DNSシンクホールの効果検証のための学内クライアントの名前解決状況の分析

抄録

ボットは攻撃者が用意したC&Cサーバに定期的に接続し，攻撃者からの命令を受信した後に，DDoS攻撃やspam大量送信などの不正な活動をする．そのため，ボットのC&Cサーバへの接続を阻止することでボットの活動を停止できる．C&Cサーバへの接続防止の手法のひとつに，DNSシンクホールがある．この手法では，DNSキャッシュサーバはブラックリストを保持し，マルウェアに感染したクライアントからC&CサーバのFQDNの問合せを受けた場合，偽の回答を返すことでC&Cサーバへの接続を阻止できる．本研究では学内のDNSキャッシュサーバがブラックリスト内のC&CサーバのFQDNの問合せを受けているかを調査し，DNSシンクホールによるC&Cサーバへの接続阻止の効果を検証する．