Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS

Table of Contents

DOHDET - DoHサーバとの通信

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 6 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

メソッドの説明

このメソッドは、DNS over HTTPS (DoH)プロトコルを使用してドメイン名を解決するデバイスの検知に使用されます。ユーザから見たDoHプロトコルの主なメリットは、暗号化された通信を使用することでセキュリティとプライバシーが向上することです。このため、ユーザがどのドメインにアクセスしたかを調べることはできません。また、DoHプロトコルはHTTPSプロトコルと同じポートを使用するため、DoHと通常のHTTPSトラフィックを区別することはほぼ不可能です。監視の観点からは、ネットワークセキュリティポリシーを回避したり、悪意のあるマルウェアアクティビティを隠したりするためにプロトコルが悪用される恐れがあり、こうした特性が問題となる可能性があります。

このメソッドは、以下のサブメソッドで構成されます。

  • KnownServers: DNS over HTTPSプロトコルを使用するデバイスをレポートします。このサブメソッドは、公知のDoHサーバのリストを使用して、暗号化されたDNSを使用するクライアントをレポートします。このサブメソッドは、Flowmonプローブからのフローデータでのみ使用できることに注意してください。別のソースからのフローデータには、評価に必要な情報(クエリされたDNSドメイン、SNIフィールド、またはHTTPホスト名)が含まれていません。

  • BehavioralDetection: DNS over HTTPSプロトコルを使用するデバイスをレポートします。このサブメソッドは、公知の潜在的なDoHサーバのリストを使用し、フローデータの動作パターンを検査する高度なアルゴリズムを使用してDoHサーバとの通信を分析します。これらの動作パターンに基づいて、アルゴリズムはターゲットサーバがDoHまたはHTTPSサーバであるかを分類します。ターゲットサーバがDoHの場合、このサーバと通信するクライアントがレポートされます。DoHサーバと同じ動作を示す標準的なHTTPSサーバも存在する場合があるため、誤検知が発生する可能性があることに注意してください。

メソッド設定

このメソッドは、監視対象ネットワークのすべてのIPアドレスに適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線または中央のスイッチです。既知のDoHサーバのリストを更新するには、Flowmonアプライアンスからservices.flowmon.comサーバのポート443 (HTTPS、標準のセキュアなWebトラフィック)への通信をブロックしないようにする必要があります。また、Flowmonアプライアンスの**[Flowmonサービス]オプションが、[設定] → [システム設定] → [一般設定]**で有効になっていることを確認してください。

メソッドパラメータ

すべてのサブメソッドで共有されるパラメータ。

  • ExcludeDoHServers: 監視対象ネットワークでの使用が許可されているDoHサーバのフィルタ。監視対象デバイスがこれらのサーバを使用しても、イベントは生成されません。

BehavioralDetectionサブメソッドによって独占的に使用されるパラメータ。

  • BehavioralDetectionEnabled: BehavioralDetectionサブメソッドを有効または無効にします。

  • MinimalDownload: イベントをレポートするためにクライアントがDoHサーバからダウンロードしなければならない最小データ量(バイト)。

  • MinimalUpload: イベントをレポートするためにクライアントがDoHサーバにアップロードしなければならない最小データ量(バイト)。

  • MinimumCoverage: アルゴリズムがDoHサーバかどうかを評価する前に、サーバについて収集する必要があるフローの数。このパラメータの値は、学習期間の長さに影響します。このパラメータの値が大きいほど、学習期間が長くなります。

  • Threshold: サーバをDoHサーバとしてマークするためにDoH通信と識別する必要があるフローの数。

  • TimeToDeath: 評価の後、アルゴリズムは、サーバがDoHサーバであるか通常のHTTPSサーバであるかに関する情報を保存します。このパラメータは、この情報を削除して評価を再開するまでの日数を指定します。

  • Tolerance: 検知の感度を調整できます。このパラメータの値を高くすると、メソッドの正確さが低くなり、誤検知の数が増加する可能性があります。逆に、このパラメータの値を低くすると、一部の正常なDoHサーバが検知されなくなる可能性がありますが、誤検知の量は減少する可能性があります。

  • MinDoHRequests: ターゲットサーバをDoHサーバと見なすために、DoH要求として評価する必要があるクライアント要求の最小数。

  • MinDoHResponses: サーバをDoHサーバと見なすために、DoH応答として評価する必要があるサーバ応答の最小数。

  • MinBPPRequest: DoH要求と見なすための、クライアント要求のパケットメトリックあたりの平均バイト数の最小値。この値を大きくすると、検知の感度が低下します。

  • MaxBPPRequest: DoH要求と見なすための、クライアント要求のパケットメトリックあたりの平均バイト数の最大値。この値を小さくすると、検知の感度が低下します。

  • MinBPPResponse: DoH応答と見なすための、サーバ応答のパケットメトリックあたりの平均バイト数の最小値。この値を大きくすると、検知の感度が低下します。

  • MaxBPPResponse: DoH応答と見なすための、サーバ応答のパケットメトリックあたりの平均バイト数の最大値。この値を小さくすると、検知の感度が低下します。

  • MinPacketsRequest: DoH要求と見なすための、クライアント要求のパケット数の最小値。この値を大きくすると、検知の感度が低下します。

  • MinPacketsResponse: DoH応答と見なすための、サーバ応答のパケット数の最小値。この値を大きくすると、検知の感度が低下します。

KnownServersサブメソッドによって独占的に使用されるパラメータ。

  • KnownServersEnabled: KnownServersサブメソッドを有効または無効にします。

フィルタの割り当て

このフィルタは、送信元IPアドレスまたは宛先IPアドレスを制限するために使用されます。

結果の解釈

このメソッドは、DNS over HTTPSプロトコルを使用してドメイン名を解決するデバイスを検知できます。これらの検知は、不適切な設定を示している場合や、無害なソフトウェア(Webブラウザ、オペレーティングシステムなど)を使用して企業のセキュリティポリシーを回避しようとする試みを示している場合があります。また、暗号化された通信チャネル内でのアクティビティを隠そうとする悪意のあるソフトウェアへの感染を示している可能性もあります。

TitleResults for “How to create a CRG?”Also Available inAlert