Conference Paper 挙動に基づくDNSアンプ攻撃の検知

蔡, 龍洙  ,  馮, 尭鍇  ,  川本, 淳平  ,  櫻井, 幸一

近年,DNS サーバを利用した DNS アンプ攻撃が増加している.DNS アンプ攻撃は,DNS サーバへの問い合わせ及びキャッシュ機能を利用してデータの量を増幅させる.そのデータを攻撃対象とするサーバへ送信することで,回線をパンクさせる.コントロールされた多数のコンピュータから一斉に大量のデータを送りつけて対象を麻痺させる DDOS 攻撃の一種である.小さな DNS 要求パケットを送るだけで,その何十倍に達する大量の応答が生成され,被害者側のネットワークが混雑させられ,通常サービスがダウンしてしまう可能性もある.DNS アンプ攻撃を検出するには既にさまざまな方法が提案されたが,パラメーターのチューニングが必要であり,そのパラメーターは簡単に決められない場合が多い.本研究では DNS アンプ攻撃を挙動に基づいて検知する方法を提案し,その提案を実験で検証する.
DNS amplification attack has become a popular form of the attacks of the Distributed Denial of Service (DDoS) in recent years. In DNS amplification attacks, the attackers utilize spoofed source IP addresses and open recursive DNS servers to perform the bandwidth consumption attacks. A large amount of responses are generated and they are sent to the targets after the attackers send only a little of DNS requests. Various methods have been proposed for detecting the DNS amplification attacks. However, almost of them have to determine parameters in advance, which is not easy for many cases. In this study, we propose a behavior-based method for detecting DNS amplification attacks and its performance is verified by experiments.

Number of accesses :  

Other information