一种基于DNS劫持技术的网络曾联探测方法技术

本发明专利技术公开了一种基于DNS劫持技术的网络曾联探测方法，通过在网关上旁路一网关硬件，通过网关硬件对网关上的数据进行监听并镜像，并对镜像后的数据进行分析，一旦发现包含HTTP协议的数据流就进行劫持，并针对HTTP协议请求包伪造相对应的HTTP响应包，发送给请求互联网连接的终端设备，只要终端设备运行HTTP响应包，网关硬件就能接收到DNS解析请求并进行响应，返回一个指定的欺骗服务器上的IP地址，终端设备发起该IP地址的请求时，欺骗服务器就能获取该终端设备之前留下的互联网访问数据并记录，欺骗服务器通过分析历史访问数据就能判断该终端设备是否曾联及其曾联的时间节点。本发明专利技术采取了被动监听的手段，能最大限度的提高检测的准确性。

A network detection method based on DNS hijacking Technology

The invention discloses a DNS based network has linked hijacking detection method, through the gateway in a bypass gateway hardware, through the gateway hardware of gateway data monitoring and image, and the image analysis of the data, once found to contain HTTP protocol data stream was hijacked, according to HTTP protocol request packet forgery corresponding HTTP response packet is transmitted to the requesting terminal equipment connected to the Internet, as long as the operation of the terminal equipment HTTP response packet, the gateway hardware can receive DNS request and response analysis, returns a specified server IP address spoofing, the terminal device initiates the IP address request, Internet access the server can get the data to deceive the terminal equipment before leaving and record, deceive the server access through the analysis of historical data can judge whether the terminal equipment is The time node of Zeng Lian and Zeng lian. The invention adopts the passive listening means to maximize the accuracy of detection.

【技术实现步骤摘要】
一种基于DNS劫持技术的网络曾联探测方法
本专利技术涉及网络安全的
，特别涉及一种基于DNS劫持技术的网络曾联探测方法。
技术介绍
互联网信息的飞速发展，给人们的生活带来方便快捷，但也随着信息化发展的不断深入，政府机关及企事业单位的内网面临的安全挑战也越来越严峻。据近些年安全事件统计情况发现，内网上各类违规接入、非法互联、信息泄露等行为愈演愈烈，埋下了众多安全隐患，尤其是内外网互联网行为，严重的甚至可能导致内网被互联网黑客、境外情报机构等直接入侵破坏，发生不可逆转的危害。对于互联网曾联，一直没有行之有效的检测方法。曾连互联网探测的关键点在于，发生曾连动作的行为在过去，而不在当前时刻。连接互联网留下的些许痕迹也因为当前设备处于正常内网或许可网络范围内而无法被捕获。为了解决以上问题，加强网络信息安全，有必要提出一种基于DNS劫持技术的网络曾联探测方法。
技术实现思路
本专利技术的目的在于克服上述现有技术的不足，提供一种基于DNS劫持技术的网络曾联探测方法，其旨在解决现有技术中对于互联网曾联，一直没有行之有效的检测方法，降低了信息的安全性的技术问题。为实现上述目的，本专利技术本文档来自技高网...

【技术保护点】
一种基于DNS劫持技术的网络曾联探测方法，其特征在于：包括如下步骤：S1)、在网关上旁路一网关硬件，通过网关硬件监听并镜像所有的内网数据；S2)、网关硬件分析镜像后包含HTTP协议的数据流，并对HTTP协议请求包进行劫持；S3)、网关硬件伪造一个与被劫持的HTTP协议请求包相对应的HTTP响应包，并发送给被劫持的终端设备；S4)、终端设备接收到伪造的HTTP响应包，并执行HTTP响应包上的相关脚本，在内网发起对互联网域名的DNS解析请求；S5)、网关硬件收到内网有相应的互联网域名DNS解析请求时，对相关DNS解析请求进行响应，返回一个指定的IP地址；S6)、终端设备在收到DNS解析请求返回的I...

【技术特征摘要】
1.一种基于DNS劫持技术的网络曾联探测方法，其特征在于：包括如下步骤：S1)、在网关上旁路一网关硬件，通过网关硬件监听并镜像所有的内网数据；S2)、网关硬件分析镜像后包含HTTP协议的数据流，并对HTTP协议请求包进行劫持；S3)、网关硬件伪造一个与被劫持的HTTP协议请求包相对应的HTTP响应包，并发送给被劫持的终端设备；S4)、终端设备接收到伪造的HTTP响应包，并执行HTTP响应包上的相关脚本，在内网发起对互联网域名的DNS解析请求；S5)、网关硬件收到内网有相应的互联网域名DNS解析请求时，对相关DNS解析请求进行响应，返回一个指定的IP地址；S6)、终端设备在收到DNS解析请求返回的IP地址后，发起对相应互联网域名的请求；S7)、欺骗服务器收到终端设备针对互联网域名的连接请求...

【专利技术属性】
技术研发人员：傅如毅，沈立，金张强，吴建峰，
申请(专利权)人：浙江远望信息股份有限公司，
类型：发明
国别省市：浙江,33