| 研究概要 |
ネットワークを安定運用するためには、ネットワーク異常の早期発見が必要となる。これまでにもネットワークの異常検知に関しては様々な研究が行われてきている。本研究ではボット・ワームが利用するDNSを考慮した、DNSトラヒックの解析を行う事で、ネットワークの異常を検出することを目標とする。
1.パケットモニタモジュールの構築(中村)
パケットモニタモジュールでは、DNSトラヒックのパケットを計測するために、Berkeley Packet Filter(BPF)を用いたパケットキャプチャライブラリを用いた。このライブラリを用いることによって、IP層でのパケットが得られる。また、多くのUNIXプラットフォームで動作させることが可能となった。
2.DNSプロトコル解析モジュールの構築(中村)
DNSプロトコル解析モジュールではDNSパケット内のフィールド毎の解析を行った。このモジュールではDNSヘッダの各フィールドからquery、reply等の情報を取得している。プロトコル解析モジュールでは、まずQRフィールドを確認し、DNSパケットがqueryかreplyであるかを確認する。Queryであるなら、Opcodeから問い合わせのタイプを確認する。また、再帰問い合わせかどうかの確認も行う。その後、QNAME,TYPE,CLASSフィールドから、queryの内容を取得する。Replyの場合、RCodeから応答のタイプを確認する。また、AAフィールドから権威付き応答であるかどうかも確認する。その後、NAME,TYPE,CLASS等のフィールドよりreplyの内容を取得している。
3.統計データ報告モジュールの構築(中村)
統計データ報告モジュールでは共有メモリから統計データを取得している。このモジュールにより、パケットモニタ機能と視覚化・解析機能を分離することが可能となった。
|
