシュサーバ200aからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報である。制御部54aは、ゲートウェイ装置50aの全体動作を制御する。ルータ部55aは、LAN側のネットワークに接続された端末10aや端末10bをWAN側のネットワークと接続する。   FIG. 3 is a block diagram showing a configuration of the gateway device 50a. The gateway device 50a connects a LAN side network and a WAN (Wide Area Network) side network. The gateway device 50a includes a DNS proxy unit 51a, a DNS inquiry unit 52a, a report information transmission unit 53a, a control unit 54a, and a router unit 55a. The DNS proxy unit 51a transfers the DNS query from the terminal 10a or terminal 10b connected to the LAN side network to the DNS cache server 200a connected to the WAN side network. The DNS inquiry unit 52a transmits to the DNS cache server 200a a DNS inquiry for the gateway device 50a to resolve the domain name address. The report information transmission unit 53a transmits the report information to the DNS cache poisoning determination server 100. The report information is information indicating a combination of a domain name and an IP address included in a response from the DNS cache server 200a. The control unit 54a controls the overall operation of the gateway device 50a. The router unit 55a connects the terminal 10a and the terminal 10b connected to the LAN side network to the WAN side network.

図4は、ゲートウェイ装置50aの処理の流れを示すフローチャートである。図4を参照しながらゲートウェイ装置50aの処理の流れを説明する。まず、DNSプロキシ部51aは、端末10aや端末10bからDNSクエリを受信する(ステップS401)。次に、DNSプロキシ部51aおよびDNS問合部52aは、DNSキャッシュサーバ200aを介して、特定ドメインのIPアドレスを権威DNSサーバ300に問い合わせる(ステップS402)。具体的には、ゲートウェイ装置50aは、端末10aや端末10bから受信したDNSクエリをDNSキャッシュサーバ200aに転送する。DNSキャッシュサーバ200aは、DNSクエリに含まれる特定ドメインのIPアドレスを、特定ドメインを管轄する権威DNSサーバ300に問い合わせる。次に、DNSプロキシ部51aは、DNSキャッシュサーバ200aを介して、権威DNSサーバ300からの回答を受信する(ステップS403)。次に、報告情報送信部53aは、報告情報をDNSキャッシュポイズニング判定サーバ100に送信する(ステップS404)。報告情報とは、DNSキャッシュサーバ200aからの回答に含まれるドメイン名とIPアドレスとの組み合わせを報告する情報である。   FIG. 4 is a flowchart showing a processing flow of the gateway device 50a. The processing flow of the gateway device 50a will be described with reference to FIG. First, the DNS proxy unit 51a receives a DNS query from the terminal 10a or the terminal 10b (step S401). Next, the DNS proxy unit 51a and the DNS inquiry unit 52a inquire of the authoritative DNS server 300 about the IP address of the specific domain via the DNS cache server 200a (step S402). Specifically, the gateway device 50a transfers the DNS query received from the terminal 10a or the terminal 10b to the DNS cache server 200a. The DNS cache server 200a inquires the authoritative DNS server 300 having jurisdiction over the specific domain for the IP address of the specific domain included in the DNS query. Next, the DNS proxy unit 51a receives an answer from the authoritative DNS server 300 via the DNS cache server 200a (step S403). Next, the report information transmission unit 53a transmits the report information to the DNS cache poisoning determination server 100 (step S404). The report information is information for reporting a combination of a domain name and an IP address included in a response from the DNS cache server 200a.

次に、制御部54aは、DNSキャッシュポイズニング判定サーバ100からOK通知またはNG通知を受信する(ステップS405)。OK通知とは、報告情報に含まれるドメイン名とIPアドレスとの組み合わせはキャッシュポイズニングされていない組み合わせであることを示す通知である。NG通知とは、報告情報に含まれるドメイン名とIPアドレスとの組み合わせはキャッシュポイズニングされている組み合わせ(偽称されている組み合わせ)であることを示す通知である。次に、制御部54aは、ステップS405の通知内容を基に、報告情報はキャッシュポイズニングされたものか否かを判定する(ステップS406)。ステップS406における判定の結果、報告情報はキャッシュポイズニングされたものでなければ、制御部54aは次のステップに進む。次に、制御部54aは、報告情報に含まれるドメイン名とIPアドレスとの組み合わせを、ステップS401のDNSクエリを発信した端末10aまたは端末10bに通知する(ステップS407)。他方、ステップS406における判定の結果、報告情報はキャッシュポイズニングされたものであれば、制御部54aは次のステップに進む。   Next, the control unit 54a receives an OK notification or an NG notification from the DNS cache poisoning determination server 100 (step S405). The OK notification is a notification indicating that the combination of the domain name and the IP address included in the report information is a combination that has not been cache poisoned. The NG notification is a notification indicating that the combination of the domain name and the IP address included in the report information is a cache poisoned combination (a combination that is falsely named). Next, the control unit 54a determines whether or not the report information has been cache poisoned based on the notification content in step S405 (step S406). If the result of determination in step S406 is that the report information has not been cache poisoned, the control unit 54a proceeds to the next step. Next, the control unit 54a notifies the combination of the domain name and the IP address included in the report information to the terminal 10a or the terminal 10b that has transmitted the DNS query in step S401 (step S407). On the other hand, if the result of determination in step S406 is that the report information has been cache poisoned, the control unit 54a proceeds to the next step.

次に、制御部54aは、報告情報の内容はキャッシュポイズニングされたものとして、緊急避難措置を実行する(ステップS408)。緊急避難措置の内容は、予め定められたものであれば、特に限定されない。緊急避難措置の一例としては、ステップS401のDNSクエリを発信した端末10aまたは端末10bに、特定ドメインはキャッシュポイズニングされていることを通知することがある。緊急避難措置の一例としては、ステップS401のDNSクエリを発信した端末10aまたは端末10bに、代替画面を提供する安全なIPアドレスや画面データを通知することがある。緊急避難措置の一例としては、ルータ部55aの制御によって、ステップS401のDNSクエリを発信した端末10aまたは端末10bとWAN側のネットワークとの接続を遮断することがある。制御部54aは、上記の緊急避難措置を複数組み合わせて実行してもよい。   Next, the control unit 54a executes emergency evacuation measures assuming that the content of the report information is cash poisoned (step S408). The content of the emergency evacuation measure is not particularly limited as long as it is predetermined. As an example of the emergency evacuation measure, there is a case where the terminal 10a or the terminal 10b that has transmitted the DNS query in step S401 is notified that the specific domain is cash poisoned. As an example of the emergency evacuation measure, there is a case where a safe IP address or screen data providing an alternative screen is notified to the terminal 10a or the terminal 10b that has transmitted the DNS query in step S401. As an example of the emergency evacuation measure, there is a case where the connection between the terminal 10a or the terminal 10b that has transmitted the DNS query in step S401 and the WAN side network is blocked by the control of the router unit 55a. The controller 54a may execute a combination of a plurality of emergency evacuation measures.

図5は、DNSキャッシュポイズニング判定サーバ100の処理の流れを示すフローチャートである。図5を参照しながらDNSキャッシュポイズニング判定サーバ100の処理の流れを説明する。キャッシュポイズニング情報データベース140は、ゲートウェイ装置50a〜50dから受信した報告情報(図4のステップS404参照)を基に、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを予め記録している。解決情報データベース150は、ゲートウェイ装置50a〜50dから受信した報告情報を基に、過去に正しく回答されたドメイン名とIPアドレスとの組み合わせを予め記録している。   FIG. 5 is a flowchart showing a flow of processing of the DNS cache poisoning determination server 100. A processing flow of the DNS cache poisoning determination server 100 will be described with reference to FIG. The cache poisoning information database 140 records in advance a combination of a domain name and an IP address that have been erroneously answered in the past based on the report information received from the gateway devices 50a to 50d (see step S404 in FIG. 4). . The resolution information database 150 records in advance combinations of domain names and IP addresses that have been correctly answered in the past based on the report information received from the gateway devices 50a to 50d.

まず、通信部120は、例えばゲートウェイ装置50aから報告情報を受信する(ステップS501)。次に、判定部130は、受信した報告情報をキャッシュポイズニング情報データベース140の記録内容と比較する(ステップS502)。図6は、キャッシュポイズニング情報データベース140の記録内容の具体例を示す図である。図6の例では、ドメイン名「aaa.aaa.aa」とIPアドレス「11.99.100.11」との組み合わせが、過去に誤って回答された組み合わせ情報(キャッシュポイズニング情報)として記録されている。同様に、ドメイン名「bbb.bbb.bb」とIPアドレス「29.230.55.111」との組み合わせも、過去に誤って回答された組み合わせ情報の例である。   First, the communication unit 120 receives report information from the gateway device 50a, for example (step S501). Next, the determination unit 130 compares the received report information with the recorded contents of the cache poisoning information database 140 (step S502). FIG. 6 is a diagram showing a specific example of the contents recorded in the cache poisoning information database 140. In the example of FIG. 6, the combination of the domain name “aaa.aaa.aa” and the IP address “11.9.100.11” is recorded as combination information (cache poisoning information) that has been erroneously answered in the past. Yes. Similarly, the combination of the domain name “bbb.bbb.bb” and the IP address “29.230.55.111” is also an example of combination information that has been erroneously answered in the past.

図5に戻って、判定部130は、報告情報とキャッシュポイズニング情報データベース140の記録内容との間に一致するドメイン名があれば(ステップS503−Yes)、ステップS512の処理に進む。本ステップでは、制御部110は、受信した報告情報はキャッシュポイズニングされた情報(偽称された情報)であるものとして、報告情報を送信したゲートウェイ装置50aにNG通知を送信する(ステップS512)。他方、報告情報とキャッシュポイズニング情報データベース140の記録内容との間に一致するドメイン名がなければ(ステップS503−No)、制御部110は、次のステップに進む。   Returning to FIG. 5, if there is a matching domain name between the report information and the recorded contents of the cache poisoning information database 140 (step S503—Yes), the determination unit 130 proceeds to the process of step S512. In this step, the control unit 110 transmits an NG notification to the gateway device 50a that has transmitted the report information on the assumption that the received report information is cache-poisoned information (impersonated information) (step S512). On the other hand, if there is no matching domain name between the report information and the recorded contents of the cache poisoning information database 140 (step S503-No), the control unit 110 proceeds to the next step.

次に、判定部130は、報告情報を解決情報データベース150の記録内容と比較する(ステップS504)。図7は、解決情報データベース150の記録内容の具体例を示す図である。図7の例では、ドメイン名「ccc.ccc.cc」とIPアドレス「101.99.100.11」及び「101.99.100.12」及び「101.99.100.13」との組み合わせが過去に正しく回答された組み合わせ情報(解決情報)として記録されている。同様に、ドメイン名「ddd.ddd.dd」とIPアドレス「256.178.34.2」との組み合わせ、ドメイン名「eee.eee.ee」とIPアドレス「134.178.34.2」との組み合わせ、ドメイン名「fff.fff.ff」とIPアドレス「123.56.10.11」との組み合わせも、過去に正しく回答された組み合わせ情報の例である。   Next, the determination unit 130 compares the report information with the content recorded in the solution information database 150 (step S504). FIG. 7 is a diagram showing a specific example of the recorded contents of the solution information database 150. In the example of FIG. 7, a combination of the domain name “ccc.ccc.cc” and the IP addresses “101.99.9100.11”, “101.99.9100.12”, and “101.99.9100.13” Is recorded as combination information (solution information) correctly answered in the past. Similarly, a combination of a domain name “ddd.ddd.dd” and an IP address “256.178.34.2”, a domain name “eeee.eeee.ee”, and an IP address “134.1788.34.2” The combination of the domain name “fff.fff.ff” and the IP address “123.56.10.11” is also an example of combination information correctly answered in the past.

図5に戻って、判定部130は、報告情報と解決情報データベース150の記録内容との間に一致するドメイン名があれば(ステップS505−Yes)、次のステップに進む。他方、判定部130は、報告情報と解決情報データベース150の記録内容との間に一致するドメイン名がなければ(ステップS505−No)、ステップS508の処理に進む。判定部130は、ステップS505において一致したドメイン名について、報告情報のIPアドレスと解決情報データベース150に記録されたIPアドレスとが一致すれば(ステップS506−Yes)、次のステップに進む。他方、判定部130は、ステップS505において一致したドメイン名について、報告情報のIPアドレスと解決情報データベース150に記録されたIPアドレスとが一致しなければ(ステップS506−No)、ステップS508の処理に進む。
次に、制御部110は、報告情報を送信したゲートウェイ装置50aにOK通知を送信する(ステップS507)。 Returning to FIG. 5, if there is a matching domain name between the report information and the recorded content of the resolution information database 150 (step S505-Yes), the determination unit 130 proceeds to the next step. On the other hand, if there is no matching domain name between the report information and the recorded content of the resolution information database 150 (step S505-No), the determination unit 130 proceeds to the process of step S508. The determination unit 130 proceeds to the next step if the IP address of the report information matches the IP address recorded in the resolution information database 150 for the domain name that matched in step S505 (step S506-Yes). On the other hand, if the IP address of the report information does not match the IP address recorded in the resolution information database 150 for the domain name that matches in step S505 (step S506-No), the determination unit 130 proceeds to the process of step S508. move on.
Next, the control unit 110 transmits an OK notification to the gateway device 50a that transmitted the report information (step S507).

他方、問合部160は、報告情報のドメイン名に対する正しいIPアドレスを、そのドメイン名に対応する権威DNSサーバ300に問い合わせる(ステップS508)。次に、制御部110は、報告情報のIPアドレスと権威DNSサーバ300から回答されたIPアドレスとが一致するか否かを判定する(ステップS509)。報告情報のIPアドレスと権威DNSサーバ300から回答されたIPアドレスとが一致すると判定されれば(ステップS509−Yes)、制御部110は、次のステップに進む。他方、報告情報のIPアドレスと権威DNSサーバ300から回答されたIPアドレスとが一致しないと判定されれば(ステップS509−No)、制御部110は、ステップS511の処理に進む。   On the other hand, the inquiry unit 160 inquires the authoritative DNS server 300 corresponding to the domain name for the correct IP address for the domain name of the report information (step S508). Next, the control unit 110 determines whether or not the IP address of the report information matches the IP address returned from the authoritative DNS server 300 (step S509). If it is determined that the IP address of the report information matches the IP address returned from the authoritative DNS server 300 (step S509—Yes), the control unit 110 proceeds to the next step. On the other hand, if it is determined that the IP address of the report information does not match the IP address returned from the authoritative DNS server 300 (No in step S509), the control unit 110 proceeds to the process of step S511.

次に、記録部170は、解決情報データベース150を更新する(ステップS510)。具体的には、記録部170は、報告情報に含まれるドメイン名とIPアドレスとの組み合わせを解決情報データベース150の記録内容に加える。次に、制御部110は、報告情報を送信したゲートウェイ装置50aにOK通知を送信する(ステップS507)。   Next, the recording unit 170 updates the solution information database 150 (step S510). Specifically, the recording unit 170 adds the combination of the domain name and the IP address included in the report information to the recorded content of the solution information database 150. Next, the control unit 110 transmits an OK notification to the gateway device 50a that transmitted the report information (step S507).

他方、記録部170は、キャッシュポイズニング情報データベース140を更新する(ステップS511)。具体的には、記録部170は、報告情報に含まれるドメイン名とIPアドレスとの組み合わせをキャッシュポイズニング情報データベース140の記録内容に加える。次に、制御部110は、報告情報を送信したゲートウェイ装置50aにNG通知を送信する(ステップS512)。   On the other hand, the recording unit 170 updates the cache poisoning information database 140 (step S511). Specifically, the recording unit 170 adds the combination of the domain name and IP address included in the report information to the recorded contents of the cache poisoning information database 140. Next, the control part 110 transmits NG notification to the gateway apparatus 50a which transmitted report information (step S512).

このような構成によれば、不特定多数のDNSキャッシュサーバ200a〜200dから受信するIPアドレス情報に関してDNSキャッシュポイズニングを検出することができる。また、DNSキャッシュポイズニングの検出に応じた適切なセキュリティ制御を実現することも可能となる。セキュリティ制御の例としては、端末10a〜10hに対するDNSキャッシュポイズニングの検出通知や、端末10a〜10hの通信遮断がある。   According to such a configuration, DNS cache poisoning can be detected for IP address information received from an unspecified number of DNS cache servers 200a to 200d. It is also possible to realize appropriate security control according to the detection of DNS cache poisoning. Examples of security control include DNS cache poisoning detection notification for the terminals 10a to 10h and communication interruption of the terminals 10a to 10h.

さらに、DNSキャッシュポイズニング判定サーバ100に報告情報を送信するゲートウェイ装置の数を増やせば、キャッシュポイズニング情報データベース140と解決情報データベース150との情報量は増し、その信頼性は高くなる。例えば、数百万の世帯に各1台のゲートウェイ装置を設置すれば、数百万台のゲートウェイ装置から報告情報を得ることができる。これにより、数あるDNSキャッシュサーバの中の一部のDNSキャッシュサーバにて一時的に発生するキャシュポイズニングであっても検出することが可能となる。また、DNSキャッシュポイズニング判定サーバ100は、多数のゲートウェイ装置から実際に送信された報告情報を集積し、集積された報告情報に含まれるドメイン名に関するアクセス情報を得ることができる。例えば、DNSキャッシュポイズニング判定サーバ100は、アクセス頻度の高いドメイン名を特定することが可能となる。   Furthermore, if the number of gateway devices that transmit report information to the DNS cache poisoning determination server 100 is increased, the amount of information in the cache poisoning information database 140 and the resolution information database 150 increases, and the reliability thereof increases. For example, if one gateway device is installed in each of millions of households, report information can be obtained from millions of gateway devices. This makes it possible to detect even cache poisoning that occurs temporarily in some DNS cache servers among a number of DNS cache servers. Also, the DNS cache poisoning determination server 100 can accumulate report information actually transmitted from a number of gateway devices and obtain access information related to domain names included in the accumulated report information. For example, the DNS cache poisoning determination server 100 can specify a domain name having a high access frequency.

上記の説明においては、ゲートウェイ装置50a〜50dは、DNSプロキシの機能を備え、端末10a〜10hから受信したDNSクエリを各DNSキャッシュサーバ200a〜200dに転送するものとした。しかし、ゲートウェイ装置50a〜50dとDNSキャッシュサーバ200a〜200dとを一体的な構成としてもよい。つまり、ゲートウェイ装置50a〜50dの機能を兼ね備えたDNSキャッシュサーバに端末10a〜10hを接続してDNSクエリを処理してもよい。   In the above description, the gateway devices 50a to 50d have a DNS proxy function, and transfer DNS queries received from the terminals 10a to 10h to the DNS cache servers 200a to 200d. However, the gateway devices 50a to 50d and the DNS cache servers 200a to 200d may be integrated. That is, the DNS query may be processed by connecting the terminals 10a to 10h to the DNS cache server having the functions of the gateway devices 50a to 50d.

また、上記の説明においては、DNSキャッシュポイズニング判定サーバ100は、制御部110と、通信部120と、判定部130と、キャッシュポイズニング情報データベース140と、解決情報データベース150と、問合部160と、記録部170とを含むものとして説明した。しかし、上記の構成の一部、例えばキャッシュポイズニング情報データベース140及び解決情報データベース150は、DNSキャッシュポイズニング判定サーバ100とは異なるサーバに備えられてもよい。   In the above description, the DNS cache poisoning determination server 100 includes the control unit 110, the communication unit 120, the determination unit 130, the cache poisoning information database 140, the solution information database 150, the inquiry unit 160, The recording unit 170 is described as being included. However, a part of the above configuration, for example, the cache poisoning information database 140 and the resolution information database 150 may be provided in a server different from the DNS cache poisoning determination server 100.

以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計も含まれる。なお、当然ながら、上述した実施の形態および複数の変形例は、その内容が相反しない範囲で組み合わせることができる。また、上述した実施の形態および変形例では、各部の構造などを具体的に説明したが、その構造などは本願発明を満足する範囲で各種に変更することができる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes a design that does not depart from the gist of the present invention. Needless to say, the above-described embodiment and a plurality of modifications can be combined within a range in which the contents do not conflict with each other. Further, in the above-described embodiments and modifications, the structure of each part has been specifically described, but the structure and the like can be changed in various ways within a range that satisfies the present invention.

10a〜10h…端末, 50a〜50d…ゲートウェイ装置, 100…DNSキャッシュポイズニング判定サーバ, 110…制御部, 120…通信部, 130…判定部, 140…キャッシュポイズニング情報データベース, 150…解決情報データベース, 160…問合部, 170…記録部, 200a〜200d…DNSキャッシュサーバ, 300…権威DNSサーバ   10a to 10h ... terminal, 50a-50d ... gateway device, 100 ... DNS cache poisoning determination server, 110 ... control unit, 120 ... communication unit, 130 ... determination unit, 140 ... cache poisoning information database, 150 ... solution information database, 160 ... Inquiry part, 170 ... Recording part, 200a-200d ... DNS cache server, 300 ... Authority DNS server

Claims (5)

ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する通信部と、
過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、
前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部とを備えるDNSキャッシュポイズニング判定装置。 A communication unit that receives information indicating a combination of a domain name and an IP address included in a response from a DNS cache server that has received an inquiry about an IP address for a domain name;
A cache poisoning information database that records combinations of domain names and IP addresses that were erroneously answered in the past;
A DNS cache poisoning determination apparatus comprising: a determination unit that compares the domain name of the information with the recorded contents of the cache poisoning information database and determines that the information is cache poisoned if they match. 過去に正しく回答されたドメイン名とIPアドレスとの組み合わせを記録した解決情報データベースを更に備え、
前記判定部は、前記情報に含まれるドメイン名及びIPアドレスの組み合わせと前記解決情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていないと判定することを特徴とする請求項1に記載のDNSキャッシュポイズニング判定装置。 A resolution information database that records combinations of domain names and IP addresses that have been correctly answered in the past;
The determination unit compares a combination of a domain name and an IP address included in the information with the recorded contents of the resolution information database, and determines that the information is not cache poisoned when the two match. The DNS cache poisoning determination apparatus according to claim 1. 前記情報に含まれるドメイン名及びIPアドレスの組み合わせが前記解決情報データベースの記録内容と一致しない場合には、前記情報のドメイン名に対する正しいIPアドレスを権威DNSサーバに問い合わせる問合部を更に備えることを特徴とする請求項2に記載のDNSキャッシュポイズニング判定装置。   When the combination of the domain name and the IP address included in the information does not match the content recorded in the resolution information database, the information processing apparatus further includes a query unit that inquires an authoritative DNS server for a correct IP address for the domain name of the information. The DNS cache poisoning determination apparatus according to claim 2, wherein ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する受信段階と、
前記情報のドメイン名と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定段階とを備えるDNSキャッシュポイズニング判定方法。 A receiving step of receiving information indicating a combination of a domain name and an IP address included in a DNS cache server response that has received an inquiry about an IP address for the domain name;
The domain name of the information is compared with the contents recorded in the cache poisoning information database in which a combination of a domain name and an IP address that have been erroneously answered in the past is compared. If the two match, the information is cache poisoning. And a DNS cache poisoning determination method. コンピュータを、
ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する通信部と、
過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、
前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部として機能させることを特徴とするDNSキャッシュポイズニング判定プログラム。 Computer
A communication unit that receives information indicating a combination of a domain name and an IP address included in a response from a DNS cache server that has received an inquiry about an IP address for a domain name;
A cache poisoning information database that records combinations of domain names and IP addresses that were erroneously answered in the past;
A DNS cache characterized in that the domain name of the information is compared with the recorded contents of the cache poisoning information database, and if the two match, the information is made to function as a determination unit that determines that the information is cache poisoned. Poisoning judgment program.
JP2013105568A 2013-05-17 2013-05-17 DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program Active JP5986955B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013105568A JP5986955B2 (en) 2013-05-17 2013-05-17 DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013105568A JP5986955B2 (en) 2013-05-17 2013-05-17 DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program

Publications (2)

Publication Number Publication Date
JP2014229937A JP2014229937A (en) 2014-12-08
JP5986955B2 true JP5986955B2 (en) 2016-09-06

Family

ID=52129456

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013105568A Active JP5986955B2 (en) 2013-05-17 2013-05-17 DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program

Country Status (1)

Country Link
JP (1) JP5986955B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667799B (en) * 2018-03-28 2021-01-15 中国科学院信息工程研究所 Defense method and system for browser cache poisoning

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4213689B2 (en) * 2005-07-08 2009-01-21 株式会社クローバー・ネットワーク・コム Farming fraud prevention system, network terminal device and program
US8321551B2 (en) * 2010-02-02 2012-11-27 Symantec Corporation Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
JP5568344B2 (en) * 2010-03-18 2014-08-06 株式会社ラック Attack detection apparatus, attack detection method, and program

Also Published As

Publication number Publication date
JP2014229937A (en) 2014-12-08

Similar Documents

Publication Publication Date Title
US9923961B2 (en) Integrity check of DNS server setting
US20150350229A1 (en) Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data
US7912048B2 (en) Apparatus and method for detecting network address translation device
US10581880B2 (en) System and method for generating rules for attack detection feedback system
CN101527721B (en) Anti-virus method on the basis of household gateway and device thereof
CN101321055A (en) Attack protection method and device
CN105939337A (en) DNS cache poisoning protection method and device
CN104168339A (en) Method and device for preventing domain name from being intercepted
US10326794B2 (en) Anycast-based spoofed traffic detection and mitigation
CN110572406B (en) Method, system and related device for determining lost host
JP2013247674A (en) Method, system, and computer program for identifying rogue domain name service (dns) server (system for detecting presence of rogue domain name service providers through passive monitoring)
CN102118398B (en) Access control method, device and system
US20210112093A1 (en) Measuring address resolution protocol spoofing success
US20170180401A1 (en) Protection Against Malicious Attacks
JP5986955B2 (en) DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program
US9497083B1 (en) Discovering network nodes
US8001243B2 (en) Distributed denial of service deterrence using outbound packet rewriting
US8239930B2 (en) Method for controlling access to a network in a communication system
US10015179B2 (en) Interrogating malware
JP6303661B2 (en) Malware detection system, malware detection method, DNS server, and name resolution program.
CN114024752A (en) Network security defense method, equipment and system based on whole network linkage
WO2009110327A1 (en) Network monitor system, network monitor method, and network monitor program
JP2005210451A (en) Unauthorized access preventing apparatus and program
JP6382244B2 (en) Packet filtering device
Caiazza et al. TCP‐based traceroute: An evaluation of different probing methods

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150629

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160629

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160808

R150 Certificate of patent or registration of utility model

Ref document number: 5986955

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250