文献

J-GLOBAL ID：201602243988584547   整理番号：16A0525469

DNSアンプ攻撃対策としての仮想Firewallにおけるフラグメントパケット処理方式

A Virtual Firewall Scheme that Filters DNS Fragment Packets caused by DNS Amplification Attacks

著者 (3件)： 玄英哲 (東海大 情報通信) ,  首藤裕一 (NTT セキュアプラットフォーム研) ,  村山純一 (東海大 情報通信)
資料名： 電子情報通信学会技術研究報告  (IEICE Technical Report (Institute of Electronics, Information and Communication Engineers))
巻： 116  号： 45(IN2016 1-17)  ページ： 85-88  発行年： 2016年05月12日 
JST資料番号： S0532B  ISSN： 0913-5685  資料種別： 会議録 (C)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 近年,DNSアンプ攻撃が活性化している。この攻撃は,標的サーバのサービス提供を妨害するもので,プロバイダの外部から行われることも多い。対策としては,プロバイダネットワークの境界ルータにDNSパケットを対象としたファイアウォール(Firewall)機能を併設する手法がある。複数のFirewall機能を連携させて仮想Firewallとして動作させることで,要求パケットと応答パケットの中継プロバイダが異なる場合でも,適切に動的フィルタリングが行える。しかし,DNSアンプ攻撃では,フラグメントIPパケットが多用され,これらが分散的にプロバイダ内に流入することがある。Firewallが,これらのパケットを適切に識別してフィルタすることは簡単ではない。この問題を解決するために,本研究では,仮想Firewallにおいて,あるFirewall機能がDNS応答パケットをレイヤ4フィルタリングにより廃棄した際に,全てのFirewall機能でレイヤ3フィルタリングを時限的にアクティベートし,後続のフラグメントIPパケットを分散的にフィルタする手法を提案する。(著者抄録)

シソーラス用語： *番地指定方式 ,  *増幅器 ,  攻撃行動 ,  *ファイアウォール ,  *フィルタリング ,  計算機システム ,  行為 ,  サービス ,  供給者 ,  サイバー攻撃
準シソーラス用語： *DNS【インターネット】 ,  *アンプ ,  サーバ【計算機】 ,  サービス提供 ,  プロバイダ【インターネット】 ,  攻撃【情報】 ,  妨害

分類 (2件)： 通信網  (ND07030A) ,  通信方式一般  (ND07010E)

タイトルに関連する用語 (6件)： DNS ,  アンプ ,  攻撃 ,  対策 ,  仮想 ,  処理方式