本发明专利技术提出一种以路由器为依托、安全性佳的DNS防劫持通信方法,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,该通信过程如下,若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受信息进行加、解密来进行通信,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息。
【技术实现步骤摘要】
DNS防劫持通信方法
本专利技术涉及因特网
,具体讲是一种DNS防劫持通信方法。
技术介绍
DNS(DomainNameSystem,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS被劫持给客户带来损失的事件时有发生,有时甚至造成无法挽回的损失,这在行业内为公知,为了防止DNS被劫持,业内提出了好多解决方法,比如公布号CN102790807A、公布号CN102577303A等相关专利申请公开的技术方案,然而它们均未充分利用路由器在现有因特网架构中的作用,如图1所示,路由器本身不做任何处理,而是直接明文发送信息。本申请意在另辟蹊径,以路由器为依托提出一种安全性佳的DNS防劫持通信方法。
技术实现思路
本专利技术所要解决的技术问题是,克服现有技术的缺陷,提供一种以路由器为依托、安全性佳的DNS防劫持通信方法。为解决上述技术问题,本专利技术提出一种DNS防劫持通信方法,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,若DNS缓存中具有域名解析请求中所请求的域名相对应的记录则直接返回给用户;若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,该通信过程如下,若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受的信息进行加、解密来进行通信,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息。采用上述结构后,与现有技术相比,本专利技术具有以下优点:通过上述过程可保证本地路由器外的任何一级设备都无法篡改DNS服务器返回的记录,从而保证DNS不被劫持,因此,本专利技术具有以路由器为依托、安全性佳的优点,本专利技术以路由器为依托还具有的优点是,由于DNS协议是比较早期的产物,定制这些标准的时候可能并没有考虑到安全性问题,所以在协议上没有特别的安全处理,若进行安全处理需要耗费一定的CPU资源,DNS服务器请求可能是很频繁的,早期CPU处理能力不高,处理起来是会变慢的,这个也有可能是考虑的因素,基于此,之后即使出现了SSL/TLS等能保证安全的安全通信握手方法也不可以大面积采用,这是因为不可能要求更换所有的DNS服务器,更不可能要求更换世界上所有使用DNS协议的电脑,那么本专利技术也是在这些方面做了平衡,由路由器劫持做透明安全传输(对客户机来说可能是根本没察觉到的),保证路由器后面的电脑无需做任何升级或者改动就能得到避免DNS被劫持的通信优点。作为改进,安全通信握手为SSL握手,即采用安全通信过程使用安全套接字(SecureSocketLayer,SSL)协议,这样做的主要原因是SSL协议在业界被广泛使用,认可度较高,兼容性较好。作为改进,若无法进行安全通信握手,则路由器向防劫持DNS服务器发起明文请求,这样能够保证用户正常使用。说明书附图图1为现有技术通信过程。图2为本专利技术通信过程。具体实施方式下面对本专利技术作进一步详细的说明:本专利技术DNS防劫持通信方法,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,若DNS缓存中具有域名解析请求中所请求的域名相对应的记录则直接返回给用户;若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,其中,我们可以给用户一个自主权,也就是设置开关使用户自己决定是否开启防劫持DNS功能,开关可以是软开关,也可以是硬开关,默认是自动开启,路由器中设定了防劫持DNS服务器是指设定了防劫持DNS服务器的地址,所述通信过程如下,若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受的信息进行加、解密来进行通信,加密之前的信息为符合DNS协议标准的信息,自然,解密后的信息也是符合DNS协议标准的,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,比如路由器向防劫持DNS服务器发送请求信息(Question)包括请求查询的域名(QNAME)和请求查询的类型(QTYPE),防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息,即防劫持DNS服务器向路由器发送的信息为请求信息(Question)的回答(Answer)。路由器收到域名解析请求时进行劫持,直接取出请求者和请求的信息如:请求者IP,MAC,请求端口,接收返回端口,请求的域名,请求记录名,从而获得域名解析请求中的信息,使得路由器能够修改该域名解析请求中请求的DNS服务器地址为防劫持DNS服务器的地址。路由器中设定防劫持DNS服务器可以按需要设置,可以设置多个,现有技术即可实施。若防劫持DNS服务器中无法获得域名对应的IP地址,那么根据防劫持DNS服务器自身的设置从其他服务器查询域名对应的IP地址,该过程可通过现有技术实现;防劫持DNS服务器本身可以一个或多个DNS服务器,利用现有技术架构即可。安全通信握手为SSL握手,SSL握手为常规,具体过程简述如下,1、路由器将它所支持的算法列表和一个用作产生密钥的随机数A以及其它一些必要信息发送给防劫持DNS服务器。2、防劫持DNS服务器从算法列表中选择一种加密算法,生成一个随机数B将其两者和一份包含防劫持DNS服务器公用密钥的证书发送给路由器;该证书包含了用于认证目的的服务器标识。3、路由器检查验证服务器证书并抽取防劫持DNS服务器的公用密钥,如果成功,那么路由器为本次会话生成预主密钥(Pre-master-secret),并使用防劫持DNS服务器的公用密钥对其进行加密将加密后的信息发送给防劫持DNS服务器。如果防劫持DNS服务器要求鉴别客户身份,路由器还要再对相关数据签名后并将其与路由器证书一起发送给防劫持DNS服务器。4、路由器与防劫持DNS服务器端根据预主密钥(Pre-master-secret)以及路由与防劫持DNS服务器的随机数值等原始信息计算出哈希运算消息认证码(HMAC)以及主密钥(mastersecret),并互相认证(路由器将哈希运算消息认证码发送给防劫持DNS服务器,防劫持DNS服务器将哈希运算消息认证码发送给路由器,用以确认握手信息没有被其他设备篡改)。5、路由器通知防劫持DNS服务器此后发送的消息都使用这个会话密钥进行加密,路由器已经完成本次SSL握手;防劫持DNS服务器也通知路由器此后发送的消息都使用这个会话密钥进行加密,并通知路由器,防劫持DNS服务器已经完成本次SSL握手。在双方SSL握手结束后传递任何消息均使用此会话的主密钥进行加密或解密。当然,安全通信握手也可以是其他的具备抗篡改,抗信息泄漏的安全通信过程,例如使用TLS(安全传输层协议)。若无法进本文档来自技高网...
【技术保护点】
一种DNS防劫持通信方法,其特征在于,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,若本地缓存中具有域名解析请求中所请求的域名相对应的记录则直接返回给用户;若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,该通信过程如下,若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受的信息进行加、解密来进行通信,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息。
【技术特征摘要】
1.一种DNS防劫持通信方法,其特征在于,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,若DNS缓存中具有域名解析请求中所请求的域名相对应的记录则直接返回给用户;若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,该通信过程如下,若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;路由器和防劫...
【专利技术属性】
技术研发人员:吴江,李陈,陶源,
申请(专利权)人:嘉兴市辰翔信息科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。