The embodiment of this application discloses a defense method and device for DNS hijacking, in which the defense system obtains each historical response message generated by the DNS server according to the preset number of historical domain name resolution requests according to the preset time interval, and compares the current response message generated according to the current domain name resolution request after receiving the current response message. If the current return path is different from each historical return path, compare whether the IP address of the target host in the current reply is the same as that of the target host in the trusted reply message; if different, feed the trusted reply message back to the client. Using the above methods or devices can solve the problem that the existing DNS hijacking defense methods can not avoid receiving IP addresses of phishing websites, thus improving the security of the network.
【技术实现步骤摘要】
一种DNS劫持的防御方法和装置
本申请涉及网络安全领域,尤其涉及一种DNS劫持的防御方法和装置。
技术介绍
域名系统(DomainNameSystem,DNS),用于通过将网络域名映射为网络IP地址,为网络服务提供基础服务。DNS的安全性对网络安全起着举足轻重的作用,因此成为网络攻击的热点目标,其中一种常见的网络攻击的方式为DNS劫持。DNS劫持即域名劫持,在DNS劫持中,伪造DNS服务器是一个主要攻击手段,例如,攻击者搭建伪造DNS服务器后,伪造DNS服务器劫持客户端发往DNS服务器的域名解析请求,并把钓鱼网站的IP地址返回给客户端进行欺骗。为了提高DNS安全性,需要对DNS劫持进行防御。在现有DNS劫持的防御方法中,客户端在接收到IP地址并打开后,根据显示的页面确定之前发送的域名解析请求是否被劫持,其中,若客户端显示的页面为钓鱼网站的页面,则确定之前发送的DNS请求报文被劫持,然后再采取相应的防御措施。例如,若网站服务商为同一IP地址提供两个域名,客户端通过现有的DNS劫持的防御方法确定之前发送的DNS请求报文被劫持后,使用另一个域名访问该IP地址。但是,专利...
【技术保护点】
1.一种DNS劫持的防御方法,其特征在于,包括:防御系统按照预设时间间隔,获取DNS服务器根据预设数量的历史域名解析请求生成的各个历史应答报文;所述防御系统在接收到根据当前域名解析请求生成的当前应答报文之后,比较所述当前应答报文中包含的当前返回路径与所述各个历史应答报文中包含的各个历史返回路径;如果所述当前返回路径与所述各个历史返回路径均不相同,所述防御系统比较所述当前应答报文中目标主机的IP地址与可信应答报文中目标主机的IP地址是否相同,所述可信应答报文由第三方可信DNS服务器根据当前域名解析请求生成;如果所述当前应答报文中目标主机的IP地址与可信应答报文中目标主机的IP...
【技术特征摘要】
1.一种DNS劫持的防御方法,其特征在于,包括:防御系统按照预设时间间隔,获取DNS服务器根据预设数量的历史域名解析请求生成的各个历史应答报文;所述防御系统在接收到根据当前域名解析请求生成的当前应答报文之后,比较所述当前应答报文中包含的当前返回路径与所述各个历史应答报文中包含的各个历史返回路径;如果所述当前返回路径与所述各个历史返回路径均不相同,所述防御系统比较所述当前应答报文中目标主机的IP地址与可信应答报文中目标主机的IP地址是否相同,所述可信应答报文由第三方可信DNS服务器根据当前域名解析请求生成;如果所述当前应答报文中目标主机的IP地址与可信应答报文中目标主机的IP地址不同,所述防御系统将所述可信应答报文反馈至客户端。2.根据权利要求1所述的DNS劫持的防御方法,其特征在于,所述防御系统在接收到根据当前域名解析请求生成的当前应答报文之后,比较所述当前应答报文中包含的当前返回路径与所述各个历史应答报文中包含的各个历史返回路径,包括:所述防御系统获取所述各个历史应答报文中的目标历史TTL字段值;所述防御系统比较所述当前应答报文的TTL字段值与所述目标历史TTL字段值是否相同;若所述当前应答报文的TTL字段值与所述目标历史TTL字段值均不相同,所述防御系统确定所述当前返回路径与所述各个历史返回路径均不相同。3.根据权利要求2所述的DNS劫持的防御方法,其特征在于,所述防御系统获取所述各个历史应答报文中目标历史TTL字段值,包括:所述防御系统获取到所述各个历史应答报文后,统计所述各个历史应答报文中包含的TTL字段值的出现频率;所述防御系统选取出现频率排在前n位的历史TTL字段值,将所述出现频率排在前n位的历史TTL字段值作为所述目标历史TTL字段值,其中n≥2且为整数。4.根据权利要求3所述的DNS劫持的防御方法,其特征在于,所述防御系统选取出现频率排在前n位的历史TTL字段值之后,所述方法还包括:如果在所述预设时间间隔后,所述历史TTL字段值的出现频率的排序发生变化,所述防御系统根据变化后的排序对所述目标历史TTL字段值进行更新,其中n≥2且为整数。5.根据权利要求1所述的DNS劫持的防御方法,其特征在于,在比较所述当前应答报文中目标主机的IP地址与可信应答报文中目标主机的IP地址是否相同之后,所述方法还包括:如果所述当前应答报文中目标主机的IP地址与可信应答报文中目标主机的IP地址相同,所述防御系统将所述当前应答报文反馈至客户端,并将所述当前应答报文添加至所述DNS服务器的缓存列表,当...
【专利技术属性】
技术研发人员:曾祥禄,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。