一种基于区块链的DNS反劫持系统及方法技术方案

本发明专利技术公开了一种基于区块链的DNS反劫持系统及方法，其中反劫持系统包括：信息映射模块，用于存储IP信息，将存储的IP信息作为源IP为访问请求提供校验模板，并且通过操作接口与区块链模块相连以将IP信息通过映射方式导入区块链模块中；区块链模块，具有多个区块链节点，区块链节点可存储信息映射模块映射来的可信源IP地址信息，利用区块链的账本共识确保链节点存储信息的安全、可靠和完整；SDK模块，通过外部接口和区块链模块进行IP信息周期同步，执行可信源IP信息的更新与校验操作；用户端，执行DNS校验，并发起访问请求进行访问操作。本发明专利技术的DNS反劫持系统利用区块链技术并通过信息入链与IP校验极大提高了DNS反欺诈的效率。

A DNS anti hijacking system and method based on block chain

The invention discloses a block chain DNS anti hijacking system and method based on the anti hijacking system includes: information mapping module for storing IP information, stored IP information as the source for IP access request to provide calibration template, and through the operation interface and the module is connected to the IP block chain information by mapping the import block chain module; block chain module having a plurality of block chain nodes, block chain node can store information can be mapped to the mapping module source IP address information, using the blockchain consensus books chain store information to ensure the safety, reliability and integrity; the SDK module, IP information synchronization cycle through the external interface and block chain module, update and check operation source IP information; the user terminal performs DNS check, and initiates an access request access operation. The DNS anti hijacking system of the invention greatly improves the efficiency of DNS anti fraud by using block chain technology and using information link and IP check.

【技术实现步骤摘要】
一种基于区块链的DNS反劫持系统及方法
本专利技术属于区块链
，尤其涉及一种基于区块链的域名系统反劫持系统及方法。
技术介绍
DNS即域名系统，DNS劫持也就是我们常说的域名劫持，恶意攻击者通过某些技术方法获得某域名的解析控制权，并通过解析控制权对域名的解析结果进行强制修改，用户如果需要访问该域名，则会导致访问结果由原域名的IP地址自动跳转到攻击和修改后的目标IP，使得用户进行访问的域名是虚假网址或空网址。在当今的互联网时代，DNS劫持通过修改域名解析结果从而被恶意攻击者植入病毒，在用户访问该病毒网址后从而入侵用户电脑并获取用户的隐私资料，导致用户信息的泄露。进行DNS劫持需要入侵被劫持用户的网络环境，在被劫持用户的网络环境下，恶意攻击者通过入侵用户电脑获取用户隐私信息，但是在访问用户所在的网络范围外的域名服务器能够返回正常的IP地址，所以当用户发生域名劫持的情况下，一般通过在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问，即封锁正常DNS的IP。如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问，从而绕开域名劫持。DNS劫持是一种常用的黑客技术，DNS劫持主要包含以下几种手段：1)利用DNS服务器进行DDOS攻击正常的DNS服务器递归查询过程可能被黑客利用成DDOS攻击，当恶意攻击者获悉被攻击者的IP地址，则恶意攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器就会将响应结果返回给被攻击用户。当恶意攻击者同时控制了多个被攻击者的机器，则就能够在同一时间反复对被攻击者发起来自于DNS服务器的响应信息DDOS攻击，最终就会使得被攻击者的网络被拖垮至发生中断。恶意攻击者利用DNS服务器进行DDOS攻击不仅没有和被攻击者实现通讯互联，而且能够将访问被攻击者的信息隐藏起来，导致被攻击者没法通过DDOS攻击来源进行追查预方法。2)DNS重定向攻击者将DNS名称查询重定向到恶意DNS服务器上，被劫持域名的解析就完全在攻击者的控制之下。3)DNS信息劫持主机上的TCP/IP体系能够通过多种方式避免数据的篡改，但入侵者如果通过监听客户端和DNS服务器的通信过程，就可以查找服务器响应给客户端的DNS查询ID信息。当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者，原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问，这样他就被欺骗到了别处而无妨连接想要访问的那个域名。4)ARP欺诈ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，它可以在网络中产生大量的ARP流量来阻塞网络，攻击者只要持续不断的发出伪造的ARP响应报文就能更改目标主机ARP缓存中的IP地址，造成网络中断。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过ARP欺骗手段来拦截网络中其他计算机的通信信息，并因此造成网内其它计算机的通信故障，造成用户访问域名的错误指向。5)DNS漏洞攻击者使用DNS请求，将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名的访问引导到入侵者所设置的包含病毒的页面上，获取用户的隐私信息，从而导致用户信息泄露。6)主机病毒感染本机的计算机系统被木马或流氓软件感染后，也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。DNS劫持通过取得域名的解析控制权，修改此域名的解析结果，导致对该域名的访问信息被篡改。DNS劫持是一种黑客技术，通过这种域名欺诈达到投放病毒，骗取用户相关资料或入侵他人电脑的目的。在应对以上种种DNS劫持的过程中，目前通常采用的方法主要包括以下几种：1)如果条件允许，在不同的网络上运行分离的域名服务器来取得冗余性，一旦黑客进行DNS攻击，用户还可以访问另一个域名。2)将外部和内部域名服务器进行物理隔离，并配置转发器。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受，它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能即可以对DNS服务器的外网访问进行限制。3)删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP，并限制动态DNS更新。4)在网络外围和DNS服务器上使用防火墙服务，并进行访问控制。虽然目前有很多针对DNS反劫持的方法，但是还是无法从根源上避免DNS劫持的发生。如防火墙的更新不及时或出现漏洞时，入侵者就会想用户电脑中植入病毒，病毒就可以对系统HOSTS文件进行篡改，并依靠HOSTS文件的高优先级对DNS解析记录进行篡改，从而获取用户隐私数据。又如使用的DNS服务器不可靠，没有及时修复DNS相关漏洞，更新最新补丁，就会导致入侵者有机可乘。另外，当用户试图访问的网站被恶意攻击，用户可能访问到的是一个欺骗性网站，也有可能被定向到其它网站，或者用户在浏览器中输入了错误的域名，导致DNS查询不存在的记录。以上种种都表现出了目前对于DNS反劫持的方法的一些局限性，由于过度依赖性能指标或人为控制，导致大量的资源浪费，并影响响应请求的速度。
技术实现思路
为解决上述现有技术中的问题，本专利技术提供了一种基于区块链的DNS反劫持方法，利用区块链的共识技术，将可信的源IP地址映射到链节点中，并利用SDK实现智能同步，及时对用户的访问请求进行DNS校验，实现DNS反欺诈功能。为实现上述目的，本专利技术的基于区块链的DNS反劫持方法的具体技术方案如下：一种基于区块链的DNS反劫持系统，包括：信息映射模块，用于存储IP信息，将存储的IP信息作为源IP为访问请求提供校验模板，并且通过操作接口与区块链模块相连以将IP信息通过映射方式导入区块链模块中；区块链模块，具有多个区块链节点，区块链节点可存储信息映射模块映射来的可信源IP地址信息，利用区块链的账本共识确保链节点存储信息的安全、可靠和完整；SDK模块，通过外部接口和区块链模块进行IP信息周期同步，执行可信源IP信息的更新与校验操作；用户端，执行DNS校验以在分布式区块链节点中实现IP信息的反劫持，并发起访问请求进行访问操作。进一步，在SDK模块的校验过程中，将访问请求的IP地址与SDK模块内部存储的可信源IP信息进行映射，实现IP地址的校验。进一步，所述操作接口为Portal接口。进一步，信息映射模块存储的IP信息包括域名地址、IP段信息、存储地址。本专利技术还公开了一种基于区块链的DNS反劫持方法，包括以下步骤：步骤一，将基地址信息进行映射存储，对源IP信息进行归整和统一；步骤二，通过操作接口将映射后的IP信息同步至区块链节点处，每个节点之间通过共识形成一条完整可信的链式结构；步骤三，将IP信息周期性地同步至SDK模块，为IP校验提供基础模板和源信息；步骤四，用户端访问目标网站返回DNS信息，调用用户端与SDK模块之间的接口，在SDK模块对将访问的目标IP进行校验，若DNS没有被劫持，则用户端继续执行访问请求，若目标DNS被劫持，本文档来自技高网...

【技术保护点】
一种基于区块链的DNS反劫持系统，其特征在于，包括：信息映射模块，用于存储IP信息，将存储的IP信息作为源IP为访问请求提供校验模板，并且通过操作接口与区块链模块相连以将IP信息通过映射方式导入区块链模块中；区块链模块，具有多个区块链节点，区块链节点可存储信息映射模块映射来的可信源IP地址信息，利用区块链的账本共识确保链节点存储信息的安全、可靠和完整；SDK模块，通过外部接口和区块链模块进行IP信息周期同步，执行可信源IP信息的更新与校验操作；用户端，执行DNS校验以在分布式区块链节点中实现IP信息的反劫持，并发起访问请求进行访问操作。

【技术特征摘要】
1.一种基于区块链的DNS反劫持系统，其特征在于，包括：信息映射模块，用于存储IP信息，将存储的IP信息作为源IP为访问请求提供校验模板，并且通过操作接口与区块链模块相连以将IP信息通过映射方式导入区块链模块中；区块链模块，具有多个区块链节点，区块链节点可存储信息映射模块映射来的可信源IP地址信息，利用区块链的账本共识确保链节点存储信息的安全、可靠和完整；SDK模块，通过外部接口和区块链模块进行IP信息周期同步，执行可信源IP信息的更新与校验操作；用户端，执行DNS校验以在分布式区块链节点中实现IP信息的反劫持，并发起访问请求进行访问操作。2.根据权利要求1所述的基于区块链的DNS反劫持系统，其特征在于，在SDK模块的校验过程中，将访问请求的IP地址与SDK模块内部存储的可信源IP信息进行映射，实现IP地址的校验。3.根据权利要求1所述的基于区块链的DNS反劫持系统，其特征在于，所述操作接口为Portal接口。4.根据权利要求1所述的基于区块链的DNS反劫持系统，其特征在于，信息映射模块存储的IP信息包括域名地址、IP段信息、存储地址。5.一种基于区块链的DNS反劫持方法，其特征在于，包括以下步骤：步骤一，将基地址信息进行映射存储，对源IP信息进行归整和统一；步骤二，通过操作...

【专利技术属性】
技术研发人员：谭宜勇，田江波，
申请(专利权)人：北京泛融科技有限公司，
类型：发明
国别省市：北京,11