DNS水責め攻撃に対抗するFQDNベースホワイトリストフィルタに関する研究

• Project/Area Number: 21K17741
• Research Category: Grant-in-Aid for Early-Career Scientists
• Allocation Type: Multi-year Fund
• Review Section: Basic Section 60070:Information security-related
• Research Institution: Osaka Metropolitan University (2022-2023); Osaka Prefecture University (2021)
• Principal Investigator: 近藤 大嗣 大阪公立大学, 大学院情報学研究科, 助教 (10844160)
• Project Period (FY): 2021-04-01 – 2025-03-31
• Project Status: Granted (Fiscal Year 2023)
• Budget Amount: ¥4,160,000 (Direct Cost: ¥3,200,000、Indirect Cost: ¥960,000); Fiscal Year 2023: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000); Fiscal Year 2022: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000); Fiscal Year 2021: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000)
• Keywords: ネットワークセキュリティ / DNS水責め攻撃 / DDoS攻撃

Outline of Research at the Start

DNS水責め攻撃は、攻撃者があるドメインにランダムなラベルを付加したユニークなFQDNを大量に作成し、攻撃目標であるDNSキャッシュサーバや権威DNSサーバに対して当該FQDNを用いて作成された攻撃DNSクエリを送信しダウンさせ、通常DNSクライアントのドメイン名解決を阻害する。既存対抗手段は高度なDNS水責め攻撃を検知できない可能性があるため、本研究ではその課題を解決し効果的にDNS水責め攻撃に対抗する防御手法を実現することを目指す。具体的には、FQDNのアクセスログの特性に注目し、その特性に基づいたホワイトリストフィルタをDNSキャッシュサーバ上で発動させる手法を防御手法として提案する。

Outline of Annual Research Achievements

Distributed Denial of Service (DDoS)攻撃は大きな社会問題であり、実際の攻撃事例の1つとして、2016年に多数の著名なサイトが利用していたDomain Name System (DNS)事業者であるDyn DNSがDNS水責め攻撃を受け、大多数の人がサイトへアクセスできなくなった。DNS水責め攻撃は、攻撃者があるドメインにランダムなラベルを付加したユニークなFully Qualified Domain Name (FQDN)を大量に作成し、DNSキャッシュサーバ経由で攻撃目標である権威DNSサーバに対して当該FQDNを用いて作成された攻撃DNSクエリを送信しダウンさせる。この攻撃の影響を最小限に抑制するために、DNSキャッシュサーバ上での防御手法について検討されているが、既存対抗手段は高度なDNS水責め攻撃によって作成された攻撃DNSクエリを検知できない可能性があり、依然としてDNS水責め攻撃の脅威は残る。そこで本研究では、上記の既存対抗手段の課題を解決し、効果的にDNS水責め攻撃に対抗する防御手法を実現することを目指す。
当該年度では、以前から投稿していた国際ジャーナルが採択された。また、ブロックチェーンを用いたDNSは、その性質上既存のDNSよりもDDoS攻撃への耐性がある等が予想されるため、ブロックチェーンを利用したDNSの1つであるHandshakeについて調査を行った。その結果、Handshakeにおいてはトップレベルドメインの権威DNSサーバ管理者が集中しており、DNSのシステムとして冗長性に問題があることがわかり、また既存のDNSにおいて問題であるドメインスクワッティングの危険性が、Handshakeでも十分にあることを明らかにした。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

当該年度では、以前から投稿していた国際ジャーナルが採択された。また、ブロックチェーンを利用したDNSに関する研究を、ブロックチェーンデータの分析によって遂行し、その研究成果を国内研究会で発表した。

Strategy for Future Research Activity

研究調査範囲を拡大したことによって得られた成果を、国際会議で発表することを目指す。

Research Products

• [Journal Article] Collaborative Defense Framework Using FQDN-Based Allowlist Filter Against DNS Water Torture Attack (2023)
  • Author(s): Hasegawa Keita、Kondo Daishi、Osumi Masato、Tode Hideki
  • Journal Title: IEEE Transactions on Network and Service Management Volume: 20 Issue: 4 Pages: 3968-3983
  • DOI: 10.1109/tnsm.2023.3277880
  • Peer Reviewed
• [Presentation] ブロックチェーンを用いたDNSとしてのHandshakeの包括的な調査 (2024)
  • Author(s): 磯部克貴、近藤大嗣、戸出英樹
  • Organizer: 電子情報通信学会ネットワークシステム研究会
• [Presentation] A first look at the name resolution latency on handshake (2022)
  • Author(s): Katsuki Isobe; Daishi Kondo; Hideki Tode
  • Organizer: ACM Internet Measurement Conference
  • Int'l Joint Research
• [Presentation] DNSルートサーバの代替としてのHandshakeの名前解決におけるレイテンシ測定 (2022)
  • Author(s): 磯部克貴, 近藤大嗣, 戸出英樹
  • Organizer: 電子情報通信学会総合大会
• [Presentation] Kubernetesクラスタ内のDNSサービスディスカバリーに要する遅延の測定 (2022)
  • Author(s): 大隈雅斗, 近藤大嗣, 戸出英樹
  • Organizer: 電子情報通信学会総合大会
• [Presentation] FQDN-Based Whitelist Filter on a DNS Cache Server Against the DNS Water Torture Attack (2021)
  • Author(s): Keita Hasegawa; Daishi Kondo; Hideki Tode
  • Organizer: 2021 IFIP/IEEE International Symposium on Integrated Network Management (IM)
  • Int'l Joint Research