| 講演名 | 2016-03-04 DNSアンプ攻撃対策としての仮想ファイアウォール方式の評価 玄 英哲(東海大), 遠藤 翔太(東海大), 首藤 裕一(NTT), 村山 純一(東海大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | インターネット上でサービスの提供を妨害するDNSアンプ攻撃が活発化している.このような攻撃トラヒックの影響を削減するためには,プロバイダネットワークの境界ルータにファイアウォール機能を併設することが有効である.ファイアウォールは,正常なDNS通信サポートのため,他プロバイダへDNS要求パケットを送出した際は,該当するDNS応答パケットの流入を許可する.この際,要求パケットと応答パケットの転送で,対向のプロバイダが異なる場合がある.このため,複数のファイアウォールを,仮想的に1つのように動作させる必要がある.この仮想ファイアウォールの実現に向けて,いくつかの方式が考えられるが,それらの適用領域は必ずしも明確ではない.そこで,本研究では,仮想ファイアウォール方式の比較評価を行った.評価結果は次の通りである.(1)フィルタ機能の配置に関して,分散配置の方が攻撃耐性に優れるが,集中配置の方が実装コスト削減に優れる.(2)分散配置の実現に必要な制御メッセージの交換方式に関して,クライアントサーバ交換方式の方が制御スケーラビリティに優れるが,ピア交換方式の方が故障信頼性に優れる. |
| 抄録(英) | Recently, DDoS attacks that disturb service offering in the Internet have occurred frequently. In order to mitigate such attack traffic between provider networks, deploying firewall functions is effective. They are attached to the border routers of a provider network. This firewall is required to support legitimate DNS accesses. Then, when it forwards a DNS request packet toward an outer provider, it allows incoming of the corresponded DNS reply packet. In such an access between providers, the ingress provider may be different from the egress provider. Consequently, distributed firewalls need to be acted virtually as a single firewall. Toward achieving such a firewall, some schemes have been proposed. However, their typical advantages are not clear. Thus we evaluated and compared virtual firewall schemes. The results are as follows. (1) Regarding allocation of filtering functions, a distributed scheme is tough against heavy attacks, while a centralized scheme is economical for implementation. (2) Concerning exchanging control messages for achieving the distribution, a client/server scheme is scalable for increasing filtering functions, while a peer scheme is reliable against fault. |
| キーワード(和) | DNSアンプ攻撃 / リフレクタ / ファイアウォール / 動的フィルタ / 制御メッセージ |
| キーワード(英) | DNS amplification attack / reflector / firewall / dynamic filtering / control message |
| 資料番号 | IN2015-140 |
| 発行日 | 2016-02-25 (IN) |
| 研究会情報 | |
| 研究会 | NS / IN |
|---|---|
| 開催期間 | 2016/3/3(から2日開催) |
| 開催地(和) | フェニックス・シーガイア・リゾート(宮崎) |
| 開催地(英) | Phoenix Seagaia Resort |
| テーマ(和) | 一般 |
| テーマ(英) | General |
| 委員長氏名(和) | 平松 淳(NTT-AT) / 小林 秀承(NTT) |
| 委員長氏名(英) | Atsushi Hiramatsu(NTT-AT) / Hidetsugu Kobayashi(NTT) |
| 副委員長氏名(和) | 戸出 英樹(阪府大) / 山岡 克式(東工大) |
| 副委員長氏名(英) | Hideki Tode(Osaka Pref. Univ.) / Katsunori Yamaoka(Tokyo Inst. of Tech.) |
| 幹事氏名(和) | 橘 拓至(福井大) / 前田 英樹(NTT) / 濱田 貴広(NTT) / 北原 武(KDDI) |
| 幹事氏名(英) | Takuji Tachibana(Univ. of Fukui) / Hideki Maeda(NTT) / Takahiro Hamada(NTT) / Takeshi Kitahara(KDDI) |
| 幹事補佐氏名(和) | 鎌村 星平(NTT) / 首藤 裕一(NTT) / 金子 晋丈(慶大) |
| 幹事補佐氏名(英) | Shohei Kamamura(NTT) / Yuichi Sudo(NTT) / Kunitake Kaneko(Keio Univ.) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Network Systems / Technical Committee on Information Networks |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | DNSアンプ攻撃対策としての仮想ファイアウォール方式の評価 |
| サブタイトル(和) | |
| タイトル(英) | Evaluation on Virtual Firewall Schemes against DNS Amplification Attacks |
| サブタイトル(和) | |
| キーワード(1)(和/英) | DNSアンプ攻撃 / DNS amplification attack |
| キーワード(2)(和/英) | リフレクタ / reflector |
| キーワード(3)(和/英) | ファイアウォール / firewall |
| キーワード(4)(和/英) | 動的フィルタ / dynamic filtering |
| キーワード(5)(和/英) | 制御メッセージ / control message |
| 第 1 著者 氏名(和/英) | 玄 英哲 / Eitetsu Gen |
| 第 1 著者 所属(和/英) | 東海大学(略称:東海大) Tokai University(略称:Tokai Univ.) |
| 第 2 著者 氏名(和/英) | 遠藤 翔太 / Shota Endo |
| 第 2 著者 所属(和/英) | 東海大学(略称:東海大) Tokai University(略称:Tokai Univ.) |
| 第 3 著者 氏名(和/英) | 首藤 裕一 / Yuichi Sudo |
| 第 3 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) Nippon Telegraph and Telephone Corporation(略称:NTT) |
| 第 4 著者 氏名(和/英) | 村山 純一 / Junichi Murayama |
| 第 4 著者 所属(和/英) | 東海大学(略称:東海大) Tokai University(略称:Tokai Univ.) |
| 発表年月日 | 2016-03-04 |
| 資料番号 | IN2015-140 |
| 巻番号(vol) | vol.115 |
| 号番号(no) | IN-484 |
| ページ範囲 | pp.189-192(IN), |
| ページ数 | 4 |
| 発行日 | 2016-02-25 (IN) |