DNS水責め攻撃に対抗するFQDNベースホワイトリストフィルタに関する研究

基于FQDN白名单过滤器对抗DNS水刑攻击的研究

• 批准号: 21K17741
• 负责人: 近藤 大嗣
• 金额: $ 2.66万
• 依托单位: Osaka Metropolitan University (2022)Osaka Prefecture University (2021)
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Early-Career Scientists
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-04-01 至 2024-03-31
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/en/grant/KAKENHI-PROJECT-21K17741/
• 关键词: ネットワークセキュリティ; DNS水責め攻撃; DDoS攻撃

Distributed Denial of Service (DDoS)攻撃は大きな社会問題であり、実際の攻撃事例の1つとして、2016年に多数の著名なサイトが利用していたDomain Name System (DNS)事業者であるDyn DNSがDNS水責め攻撃を受け、大多数の人がサイトへアクセスできなくなった。DNS水責め攻撃は、攻撃者があるドメインにランダムなラベルを付加したユニークなFully Qualified Domain Name (FQDN)を大量に作成し、DNSキャッシュサーバ経由で攻撃目標である権威DNSサーバに対して当該FQDNを用いて作成された攻撃DNSクエリを送信しダウンさせる。この攻撃の影響を最小限に抑制するために、DNSキャッシュサーバ上での防御手法について検討されているが、既存対抗手段は高度なDNS水責め攻撃によって作成された攻撃DNSクエリを検知できない可能性があり、依然としてDNS水責め攻撃の脅威は残る。そこで本研究では、上記の既存対抗手段の課題を解決し、効果的にDNS水責め攻撃に対抗する防御手法を実現することを目指す。当該年度では、投稿していた国際ジャーナルの査読者からのコメントを反映して、原稿修正を行ない、再投稿をした。また、ルートDNSに対するDDoS攻撃を防ぐ手段としてブロックチェーンを利用したDNSに関する研究を行なった。現段階では、ブロックチェーンを利用したDNSでは名前解決に利用されるピアの分散度と数が小さいため、名前解決遅延が既存のルートDNSに比べて大きく、実用面での問題があることを明らかにした。

Distributed Denial of Service (DDoS) attacks are a major social problem, and there are actual examples of attacks. In 2016, most of the well-known DNS users used the Domain Name System (DNS). DNS server is responsible for attacks, attackers create a large number of attacks, DNS servers create attack DNS servers for attack purposes, attack DNS servers create attack DNS servers when attackers create attack DNS servers, attack DNS servers send messages when attackers create attack DNS servers. This attack has a minimum impact on the DNS server, and the DNS server has a high level of defense. The attack has a high probability of attack, and the DNS server has a high level of defense. This study is aimed at solving the problem of existing countermeasures and achieving effective countermeasures against DNS attacks. When the year is over, the author of the article will submit it to the international community. DDoS attack prevention measures against DNS At the present stage, the DNS is used to solve the problem before the name is used. The number of dispersion degrees is small. The DNS is used to solve the problem before the name is used. The DNS is used to solve the problem before the name is used.

项目成果

DNSルートサーバの代替としてのHandshakeの名前解決におけるレイテンシ測定

握手名称解析中的延迟测量作为 DNS 根服务器的替代方案

• 发表时间: 2022
• 作者: 磯部克貴;近藤大嗣;戸出英樹
• 通讯作者: 戸出英樹

A first look at the name resolution latency on handshake

初步了解握手时的名称解析延迟

• 发表时间: 2022
• 作者: Junjun Zheng;Hiroyuki Okamura;and Tadashi Dohi;Katsuki Isobe; Daishi Kondo; Hideki Tode
• 通讯作者: Katsuki Isobe; Daishi Kondo; Hideki Tode