CN111031048A - 一种dns劫持防御方法 - Google Patents
一种dns劫持防御方法 Download PDFInfo
- Publication number
- CN111031048A CN111031048A CN201911299801.1A CN201911299801A CN111031048A CN 111031048 A CN111031048 A CN 111031048A CN 201911299801 A CN201911299801 A CN 201911299801A CN 111031048 A CN111031048 A CN 111031048A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- response message
- return path
- analyzed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4552—Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的一种DNS劫持防御方法,将第三方可信域名服务器解析的网站域名的应答报文的返回路径,与本机DNS解析的应答报文的返回路径结果对比,如果本机DNS解析的应答报文的返回路径,与第三方可信域名服务器解析的应答报文的返回路径对比后结果不相同,丢掉本机DNS的应答报文的返回路径结果,把第三方可信域名服务器返回的响应结果返回给本机局域网内用户,将该网站域名加入到缓存列表中,后续本机局域网内用户再次访问网站域名将直接遍历缓存列表,并直接返回第三方可信域名服务器的应答报文的返回路径结果。
Description
技术领域
本发明涉及网络域名劫持防御领域,具体涉及一种DNS劫持防御方法。
背景技术
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址,其效果就是对特定的网络访问的是假网址,比如钓鱼网站。伪造DNS服务器是DNS劫持中的一个主要攻击手段,攻击者劫持用户发往授权域名服务器的DNS请求报文,然后通过伪造DNS服务器把钓鱼网站的IP返回给用户进行欺骗。
TTL是Time To Live的缩写,该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。在IP数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改这个TTL值,具体的做法是把该TTL的值减1,然后再将IP包转发出去。
现有技术主要是采用一种被动的方案进行防御,比如网站服务商可以提供两个域名,当其中一个域名发现被劫持行为后,可以使用另一个域名进行访问。现有技术的缺陷:防御方案过于被动,当DNS劫持攻击出现后依然可能引起危害。
发明内容
为了克服现有技术中的不足,本发明提出一种DNS劫持防御方法,其能对网站进行主动防御,减少DNS被劫持的危险。
为了实现上述目的,本发明的一种DNS劫持防御方法,包括以下步骤,S1:本机DNS对网站域名进行解析,提取本机DNS解析后的应答报文IP头中的TTL值进行对比分析,判断应答报文的返回路径是否发生了变化;S2:如果判定本机DNS解析后的应答报文IP头中的TTL值发生了变化,则通过预设的第三方可信域名服务器去解析网站域名,第三方可信域名服务器获得应答报文的返回路径;S3:将第三方可信域名服务器解析的网站域名的应答报文的返回路径,与本机DNS解析的应答报文的返回路径结果对比;S4:如果本机DNS解析的应答报文的返回路径,与第三方可信域名服务器解析的应答报文的返回路径对比后结果相同,将网站域名加入到缓存列表中,本机DNS再次访问网站域名将直接遍历缓存列表,并直接返回本机DNS的应答报文的返回路径结果;S5:如果本机DNS解析的应答报文的返回路径,与第三方可信域名服务器解析的应答报文的返回路径对比后结果不相同,丢掉本机DNS的应答报文的返回路径结果,把第三方可信域名服务器返回的响应结果返回给本机局域网内用户,将该网站域名加入到缓存列表中,后续本机局域网内用户再次访问网站域名将直接遍历缓存列表,并直接返回第三方可信域名服务器的应答报文的返回路径结果。
进一步的,S1中,本机DNS首先统计到50个DNS应答报文后结束统计,并选出出现频率最高的两个TTL值,本机DNS认为这两个TTL值为主用和备用的两个DNS应答报文的返回路径的TTL值,S1中的提取本机DNS解析后的应答报文IP头中的TTL值进行对比分析:本机DNS解析后的应答报文IP头中的TTL值与主用的DNS应答报文的返回路径的TTL值TTL值相比。
进一步的,本机DNS每24h后重新统计到50个DNS应答报文后结束统计,重新获得两个出现频率最高的TTL值作为主用和备用的两个DNS应答报文的返回路径的TTL值。
进一步的,第三方可信域名服务器为DNS8.8.8.8。
进一步的,缓存列表中存储的应答报文的返回路径结果的默认保留时间为1h。
有益效果:通过本机DNS对网站域名的TTL值进行主动地解析,及时判断TTL值是否变化,根据TTL值是否变化来判断该网站是否安全。
附图说明
下面结合附图对本发明作进一步描写和阐述。
图1是本实施例的步骤原理图。
具体实施方式
下面将结合附图、通过对本发明的优选实施方式的描述,更加清楚、完整地阐述本发明的技术方案。
如图1所示,一种DNS劫持防御方法,包括步骤S1:本机DNS对访问的网站域名进行分析,提取本机DNS对该网站域名的解析后的应答报文IP头中的TTL值,将该网站域名应答报文IP头中的TTL值(以下简称网站域名TTL值)与本机DNS自选的TTL值(以下简称自备TTL值)进行对比分析,判断网站域名TTL值是否与自备TTL值相比发生了变化,获得本机DNS的应答报文的返回路径;
自备TTL值是通过本机DNS,首先自发地统计到50个DNS应答报文后结束统计,并选出出现频率最高的两个TTL值,本机DNS认为这两个TTL值为本机主用和备用的两个DNS应答报文的返回路径的TTL值,主机使用时单独使用其中的主用的TTL值。
还包括步骤S2:如果判定网站域名TTL值和自备TTL值中的主用TTL值相比产生了变化,则通过预设的第三方可信域名服务器去解析网站域名,第三方可信域名服务器获得应答报文的返回路径;没有发生变化则网站域名可以正常信任并访问。
S3:将第三方可信域名服务器解析的网站域名的应答报文的返回路径,与本机DNS解析的应答报文的返回路径结果对比;S4:如果第三方可信域名服务器解析的网站域名的应答报文的返回路径,与本机DNS解析的应答报文的返回路径结果相同,则本网站域名可以信任,本机将网站域名加入到缓存列表中,本机DNS再次访问该网站域名将直接遍历缓存列表,并直接返回所述本机DNS的应答报文的返回路径结果,本机可以正常访问该网站。
S5:如果本机DNS解析的应答报文的返回路径,与第三方可信域名服务器解析的应答报文的返回路径对比后结果不相同,本机将丢掉本机DNS的应答报文的返回路径结果,同时放弃主用的TTL值,使用备用的TTL值,把第三方可信域名服务器返回的响应结果返回给本机局域网内用户。该网站将存在风险而不可信任,本机将该网站域名也加入到缓存列表中,后续本机局域网内用户再次访问该具有风险的网站域名时,将直接遍历缓存列表,并直接返回第三方可信域名服务器的应答报文的返回路径结果,本机将不再返回并显示该具有风险的网站的任何内容和信息。
前述第三方可信域名服务器可以采用谷歌DNS8.8.8.8,并且本机中缓存列表存储的网站域名默认每1h就会自动清除,也就是说,在初次访问过网站域名后并认定为是可信的网站域名,在初次访问后1h内再次访问该网站,将不再对该网站的安全重新分析,用户可以直接访问。该缓存列表的默认值1h也可以通过代码手动更改;同样的,如果该网站域名不可信,初次访问时,经过安全防御后将不允许访问该网站,1h内再次访问,将不再进行网站安全分析,将直接限制本机访问该网站,1h后若再次访问,由于缓存列表清除本机将会重新分析该网站域名的安全性,此后再确定网站是否需要防御。
上述具体实施方式仅仅对本发明的优选实施方式进行描述,而并非对本发明的保护范围进行限定。在不脱离本发明设计构思和精神范畴的前提下,本领域的普通技术人员根据本发明所提供的文字描述、附图对本发明的技术方案所作出的各种变形、替代和改进,均应属于本发明的保护范畴。本发明的保护范围由权利要求确定。
Claims (5)
1.一种DNS劫持防御方法,其特征在于,包括以下步骤,
S1:本机DNS对网站域名进行解析,提取本机DNS解析后的应答报文IP头中的TTL值进行对比分析,获得本机DNS的应答报文的返回路径;
S2:如果判定本机DNS解析后的应答报文IP头中的TTL值发生了变化,则通过预设的第三方可信域名服务器去解析所述网站域名,第三方可信域名服务器获得应答报文的返回路径;
S3:将第三方可信域名服务器解析的所述网站域名的应答报文的返回路径,与本机DNS解析的应答报文的返回路径结果对比;
S4:如果本机DNS解析的应答报文的返回路径,与第三方可信域名服务器解析的应答报文的返回路径对比后结果相同,将网站域名加入到缓存列表中,本机DNS再次访问所述网站域名将直接遍历所述缓存列表,并直接返回所述本机DNS的应答报文的返回路径结果;
S5:如果本机DNS解析的应答报文的返回路径,与第三方可信域名服务器解析的应答报文的返回路径对比后结果不相同,丢掉所述本机DNS的应答报文的返回路径结果,把所述第三方可信域名服务器返回的响应结果返回给本机局域网内用户,将该网站域名加入到所述缓存列表中,后续本机局域网内用户再次访问所述网站域名将直接遍历所述缓存列表,并直接返回所述第三方可信域名服务器的应答报文的返回路径结果。
2.根据权利要求1所述的一种DNS劫持防御方法,其特征在于,所述S1中,本机DNS首先统计到50个DNS应答报文后结束统计,并选出出现频率最高的两个TTL值,本机DNS认为这两个TTL值为主用和备用的两个DNS应答报文的返回路径的TTL值,所述S1中的提取本机DNS解析后的应答报文IP头中的TTL值进行对比分析:本机DNS解析后的应答报文IP头中的TTL值与主用的DNS应答报文的返回路径的TTL值TTL值相比。
3.根据权利要求2所述的一种DNS劫持防御方法,其特征在于,所述本机DNS每24h后重新统计到50个DNS应答报文后结束统计,重新获得两个出现频率最高的TTL值作为主用和备用的两个DNS应答报文的返回路径的TTL值。
4.根据权利要求2所述的一种DNS劫持防御方法,其特征在于,所述第三方可信域名服务器为DNS8.8.8.8。
5.根据权利要求2所述的一种DNS劫持防御方法,其特征在于,所述缓存列表中存储的应答报文的返回路径结果的默认保留时间为1h。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911299801.1A CN111031048A (zh) | 2019-12-17 | 2019-12-17 | 一种dns劫持防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911299801.1A CN111031048A (zh) | 2019-12-17 | 2019-12-17 | 一种dns劫持防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111031048A true CN111031048A (zh) | 2020-04-17 |
Family
ID=70210147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911299801.1A Pending CN111031048A (zh) | 2019-12-17 | 2019-12-17 | 一种dns劫持防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111031048A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491855A (zh) * | 2020-11-19 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种handle标识解析状态的确定方法及装置 |
| CN113055405A (zh) * | 2021-04-09 | 2021-06-29 | 哈尔滨工业大学(威海) | 一种dns旁路抢答设备识别及溯源方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104836809A (zh) * | 2015-05-13 | 2015-08-12 | 汉柏科技有限公司 | 一种基于防火墙的dns防护方法和*** |
| CN106603501A (zh) * | 2016-11-22 | 2017-04-26 | 汉柏科技有限公司 | 一种域名劫持的防护方法、***及防火墙设备 |
| US20170118250A1 (en) * | 2015-10-21 | 2017-04-27 | Verisign, Inc. | Method for minimizing the risk and exposure duration of improper or hijacked dns records |
| CN109361676A (zh) * | 2018-11-01 | 2019-02-19 | 天津睿邦安通技术有限公司 | 一种基于防火墙***的dns劫持防御方法、装置及*** |
| CN109413015A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种dns劫持的防御方法和装置 |
-
2019
- 2019-12-17 CN CN201911299801.1A patent/CN111031048A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104836809A (zh) * | 2015-05-13 | 2015-08-12 | 汉柏科技有限公司 | 一种基于防火墙的dns防护方法和*** |
| US20170118250A1 (en) * | 2015-10-21 | 2017-04-27 | Verisign, Inc. | Method for minimizing the risk and exposure duration of improper or hijacked dns records |
| CN106603501A (zh) * | 2016-11-22 | 2017-04-26 | 汉柏科技有限公司 | 一种域名劫持的防护方法、***及防火墙设备 |
| CN109413015A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种dns劫持的防御方法和装置 |
| CN109361676A (zh) * | 2018-11-01 | 2019-02-19 | 天津睿邦安通技术有限公司 | 一种基于防火墙***的dns劫持防御方法、装置及*** |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491855A (zh) * | 2020-11-19 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种handle标识解析状态的确定方法及装置 |
| CN113055405A (zh) * | 2021-04-09 | 2021-06-29 | 哈尔滨工业大学(威海) | 一种dns旁路抢答设备识别及溯源方法 |
| CN113055405B (zh) * | 2021-04-09 | 2022-03-08 | 哈尔滨工业大学(威海) | 一种dns旁路抢答设备识别及溯源方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10812441B2 (en) | System and method for suppressing DNS requests | |
| US9654494B2 (en) | Detecting and marking client devices | |
| US8447856B2 (en) | Policy-managed DNS server for to control network traffic | |
| US8122493B2 (en) | Firewall based on domain names | |
| US9419999B2 (en) | Method and device for preventing domain name system spoofing | |
| US20170374088A1 (en) | Individually assigned server alias address for contacting a server | |
| WO2018121331A1 (zh) | 攻击请求的确定方法、装置及服务器 | |
| Ullrich et al. | {IPv6} security: Attacks and countermeasures in a nutshell | |
| CN110324295B (zh) | 一种域名***泛洪攻击的防御方法和装置 | |
| US20160330287A1 (en) | Processing service requests for digital content | |
| US9973590B2 (en) | User identity differentiated DNS resolution | |
| US20120144483A1 (en) | Method and apparatus for preventing network attack | |
| US11271963B2 (en) | Defending against domain name system based attacks | |
| US10397225B2 (en) | System and method for network access control | |
| CN112272164B (zh) | 报文处理方法及装置 | |
| US12021836B2 (en) | Dynamic filter generation and distribution within computer networks | |
| US11438302B1 (en) | Selection of an egress IP address for egress traffic of a distributed cloud computing network | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| CN111031048A (zh) | 一种dns劫持防御方法 | |
| US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
| US11811806B2 (en) | System and apparatus for internet traffic inspection via localized DNS caching | |
| Hounsel et al. | D-DNS: towards re-decentralizing the DNS | |
| CN110392129B (zh) | IPv6客户机以及IPv6客户机与服务器通信的方法 | |
| CN114024731A (zh) | 报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200417 |