JP5986955B2 - DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program - Google Patents
DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program Download PDFInfo
- Publication number
- JP5986955B2 JP5986955B2 JP2013105568A JP2013105568A JP5986955B2 JP 5986955 B2 JP5986955 B2 JP 5986955B2 JP 2013105568 A JP2013105568 A JP 2013105568A JP 2013105568 A JP2013105568 A JP 2013105568A JP 5986955 B2 JP5986955 B2 JP 5986955B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- dns
- domain name
- cache
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、DNS(Domain Name System)キャッシュサーバにおけるDNSキャッシュポイズニングの有無を判定するDNSキャッシュポイズニング判定装置、DNSキャッシュポイズニング判定方法、及びDNSキャッシュポイズニング判定プログラムに関する。 The present invention relates to a DNS cache poisoning determination apparatus, a DNS cache poisoning determination method, and a DNS cache poisoning determination program for determining the presence or absence of DNS cache poisoning in a DNS (Domain Name System) cache server.
従来、DNSキャッシュサーバに対して、問い合わせ先のDNSサーバの応答パケットを偽造したパケットを送信し、特定ドメインのIP(Internet Protocol)アドレスを悪意あるサイトのIPアドレスに書き換えるDNSキャッシュポイズニングという不正行為が問題となっている。DNSキャッシュポイズニングを防止するために、DNSサーバとDNSキャッシュサーバとの間に攻撃防御装置を介在させる技術が提案されている(特許文献1参照)。特許文献1の攻撃防御装置は、応答パケットがDNSサーバからの正当な応答であることを確認する。
Conventionally, a DNS cache poisoning fraudulent act of sending a forged packet of a DNS server response packet to a DNS cache server and rewriting the IP (Internet Protocol) address of a specific domain with an IP address of a malicious site has been performed. It is a problem. In order to prevent DNS cache poisoning, a technique has been proposed in which an attack defense device is interposed between a DNS server and a DNS cache server (see Patent Document 1). The attack defense apparatus of
しかしながら、上記従来技術では、DNSサーバとの間に攻撃防御装置を介在させたDNSキャッシュサーバのIPアドレス情報に関してのみ、攻撃防御装置は、DNSキャッシュポイズニングを検出可能となっていた。そのため、上記従来技術の攻撃防御装置は、不特定多数のDNSキャッシュサーバのIPアドレス情報に関してDNSキャッシュポイズニングを検出することができなかった。 However, in the above prior art, the attack defense device can detect DNS cache poisoning only with respect to the IP address information of the DNS cache server in which the attack defense device is interposed between the DNS server. For this reason, the above-described conventional attack defense apparatus cannot detect DNS cache poisoning regarding the IP address information of an unspecified number of DNS cache servers.
上記事情に鑑み、本発明は、不特定多数のDNSキャッシュサーバのIPアドレス情報に関してDNSキャッシュポイズニングを検出するDNSキャッシュポイズニング判定装置、DNSキャッシュポイズニング判定方法、及びDNSキャッシュポイズニング判定プログラムを提供することを目的としている。 In view of the above circumstances, the present invention provides a DNS cache poisoning determination device, a DNS cache poisoning determination method, and a DNS cache poisoning determination program for detecting DNS cache poisoning for IP address information of an unspecified number of DNS cache servers. It is aimed.
本発明の一態様は、DNSキャッシュポイズニング判定装置において、ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する通信部と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部とを備える。 According to an aspect of the present invention, in the DNS cache poisoning determination apparatus, a communication unit that receives information indicating a combination of a domain name and an IP address included in a response from a DNS cache server that has received an inquiry about an IP address for a domain name; When the cache poisoning information database in which the combination of the domain name and the IP address that were erroneously answered in the past is recorded is compared with the domain name of the information and the recorded contents of the cache poisoning information database, and the two match Includes a determination unit that determines that the information is cache poisoned.
また、本発明の一態様においては、過去に正しく回答されたドメイン名とIPアドレスとの組み合わせを記録した解決情報データベースを更に備え、前記判定部は、前記情報に含まれるドメイン名及びIPアドレスの組み合わせと前記解決情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていないと判定する。 In one aspect of the present invention, the information processing apparatus further includes a solution information database in which combinations of domain names and IP addresses that have been correctly answered in the past are recorded, and the determination unit includes domain names and IP addresses included in the information. The combination and the recorded contents of the solution information database are compared, and if the two match, it is determined that the information is not cache poisoned.
また、本発明の一態様においては、前記情報に含まれるドメイン名及びIPアドレスの組み合わせが前記解決情報データベースの記録内容と一致しない場合には、前記情報のドメイン名に対する正しいIPアドレスを権威DNSサーバに問い合わせる問合部を更に備える。 In one aspect of the present invention, if the combination of the domain name and the IP address included in the information does not match the content recorded in the resolution information database, the correct DNS address is assigned to the domain name of the information. The inquiry part which inquires is further provided.
また、本発明の一態様は、DNSキャッシュポイズニング判定方法において、ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する受信段階と、前記情報のドメイン名と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定段階とを備える。 According to another aspect of the present invention, in the DNS cache poisoning determination method, a reception step of receiving information indicating a combination of a domain name and an IP address included in a reply of a DNS cache server that has received an inquiry about an IP address for a domain name And the recorded contents of the cache poisoning information database in which the combination of the domain name and the IP address wrongly answered in the past is recorded, and if both match, the information is And a determination step of determining that the cache is poisoned.
また、本発明の一態様は、コンピュータを、ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する通信部と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部として機能させるDNSキャッシュポイズニング判定プログラムである。 According to another aspect of the present invention, there is provided a communication unit that receives information indicating a combination of a domain name and an IP address included in a reply from a DNS cache server that has received an inquiry about an IP address for a domain name; Compared with the cache poisoning information database in which the combination of the domain name and the IP address incorrectly answered is compared with the domain name of the information and the recorded contents of the cache poisoning information database, if both match, The information is a DNS cache poisoning determination program that functions as a determination unit that determines that the cache poisoning is performed.
本発明によれば、不特定多数のDNSキャッシュサーバのIPアドレス情報に関してDNSキャッシュポイズニングを検出することができる。 According to the present invention, DNS cache poisoning can be detected for IP address information of an unspecified number of DNS cache servers.
図1は、本実施形態に係るDNSキャッシュポイズニング判定サーバ100の接続状態を示す図である。DNSキャッシュポイズニング判定サーバ100は、IP(Internet Protocol)ネットワークを介して、複数のゲートウェイ装置50a〜50dと接続される。各ゲートウェイ装置50a〜50dは、LAN(Local Area Network)を介して、複数の端末10a〜10hと接続される。端末10a〜10hは、例えば、パーソナルコンピュータ、携帯電話、スマートフォン等の端末装置である。ゲートウェイ装置50a〜50dは、IPネットワークを介して、DNSキャッシュサーバ200a〜200dに接続される。各DNSキャッシュサーバ200a〜200dは、IPネットワークを介して、権威DNSサーバ300と接続される。権威DNSサーバ300は、IPネットワークを介して、DNSキャッシュポイズニング判定サーバ100と接続される。例えば、端末10aから特定ドメインのIPアドレスを問い合わせるDNSクエリを受信すると、ゲートウェイ装置50aは、受信したDNSクエリをDNSキャッシュサーバ200aに転送する。DNSキャッシュサーバ200aは、DNS解決のために、問い合わせたドメイン名を管轄する権威DNSサーバ300に、そのドメイン名に対応するIPアドレスを問い合わせる。
FIG. 1 is a diagram showing a connection state of the DNS cache
図2は、DNSキャッシュポイズニング判定サーバ100の構成を示すブロック図である。図2に示されるように、DNSキャッシュポイズニング判定サーバ100は、制御部110と、通信部120と、判定部130と、キャッシュポイズニング情報データベース140と、解決情報データベース150と、問合部160と、記録部170とを含む。制御部110は、DNSキャッシュポイズニング判定サーバ100の全般の動作を制御する。通信部120は、IPネットワークを介して、ゲートウェイ装置50a〜50dや権威DNSサーバ300と通信する。判定部130は、通信部120によって受信した報告情報とキャッシュポイズニング情報データベース140や解決情報データベース150の記録内容とを比較する。キャッシュポイズニング情報データベース140は、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録する。解決情報データベース150は、過去に正しく回答されたドメイン名とIPアドレスとの組み合わせを記録する。
FIG. 2 is a block diagram illustrating a configuration of the DNS cache
問合部160は、報告情報に含まれる特定ドメイン名とキャッシュポイズニング情報データベース140の記録内容とが一致しない場合、かつ、報告情報に含まれる特定ドメイン名とIPアドレスとの組み合わせが解決情報データベース150の記録内容と一致しない場合に問い合わせを実行する。具体的には、問合部160は、報告情報に含まれる特定ドメイン名に対する正しいIPアドレスを、その特定ドメインを管轄する権威DNSサーバ300に問い合わせる。記録部170は、報告情報に含まれる特定ドメイン名に対するIPアドレスが、権威DNSサーバ300から回答されたIPアドレスと一致しない場合には、報告情報に含まれる特定ドメイン名とIPアドレスとの組み合わせをキャッシュポイズニング情報データベース140に記録する。また、記録部170は、報告情報に含まれる特定ドメイン名に対するIPアドレスが、権威DNSサーバ300から回答されたIPアドレスと一致した場合には、報告情報に含まれる特定ドメイン名とIPアドレスとの組み合わせを解決情報データベース150に記録する。
When the specific domain name included in the report information does not match the recorded content of the cache
図3は、ゲートウェイ装置50aの構成を示すブロック図である。ゲートウェイ装置50aは、LAN側のネットワークとWAN(Wide Area Network)側のネットワークとを接続する。ゲートウェイ装置50aは、DNSプロキシ部51aと、DNS問合部52aと、報告情報送信部53aと、制御部54aと、ルータ部55aとを含む。DNSプロキシ部51aは、LAN側のネットワークに接続された端末10aや端末10bからのDNSクエリをWAN側のネットワークに接続されたDNSキャッシュサーバ200aに転送する。DNS問合部52aは、ゲートウェイ装置50aがドメイン名のアドレス解決を図るためのDNS問い合わせをDNSキャッシュサーバ200aに送信する。報告情報送信部53aは、報告情報をDNSキャッシュポイズニング判定サーバ100に送信する。報告情報は、DNSキャッシュサーバ200aからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報である。制御部54aは、ゲートウェイ装置50aの全体動作を制御する。ルータ部55aは、LAN側のネットワークに接続された端末10aや端末10bをWAN側のネットワークと接続する。
FIG. 3 is a block diagram showing a configuration of the
図4は、ゲートウェイ装置50aの処理の流れを示すフローチャートである。図4を参照しながらゲートウェイ装置50aの処理の流れを説明する。まず、DNSプロキシ部51aは、端末10aや端末10bからDNSクエリを受信する(ステップS401)。次に、DNSプロキシ部51aおよびDNS問合部52aは、DNSキャッシュサーバ200aを介して、特定ドメインのIPアドレスを権威DNSサーバ300に問い合わせる(ステップS402)。具体的には、ゲートウェイ装置50aは、端末10aや端末10bから受信したDNSクエリをDNSキャッシュサーバ200aに転送する。DNSキャッシュサーバ200aは、DNSクエリに含まれる特定ドメインのIPアドレスを、特定ドメインを管轄する権威DNSサーバ300に問い合わせる。次に、DNSプロキシ部51aは、DNSキャッシュサーバ200aを介して、権威DNSサーバ300からの回答を受信する(ステップS403)。次に、報告情報送信部53aは、報告情報をDNSキャッシュポイズニング判定サーバ100に送信する(ステップS404)。報告情報とは、DNSキャッシュサーバ200aからの回答に含まれるドメイン名とIPアドレスとの組み合わせを報告する情報である。
FIG. 4 is a flowchart showing a processing flow of the
次に、制御部54aは、DNSキャッシュポイズニング判定サーバ100からOK通知またはNG通知を受信する(ステップS405)。OK通知とは、報告情報に含まれるドメイン名とIPアドレスとの組み合わせはキャッシュポイズニングされていない組み合わせであることを示す通知である。NG通知とは、報告情報に含まれるドメイン名とIPアドレスとの組み合わせはキャッシュポイズニングされている組み合わせ(偽称されている組み合わせ)であることを示す通知である。次に、制御部54aは、ステップS405の通知内容を基に、報告情報はキャッシュポイズニングされたものか否かを判定する(ステップS406)。ステップS406における判定の結果、報告情報はキャッシュポイズニングされたものでなければ、制御部54aは次のステップに進む。次に、制御部54aは、報告情報に含まれるドメイン名とIPアドレスとの組み合わせを、ステップS401のDNSクエリを発信した端末10aまたは端末10bに通知する(ステップS407)。他方、ステップS406における判定の結果、報告情報はキャッシュポイズニングされたものであれば、制御部54aは次のステップに進む。
Next, the
次に、制御部54aは、報告情報の内容はキャッシュポイズニングされたものとして、緊急避難措置を実行する(ステップS408)。緊急避難措置の内容は、予め定められたものであれば、特に限定されない。緊急避難措置の一例としては、ステップS401のDNSクエリを発信した端末10aまたは端末10bに、特定ドメインはキャッシュポイズニングされていることを通知することがある。緊急避難措置の一例としては、ステップS401のDNSクエリを発信した端末10aまたは端末10bに、代替画面を提供する安全なIPアドレスや画面データを通知することがある。緊急避難措置の一例としては、ルータ部55aの制御によって、ステップS401のDNSクエリを発信した端末10aまたは端末10bとWAN側のネットワークとの接続を遮断することがある。制御部54aは、上記の緊急避難措置を複数組み合わせて実行してもよい。
Next, the
図5は、DNSキャッシュポイズニング判定サーバ100の処理の流れを示すフローチャートである。図5を参照しながらDNSキャッシュポイズニング判定サーバ100の処理の流れを説明する。キャッシュポイズニング情報データベース140は、ゲートウェイ装置50a〜50dから受信した報告情報(図4のステップS404参照)を基に、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを予め記録している。解決情報データベース150は、ゲートウェイ装置50a〜50dから受信した報告情報を基に、過去に正しく回答されたドメイン名とIPアドレスとの組み合わせを予め記録している。
FIG. 5 is a flowchart showing a flow of processing of the DNS cache
まず、通信部120は、例えばゲートウェイ装置50aから報告情報を受信する(ステップS501)。次に、判定部130は、受信した報告情報をキャッシュポイズニング情報データベース140の記録内容と比較する(ステップS502)。図6は、キャッシュポイズニング情報データベース140の記録内容の具体例を示す図である。図6の例では、ドメイン名「aaa.aaa.aa」とIPアドレス「11.99.100.11」との組み合わせが、過去に誤って回答された組み合わせ情報(キャッシュポイズニング情報)として記録されている。同様に、ドメイン名「bbb.bbb.bb」とIPアドレス「29.230.55.111」との組み合わせも、過去に誤って回答された組み合わせ情報の例である。
First, the
図5に戻って、判定部130は、報告情報とキャッシュポイズニング情報データベース140の記録内容との間に一致するドメイン名があれば(ステップS503−Yes)、ステップS512の処理に進む。本ステップでは、制御部110は、受信した報告情報はキャッシュポイズニングされた情報(偽称された情報)であるものとして、報告情報を送信したゲートウェイ装置50aにNG通知を送信する(ステップS512)。他方、報告情報とキャッシュポイズニング情報データベース140の記録内容との間に一致するドメイン名がなければ(ステップS503−No)、制御部110は、次のステップに進む。
Returning to FIG. 5, if there is a matching domain name between the report information and the recorded contents of the cache poisoning information database 140 (step S503—Yes), the
次に、判定部130は、報告情報を解決情報データベース150の記録内容と比較する(ステップS504)。図7は、解決情報データベース150の記録内容の具体例を示す図である。図7の例では、ドメイン名「ccc.ccc.cc」とIPアドレス「101.99.100.11」及び「101.99.100.12」及び「101.99.100.13」との組み合わせが過去に正しく回答された組み合わせ情報(解決情報)として記録されている。同様に、ドメイン名「ddd.ddd.dd」とIPアドレス「256.178.34.2」との組み合わせ、ドメイン名「eee.eee.ee」とIPアドレス「134.178.34.2」との組み合わせ、ドメイン名「fff.fff.ff」とIPアドレス「123.56.10.11」との組み合わせも、過去に正しく回答された組み合わせ情報の例である。
Next, the
図5に戻って、判定部130は、報告情報と解決情報データベース150の記録内容との間に一致するドメイン名があれば(ステップS505−Yes)、次のステップに進む。他方、判定部130は、報告情報と解決情報データベース150の記録内容との間に一致するドメイン名がなければ(ステップS505−No)、ステップS508の処理に進む。判定部130は、ステップS505において一致したドメイン名について、報告情報のIPアドレスと解決情報データベース150に記録されたIPアドレスとが一致すれば(ステップS506−Yes)、次のステップに進む。他方、判定部130は、ステップS505において一致したドメイン名について、報告情報のIPアドレスと解決情報データベース150に記録されたIPアドレスとが一致しなければ(ステップS506−No)、ステップS508の処理に進む。
次に、制御部110は、報告情報を送信したゲートウェイ装置50aにOK通知を送信する(ステップS507)。
Returning to FIG. 5, if there is a matching domain name between the report information and the recorded content of the resolution information database 150 (step S505-Yes), the
Next, the
他方、問合部160は、報告情報のドメイン名に対する正しいIPアドレスを、そのドメイン名に対応する権威DNSサーバ300に問い合わせる(ステップS508)。次に、制御部110は、報告情報のIPアドレスと権威DNSサーバ300から回答されたIPアドレスとが一致するか否かを判定する(ステップS509)。報告情報のIPアドレスと権威DNSサーバ300から回答されたIPアドレスとが一致すると判定されれば(ステップS509−Yes)、制御部110は、次のステップに進む。他方、報告情報のIPアドレスと権威DNSサーバ300から回答されたIPアドレスとが一致しないと判定されれば(ステップS509−No)、制御部110は、ステップS511の処理に進む。
On the other hand, the
次に、記録部170は、解決情報データベース150を更新する(ステップS510)。具体的には、記録部170は、報告情報に含まれるドメイン名とIPアドレスとの組み合わせを解決情報データベース150の記録内容に加える。次に、制御部110は、報告情報を送信したゲートウェイ装置50aにOK通知を送信する(ステップS507)。
Next, the
他方、記録部170は、キャッシュポイズニング情報データベース140を更新する(ステップS511)。具体的には、記録部170は、報告情報に含まれるドメイン名とIPアドレスとの組み合わせをキャッシュポイズニング情報データベース140の記録内容に加える。次に、制御部110は、報告情報を送信したゲートウェイ装置50aにNG通知を送信する(ステップS512)。
On the other hand, the
このような構成によれば、不特定多数のDNSキャッシュサーバ200a〜200dから受信するIPアドレス情報に関してDNSキャッシュポイズニングを検出することができる。また、DNSキャッシュポイズニングの検出に応じた適切なセキュリティ制御を実現することも可能となる。セキュリティ制御の例としては、端末10a〜10hに対するDNSキャッシュポイズニングの検出通知や、端末10a〜10hの通信遮断がある。
According to such a configuration, DNS cache poisoning can be detected for IP address information received from an unspecified number of
さらに、DNSキャッシュポイズニング判定サーバ100に報告情報を送信するゲートウェイ装置の数を増やせば、キャッシュポイズニング情報データベース140と解決情報データベース150との情報量は増し、その信頼性は高くなる。例えば、数百万の世帯に各1台のゲートウェイ装置を設置すれば、数百万台のゲートウェイ装置から報告情報を得ることができる。これにより、数あるDNSキャッシュサーバの中の一部のDNSキャッシュサーバにて一時的に発生するキャシュポイズニングであっても検出することが可能となる。また、DNSキャッシュポイズニング判定サーバ100は、多数のゲートウェイ装置から実際に送信された報告情報を集積し、集積された報告情報に含まれるドメイン名に関するアクセス情報を得ることができる。例えば、DNSキャッシュポイズニング判定サーバ100は、アクセス頻度の高いドメイン名を特定することが可能となる。
Furthermore, if the number of gateway devices that transmit report information to the DNS cache
上記の説明においては、ゲートウェイ装置50a〜50dは、DNSプロキシの機能を備え、端末10a〜10hから受信したDNSクエリを各DNSキャッシュサーバ200a〜200dに転送するものとした。しかし、ゲートウェイ装置50a〜50dとDNSキャッシュサーバ200a〜200dとを一体的な構成としてもよい。つまり、ゲートウェイ装置50a〜50dの機能を兼ね備えたDNSキャッシュサーバに端末10a〜10hを接続してDNSクエリを処理してもよい。
In the above description, the
また、上記の説明においては、DNSキャッシュポイズニング判定サーバ100は、制御部110と、通信部120と、判定部130と、キャッシュポイズニング情報データベース140と、解決情報データベース150と、問合部160と、記録部170とを含むものとして説明した。しかし、上記の構成の一部、例えばキャッシュポイズニング情報データベース140及び解決情報データベース150は、DNSキャッシュポイズニング判定サーバ100とは異なるサーバに備えられてもよい。
In the above description, the DNS cache
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計も含まれる。なお、当然ながら、上述した実施の形態および複数の変形例は、その内容が相反しない範囲で組み合わせることができる。また、上述した実施の形態および変形例では、各部の構造などを具体的に説明したが、その構造などは本願発明を満足する範囲で各種に変更することができる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes a design that does not depart from the gist of the present invention. Needless to say, the above-described embodiment and a plurality of modifications can be combined within a range in which the contents do not conflict with each other. Further, in the above-described embodiments and modifications, the structure of each part has been specifically described, but the structure and the like can be changed in various ways within a range that satisfies the present invention.
10a〜10h…端末, 50a〜50d…ゲートウェイ装置, 100…DNSキャッシュポイズニング判定サーバ, 110…制御部, 120…通信部, 130…判定部, 140…キャッシュポイズニング情報データベース, 150…解決情報データベース, 160…問合部, 170…記録部, 200a〜200d…DNSキャッシュサーバ, 300…権威DNSサーバ 10a to 10h ... terminal, 50a-50d ... gateway device, 100 ... DNS cache poisoning determination server, 110 ... control unit, 120 ... communication unit, 130 ... determination unit, 140 ... cache poisoning information database, 150 ... solution information database, 160 ... Inquiry part, 170 ... Recording part, 200a-200d ... DNS cache server, 300 ... Authority DNS server
Claims (5)
過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、
前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部とを備えるDNSキャッシュポイズニング判定装置。 A communication unit that receives information indicating a combination of a domain name and an IP address included in a response from a DNS cache server that has received an inquiry about an IP address for a domain name;
A cache poisoning information database that records combinations of domain names and IP addresses that were erroneously answered in the past;
A DNS cache poisoning determination apparatus comprising: a determination unit that compares the domain name of the information with the recorded contents of the cache poisoning information database and determines that the information is cache poisoned if they match.
前記判定部は、前記情報に含まれるドメイン名及びIPアドレスの組み合わせと前記解決情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていないと判定することを特徴とする請求項1に記載のDNSキャッシュポイズニング判定装置。 A resolution information database that records combinations of domain names and IP addresses that have been correctly answered in the past;
The determination unit compares a combination of a domain name and an IP address included in the information with the recorded contents of the resolution information database, and determines that the information is not cache poisoned when the two match. The DNS cache poisoning determination apparatus according to claim 1.
前記情報のドメイン名と、過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定段階とを備えるDNSキャッシュポイズニング判定方法。 A receiving step of receiving information indicating a combination of a domain name and an IP address included in a DNS cache server response that has received an inquiry about an IP address for the domain name;
The domain name of the information is compared with the contents recorded in the cache poisoning information database in which a combination of a domain name and an IP address that have been erroneously answered in the past is compared. If the two match, the information is cache poisoning. And a DNS cache poisoning determination method.
ドメイン名に対するIPアドレスの問い合わせを受けたDNSキャッシュサーバからの回答に含まれるドメイン名とIPアドレスとの組み合わせを示す情報を受信する通信部と、
過去に誤って回答されたドメイン名とIPアドレスとの組み合わせを記録したキャッシュポイズニング情報データベースと、
前記情報のドメイン名と前記キャッシュポイズニング情報データベースの記録内容とを比較し、両者が一致する場合には、前記情報はキャッシュポイズニングされていると判定する判定部として機能させることを特徴とするDNSキャッシュポイズニング判定プログラム。 Computer
A communication unit that receives information indicating a combination of a domain name and an IP address included in a response from a DNS cache server that has received an inquiry about an IP address for a domain name;
A cache poisoning information database that records combinations of domain names and IP addresses that were erroneously answered in the past;
A DNS cache characterized in that the domain name of the information is compared with the recorded contents of the cache poisoning information database, and if the two match, the information is made to function as a determination unit that determines that the information is cache poisoned. Poisoning judgment program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013105568A JP5986955B2 (en) | 2013-05-17 | 2013-05-17 | DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013105568A JP5986955B2 (en) | 2013-05-17 | 2013-05-17 | DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014229937A JP2014229937A (en) | 2014-12-08 |
JP5986955B2 true JP5986955B2 (en) | 2016-09-06 |
Family
ID=52129456
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013105568A Active JP5986955B2 (en) | 2013-05-17 | 2013-05-17 | DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5986955B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108667799B (en) * | 2018-03-28 | 2021-01-15 | 中国科学院信息工程研究所 | Defense method and system for browser cache poisoning |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4213689B2 (en) * | 2005-07-08 | 2009-01-21 | 株式会社クローバー・ネットワーク・コム | Farming fraud prevention system, network terminal device and program |
US8321551B2 (en) * | 2010-02-02 | 2012-11-27 | Symantec Corporation | Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions |
JP5568344B2 (en) * | 2010-03-18 | 2014-08-06 | 株式会社ラック | Attack detection apparatus, attack detection method, and program |
-
2013
- 2013-05-17 JP JP2013105568A patent/JP5986955B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014229937A (en) | 2014-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9923961B2 (en) | Integrity check of DNS server setting | |
US20150350229A1 (en) | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data | |
US7912048B2 (en) | Apparatus and method for detecting network address translation device | |
US10581880B2 (en) | System and method for generating rules for attack detection feedback system | |
CN101527721B (en) | Anti-virus method on the basis of household gateway and device thereof | |
CN101321055A (en) | Attack protection method and device | |
CN105939337A (en) | DNS cache poisoning protection method and device | |
CN104168339A (en) | Method and device for preventing domain name from being intercepted | |
US10326794B2 (en) | Anycast-based spoofed traffic detection and mitigation | |
CN110572406B (en) | Method, system and related device for determining lost host | |
JP2013247674A (en) | Method, system, and computer program for identifying rogue domain name service (dns) server (system for detecting presence of rogue domain name service providers through passive monitoring) | |
CN102118398B (en) | Access control method, device and system | |
US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
US20170180401A1 (en) | Protection Against Malicious Attacks | |
JP5986955B2 (en) | DNS cache poisoning determination device, DNS cache poisoning determination method, and DNS cache poisoning determination program | |
US9497083B1 (en) | Discovering network nodes | |
US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
US8239930B2 (en) | Method for controlling access to a network in a communication system | |
US10015179B2 (en) | Interrogating malware | |
JP6303661B2 (en) | Malware detection system, malware detection method, DNS server, and name resolution program. | |
CN114024752A (en) | Network security defense method, equipment and system based on whole network linkage | |
WO2009110327A1 (en) | Network monitor system, network monitor method, and network monitor program | |
JP2005210451A (en) | Unauthorized access preventing apparatus and program | |
JP6382244B2 (en) | Packet filtering device | |
Caiazza et al. | TCP‐based traceroute: An evaluation of different probing methods |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150629 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160629 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160712 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160808 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5986955 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |