講演抄録/キーワード |
講演名 |
2016-03-04 13:30
DNSアンプ攻撃対策としての仮想ファイアウォール方式の評価 ○玄 英哲・遠藤翔太(東海大)・首藤裕一(NTT)・村山純一(東海大) IN2015-140 |
抄録 |
(和) |
インターネット上でサービスの提供を妨害するDNSアンプ攻撃が活発化している.このような攻撃トラヒックの影響を削減するためには,プロバイダネットワークの境界ルータにファイアウォール機能を併設することが有効である.ファイアウォールは,正常なDNS通信サポートのため,他プロバイダへDNS要求パケットを送出した際は,該当するDNS応答パケットの流入を許可する.この際,要求パケットと応答パケットの転送で,対向のプロバイダが異なる場合がある.このため,複数のファイアウォールを,仮想的に1つのように動作させる必要がある.この仮想ファイアウォールの実現に向けて,いくつかの方式が考えられるが,それらの適用領域は必ずしも明確ではない.そこで,本研究では,仮想ファイアウォール方式の比較評価を行った.評価結果は次の通りである.(1)フィルタ機能の配置に関して,分散配置の方が攻撃耐性に優れるが,集中配置の方が実装コスト削減に優れる.(2)分散配置の実現に必要な制御メッセージの交換方式に関して,クライアントサーバ交換方式の方が制御スケーラビリティに優れるが,ピア交換方式の方が故障信頼性に優れる. |
(英) |
Recently, DDoS attacks that disturb service offering in the Internet have occurred frequently. In order to mitigate such attack traffic between provider networks, deploying firewall functions is effective. They are attached to the border routers of a provider network. This firewall is required to support legitimate DNS accesses. Then, when it forwards a DNS request packet toward an outer provider, it allows incoming of the corresponded DNS reply packet. In such an access between providers, the ingress provider may be different from the egress provider. Consequently, distributed firewalls need to be acted virtually as a single firewall. Toward achieving such a firewall, some schemes have been proposed. However, their typical advantages are not clear. Thus we evaluated and compared virtual firewall schemes. The results are as follows. (1) Regarding allocation of filtering functions, a distributed scheme is tough against heavy attacks, while a centralized scheme is economical for implementation. (2) Concerning exchanging control messages for achieving the distribution, a client/server scheme is scalable for increasing filtering functions, while a peer scheme is reliable against fault. |
キーワード |
(和) |
DNSアンプ攻撃 / リフレクタ / ファイアウォール / 動的フィルタ / 制御メッセージ / / / |
(英) |
DNS amplification attack / reflector / firewall / dynamic filtering / control message / / / |
文献情報 |
信学技報, vol. 115, no. 484, IN2015-140, pp. 189-192, 2016年3月. |
資料番号 |
IN2015-140 |
発行日 |
2016-02-25 (IN) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2015-140 |