一种基于距离测量的DNS劫持检测方法技术

技术编号：17737561 阅读：56 留言：0更新日期：2018-04-18 13:33

本发明专利技术公开了一种基于距离测量的DNS劫持检测方法，包括抓取数据包：通过被动抓包方法获取监控节点DNS请求成功的数据包；确定基准TTL值：通过测距方法测量模拟节点到DNS服务器的距离记为TTL；获取实测TTL’值：模拟用户侧向DNS服务器请求解析域名，通过控制模拟DNS请求报文的TTL值从1依次递增，直到收到响应报文，获取对应的TTL值作为实测TTL’值；劫持判定：比较实测TTL值与基准TTL’值之间的大小，如果TTL值＜TTL’值，则该请求域名被劫持，反之则未被劫持。

A DNS hijacking detection method based on distance measurement

The invention discloses a detection method of hijacking distance measurement based on DNS, including packet capture: access monitoring node DNS request packet successfully through passive packet capture method to determine the reference value; TTL: the ranging method to measure the analog node to the DNS server the distance is TTL; get the measured value TTL ': Simulation of the user side to DNS server for domain name resolution, increasing from 1 through DNS simulation control request message TTL, until it receives a response message, to obtain the corresponding TTL value as measured TTL value; judging: comparison of the measured value of the TTL hijacking and between the reference value TTL' size, if the TTL value < TTL 'value, the domain name is requested hijacked, otherwise not hijacked.

全部详细技术资料下载

【技术实现步骤摘要】
一种基于距离测量的DNS劫持检测方法
本专利技术涉及计算机网络领域，具体涉及一种基于距离测量的DNS劫持检测方法。
技术介绍
DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。DNS(域名系统)的作用是把网络地址(域名，以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址)，以便计算机能够进一步通信，传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施封锁正常DNS的IP。DNS劫持一般发生在用户侧倒DNS服务器中间链路的某个节点。劫持者距离用户侧相对较近，模拟DNS服务器响应用户侧请求，利用时间差欺骗用户，实现DNS劫持目的。
技术实现思路
本专利技术的目的在于克服现有技术的不足，提供一种基于距离测量的DNS劫持检测方法...

【技术保护点】
一种基于距离测量的DNS劫持检测方法，其特征在于包括以下步骤：抓取数据包：通过被动抓包方法获取监控节点DNS请求成功的数据包；确定基准TTL值：通过测距方法测量模拟节点到DNS服务器的距离记为TTL；获取实测TTL’值：模拟用户侧向DNS服务器请求解析域名，通过控制模拟DNS请求报文的TTL值从1依次递增，直到收到响应报文，获取对应的TTL值作为实测TTL’值；劫持判定：比较实测TTL值与基准TTL’值之间的大小，如果TTL值＜TTL’值，则该请求域名被劫持，反之则未被劫持。

【技术特征摘要】
1.一种基于距离测量的DNS劫持检测方法，其特征在于包括以下步骤：抓取数据包：通过被动抓包方法获取监控节点DNS请求成功的数据包；确定基准TTL值：通过测距方法测量模拟节点到DNS服务器的距离记为TTL；获取实测TTL’值：模拟用户侧向DNS服务器请求解析域名，通过控制模拟DNS请求报文的TTL值从1依次递增，直到收到响应报文，获取对应的TTL值作为实测TTL’值；劫持判定：比较实测TTL值与基准TTL’值之间的大小，如果TTL值＜TTL’值，则该请求域名被劫持，反之则未被劫持。2.根据权利要求1所述的一种基于距离测量的DNS劫持检测方法，其特征在于：所述的抓取数据包步骤具体包括：S01：启动抓包模块，选择网卡并在选择的网卡上持续采集数据包，将采集的数据包递交给数据处理模块，重复上述步骤直至抓包结束：S02：数据处理模块读取抓包模块递交的数据包，并解析相关报文结构，根据报文解析结果识别DNS成功响应的数据包。3.根据权利要求1所述的一种基于距离测量的...

【专利技术属性】
技术研发人员：杨国海，
申请(专利权)人：成都网丁科技有限公司，
类型：发明
国别省市：四川,51

全部详细技术资料下载我是这个专利的主人