DNS: Domain Name

Size: px

Start display at page:

Download "DNS: Domain Name"

しなつにばし
5 years ago
Views:

1 2012 DNS B140-4

2 DNS: Domain Name System (TTL: Time To Live) DNS DNS DNS IP Anycast BlackList RBL.JP SORBS The Spamhaus Project SpamCop

3 IP

4 2.1 DNS DNS DNS DNS DNS DNS DNS TTL 300 DNS DNS

5 5.1 DNS DNS

6 1 1.1 OS (Botnet) [1] ,901 [2] IDS ( ) 5

7 DNS: Domain Name System DNS: Domain Name System 3 BlackList BlackList

8 2 DNS: Domain Name System 2.1 DNS (Domain Name System) IP IP IP (-) DNS

9 2 DNS: Domain Name System 2.1: DNS 2.2 IP DNS (delegation)

10 2 DNS: Domain Name System 2.4 DNS DNS DNS 2 DNS DNS DNS DNS DNS 2.5 IP IP 2.6 9

11 第2章 DNS: Domain Name System 反復問い合わせを受けたネームサーバは自らが持つ情報の範囲で名前解決に適したネームサーバを次の参照先として返す図 2.2 に再帰問い合わせを図解する図 2.2: DNS の再帰問い合わせ 2.7 キャッシュネームサーバは再帰的な問い合わせに対する回答を得るまでに多数の問い合わせを他のネームサーバに送るこの過程で入手した情報を後に関連した問い合わせ受ける場合に備えてデータとしてキャッシュする DNS のキャッシュは名前解決を高速化しネームサーバへの問い合わせの回数を減らすことで負荷を抑える機能を持つ 2.8 生存時間 (TTL: Time To Live) DNS キャッシュには生存時間が設定されているこれはゾーンの管理者がゾーンのデータに対して設定するものである生存時間を超えると該当する DNS キャッシュのデータを保持しているネームサーバは DNS キャッシュを破棄する古いデータを破棄することによってデータベースの整合性を維持しているキャッシュの生存時間をどのくらいの長さにするかは問い合わせの処理効率とデータの一貫性とのバランスによる生存時間を短くするとキャッシュがすぐに無効になり最新のデータを頻繁に問い合わせることになるネットワーク上に分散したデータの一貫性が高くなる一方で上位のネームサーバに対する負荷が上昇するま 10

12 2 DNS: Domain Name System DNS DNS [4] DNS DNSSEC (DNS Security Extentsins Securing the Domain Name System) [5] [6] DNSSEC DNS [7] 2.9 DNS DNS DNS (DNS round Robin) IP IP BIND[8] DNS DNS TTL 2.8 DNS 2.3 DNS 89;:<9!$# : (= >$= "!$#&%(' ( ) *# +, -$.0/1, - 20/, - 3"/, -04, -., - 2, - 3, -04?! )7@ : 1= >"1= 5 0"!#&%(' 1 ) *# +6, -(. /, - 2"/1, -"3 /, -74 ACB B 2.3: DNS 11

13 2 DNS: Domain Name System DNS IP Anycast IP (Unicast) IP IP Anycast ( ) IP Anycast IP (Node) IP IP Anycast IP anycast IP Anycast DNS DDoS (Distributed Denial of Service attack) 12

14 3 BlackList BlackList ( ) IP BlackList Blacklist BlackList [9] 3.1 RBL.JP RBL Real-time Blackhole List RBL [10] 3.2 SORBS SORBS Spam and Open Relay Blocking System S ORBS ,000,000 [11] 13

15 3 BlackList 3.3 The Spamhaus Project Spamhaus 1998 IP BlackList Spamhaus DNS BlackList Domain Black List DBL DBL The Domain Block List (DBL) 3.4 SpamCop SpamCop [13] 14

16 4 DNS 4.1 DNS IDS (Intrusion Detection System) IP URL IP URL IP URL DNS DNS DNS 4.2 DNS [14] 10 Fast-Flux[15] 15

17 4 10 TTL 300 TTL TTL 300 [16] 16

18 第5章実証実験本章では提案手法の実証実験を行う 5.1 評価に用いるデータ本研究で用いたデータは早稲田大学の対外接続回線において早稲田大学内に入る方向の DNS のデータを tcpdump を用いてポート番号を 53 番に指定してパケットとして収集したものである 2012 年 6 月 3 日の 00:00: 年 6 月 5 日 00:00:16 の三日間に観測された 91,527,142 個のパケットを利用するデータの解析には著者が作成したシェルスクリプトと本研究のために用意した正規表現を用いる図 5.1: ネットワークの構成図 17

19 第5章実証実験実験特徴パケットの抽出最初に収集したデータから DNS クエリを抽出する DNS クエリと DNS パケットの統計を表 5.1 図 5.2 に示す表 5.1: DNS クエリと DNS パケットの統計 DNS クエリ DNS パケット全体 32,551,179 割合 91,527, % 図 5.2: DNS クエリと DNS パケットの統計 DNS クエリは DNS パケットに占める割合が 35.6% である次に抽出した DNS クエリと前述の三つの特徴パターンをそれぞれ照合して一致したドメインを抽出する英数字が混在するドメイン 10 文字以上で構成されるドメイン TTL 値が 300 以下のドメイン結果として抽出したドメインと DNS クエリの統計を図 5.3 図 5.4 図 5.5 に示す 18

20 第5章図 5.3: 英数字が混在するドメインと DNS クエリの統計英数字が混在するドメインは DNS クエリの約 79.7% を占めている図 5.4: 10 文字以上で構成されるドメインと DNS クエリの統計 10 文字以上で構成されるドメインは DNS クエリの約 13.9% を占めている 19 実証実験

21 第5章実証実験図 5.5: TTL 値が 300 以下のドメインと DNS クエリの統計 TTL 値が 300 以下のドメインは DNS クエリの約 3.3% を占めている全体的に英数字が混在するドメインが多いことが分かるまた 10 文字以上で構成されるドメインと TTL 値が 300 以下のドメインが DNS クエリに占める割合が低いことも分かる最終的に DNS クエリに三つの特徴パターンを全部用いて適合したドメインを抽出する抽出したドメインと DNS クエリの統計を図 5.6 に示す図 5.6: 総合して抽出したドメインと DNS クエリの統計総合して抽出したドメインは DNS クエリの約 1.9% を占めている総合して抽出したドメ 20

22 5 DNS : 21,288, ,144,394 TTL , , DNS BlackList (Precision) Spamhaus DBL BlackList BlackList BlackList Alexa Top Global Sites[17] (P recision) = (DBL) (DBL) + (Alexa) (5.1) 21

23 5 5.3: 20.4% % TTL % 93.9% DNS 22

24 6 6.1 DNS BlackList

25 IP DNS IP IP IP 24

26 25

27 [1] Itpro, September [2] Phishing Activity Trends Report 1st Half 2011, July trends report h pdf [3] M. A. Rajab, L. Ballard, N. Jagpal, P. Mavrommatis, D. No- jiri, N. Provos, and L. Schmidt, Trends in circumventing web-malware detection, Google, Google Technical Report, Jul [4] Joe Stewart, GCIH, DNS Cache Poisoning The Next Generation, January DNScp.htm [5] DNSSEC: DNS Security Extensions Securing the Domain Name System, [6] Status map of DNSSEC deployment in cctld and gtld, [7] INTERNET Watch, DNSSEC, html [8] Cricket Liu, Paul Albitz,, DNS & BIND 5,, December [9] Intra2net, Blacklist Monitor, [10] RBL.JP, 26

28 [11] SORBS, [12] The Spamhaus Project, [13] SpamCop, [14], 99%, November [15] Fast-Flux, July [16] Ricardo Villamarin-Salomon and Jose Carlos Brustoloni, Identifying Botnets Using Anomaly Detection Techniques Applied to DNS Traffic, IEEE CCNC 2008, pp [17] Alexa Top Sites, [18] Malware domain list, [19] Microsoft Technet Library: DNS, [20] Philip Miller, TCP/IP, [21] W.Richard Stevens,, TCP/IP Vol.1,, [22], DNS OS, 2011, February [23], TTL DNS TTL, JANOG 19, Minda.pdf [24] J. Ma, L. K. Saul, S. Savage, and G. M. Voelker, Be- yond blacklists: learning to detect malicious web sites from suspicious urls, in Proceedings of the 15th ACM SIGKDD international conference on Knowledge discovery and data mining, ser, KDD 09. New York, NY, USA: ACM, 2009, pp

29 [25] M. Akiyama, T. Yagi, and M. Itoh, Searching structural neighborhood of malicious urls to improve blacklisting, in Applications and the Internet (SAINT), 2011 IEEE/IPSJ 11th International Symposium on, Jul. 2011, pp

悪性Webサイト探索のための効率的な巡回順序の決定法

悪性Webサイト探索のための効率的な巡回順序の決定法 2012 年度修士論文審査悪性 Web サイト探索のための効率的な巡回順序の決定法千葉大紀学籍番号 : 5111B073-1 指導 : 後藤滋樹教授 Feb. 8, 2013 Daiki Chiba, Goto Lab. 1 種類別査読付国際会議国内学会発表国内学会発表国内学会発表本論文に関わる研究業績 (2013 年 2 月現在 ) 題名発表発行掲載誌名発表発行年月連名者