CN104135471A - Dns防劫持通信方法 - Google Patents
Dns防劫持通信方法 Download PDFInfo
- Publication number
- CN104135471A CN104135471A CN201410332519.XA CN201410332519A CN104135471A CN 104135471 A CN104135471 A CN 104135471A CN 201410332519 A CN201410332519 A CN 201410332519A CN 104135471 A CN104135471 A CN 104135471A
- Authority
- CN
- China
- Prior art keywords
- router
- abduction
- dns server
- dns
- hijack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明提出一种以路由器为依托、安全性佳的DNS防劫持通信方法,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,该通信过程如下,若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受信息进行加、解密来进行通信,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息。
Description
技术领域
本发明涉及因特网技术领域,具体讲是一种DNS防劫持通信方法。
背景技术
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
DNS被劫持给客户带来损失的事件时有发生,有时甚至造成无法挽回的损失,这在行业内为公知,为了防止DNS被劫持,业内提出了好多解决方法,比如公布号CN 102790807 A、公布号CN 102577303 A等相关专利申请公开的技术方案,然而它们均未充分利用路由器在现有因特网架构中的作用,如图1所示,路由器本身不做任何处理直接,而是明文发送信息。
本申请意在另辟蹊径,以路由器为依托提出一种安全性佳的DNS防劫持通信方法。
发明内容
本发明所要解决的技术问题是,克服现有技术的缺陷,提供一种以路由器为依托、安全性佳的DNS防劫持通信方法。
为解决上述技术问题,本发明提出一种DNS防劫持通信方法,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,
若本地缓存中具有域名解析请求中所请求的域名相对应的记录则直接返回给用户;
若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,该通信过程如下,
若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;
路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受的信息进行加、解密来进行通信,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息。
采用上述结构后,与现有技术相比,本发明具有以下优点:通过上述过程可保证本地路由器外的任何一级设备都无法篡改DNS服务器返回的记录,从而保证DNS不被劫持,因此,本发明具有以路由器为依托、安全性佳的优点,本发明以路由器为依托还具有的优点是,由于DNS协议是比较早期的产物,定制这些标准的时候可能并没有考虑到安全性问题,所以在协议上没有特别的安全处理,若进行安全处理需要耗费一定的CPU资源,DNS服务器请求可能是很频繁的,早期CPU处理能力不高,处理起来是会变慢的,这个也有可能是考虑的因素,基于此,之后即使出现了SSL/TLS等能保证安全的安全通信握手方法也不可以大面积采用,这是因为不可能要求更换所有的DNS服务器,更不可能要求更换世界上所有使用DNS协议的电脑,那么本发明也是在这些方面做了平衡,由路由器劫持做透明安全传输(对客户机来说可能是根本没察觉到的),保证路由器后面的电脑无需做任何升级或者改动就能得到避免DNS被劫持的通信优点。
作为改进,安全通信握手为SSL握手,即采用安全通信过程使用安全套接字(Secure Socket Layer,SSL)协议,这样做的主要原因是SSL协议在业界被广泛使用,认可度较高,兼容性较好。
作为改进,若无法进行安全通信握手,则路由器向防劫持DNS服务器发起明文请求,这样能够保证用户正常使用。
说明书附图
图1为现有技术通信过程。
图2为本发明通信过程。
具体实施方式
下面对本发明作进一步详细的说明:
本发明DNS防劫持通信方法,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,
若本地缓存中具有域名解析请求中所请求的域名相对应的记录则直接返回给用户;
若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,其中,我们可以给用户一个自主权,也就是设置开关使用户自己决定是否开启防劫持DNS功能,开关可以是软开关,也可以是硬开关,默认是自动开启,路由器中设定了防劫持DNS服务器是指设定了防劫持DNS服务器的地址,所述通信过程如下,
若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;
路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受的信息进行加、解密来进行通信,加密之前的信息为符合DNS协议标准的信息,自然,解密后的信息也是符合DNS协议标准的,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,比如路由器向防劫持DNS服务器发送请求信息(Question)包括请求查询的域名(QNAME)和请求查询的类型(QTYPE),防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息,即防劫持DNS服务器向路由器发送的信息为请求信息(Question)的回答(Answer)。
路由器收到域名解析请求时进行劫持,直接取出请求者和请求的信息如:请求者IP,MAC,请求端口,接收返回端口,请求的域名,请求记录名,从而获得域名解析请求中的信息,使得路由器能够修改该域名解析请求中请求的DNS服务器地址为防劫持DNS服务器的地址。
路由器中设定防劫持DNS服务器可以按需要设置,可以设置多个,现有技术即可实施。
若防劫持DNS服务器中无法获得域名对应的IP地址,那么根据防劫持DNS服务器自身的设置从其他服务器查询域名对应的IP地址,该过程可通过现有技术实现;防劫持DNS服务器本身可以一个或多个DNS服务器,利用现有技术架构即可。
安全通信握手为SSL握手,SSL握手为常规,具体过程简述如下,
1、路由器将它所支持的算法列表和一个用作产生密钥的随机数A以及其它一些必要信息发送给防劫持DNS服务器。
2、防劫持DNS服务器从算法列表中选择一种加密算法,生成一个随机数B将其两者和一份包含防劫持DNS服务器公用密钥的证书发送给路由器;该证书包含了用于认证目的的服务器标识。
3、路由器检查验证服务器证书并抽取防劫持DNS服务器的公用密钥,如果成功,那么路由器为本次会话生成预主密钥(Pre-master-secret),并使用防劫持DNS服务器的公用密钥对其进行加密将加密后的信息发送给防劫持DNS服务器。如果防劫持DNS服务器要求鉴别客户身份,路由器还要再对相关数据签名后并将其与路由器证书一起发送给防劫持DNS服务器。
4、路由器与防劫持DNS服务器端根据预主密钥(Pre-master-secret)以及路由与防劫持DNS服务器的随机数值等原始信息计算出哈希运算消息认证码(HMAC)以及主密钥(master secret),并互相认证(路由器将哈希运算消息认证码发送给防劫持DNS服务器,防劫持DNS服务器将哈希运算消息认证码发送给路由器,用以确认握手信息没有被其他设备篡改)。
5、路由器通知防劫持DNS服务器此后发送的消息都使用这个会话密钥进行加密,路由器已经完成本次SSL握手;防劫持DNS服务器也通知路由器此后发送的消息都使用这个会话密钥进行加密,并通知路由器,防劫持DNS服务器已经完成本次SSL握手。
在双方SSL握手结束后传递任何消息均使用此会话的主密钥进行加密或解密。
当然,安全通信握手也可以是其他的具备抗篡改,抗信息泄漏的安全通信过程,例如使用TLS(安全传输层协议)。
若无法进行安全通信握手,则路由器向防劫持DNS服务器发起明文请求。
防劫持DNS服务器收到的请求若是明文请求,则正常返回结果,若是加密请求则先使用会话密钥解密请求,得到结果后对结果使用会话密钥进行加密后返回。
路由器收到结果,若结果是加密的则使用会话密钥进行解密,最终返回给请求的用户。
Claims (3)
1.一种DNS防劫持通信方法,其特征在于,它包括以下过程,用户发出域名解析请求,路由器收到这个请求之后不直接向外转发,而是做如下判断,
若本地缓存中具有域名解析请求中所请求的域名相对应的记录则直接返回给用户;
若路由器不存在DNS缓存或DNS缓存中没有有关记录,且路由器中设定了防劫持DNS服务器,那么路由器与防劫持DNS服务器进行通信,该通信过程如下,
若路由器与防劫持DNS服务器已安全通信握手则执行以下过程,否则先建立安全通信握手;
路由器和防劫持DNS服务器双方使用安全通信握手建立的密钥分别对发送以及接受的信息进行加、解密来进行通信,路由器向防劫持DNS服务器发送的信息至少包括请求的域名,防劫持DNS服务器向路由器发送的信息为根据路由器向防劫持DNS服务器发送的信息所反馈的信息。
2.根据权利要求1所述的DNS防劫持通信方法,其特征在于,安全通信握手为SSL握手。
3.根据权利要求1所述的DNS防劫持通信方法,其特征在于,若无法进行安全通信握手,则路由器向防劫持DNS服务器发起明文请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410332519.XA CN104135471B (zh) | 2014-07-14 | 2014-07-14 | Dns防劫持通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410332519.XA CN104135471B (zh) | 2014-07-14 | 2014-07-14 | Dns防劫持通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104135471A true CN104135471A (zh) | 2014-11-05 |
CN104135471B CN104135471B (zh) | 2018-01-23 |
Family
ID=51807993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410332519.XA Active CN104135471B (zh) | 2014-07-14 | 2014-07-14 | Dns防劫持通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104135471B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468865A (zh) * | 2014-12-25 | 2015-03-25 | 北京奇虎科技有限公司 | 域名解析控制、响应方法及相应的装置 |
CN108270748A (zh) * | 2016-12-30 | 2018-07-10 | 北京酷我科技有限公司 | 一种数据传输方法及系统 |
CN109769043A (zh) * | 2019-03-14 | 2019-05-17 | 中国工商银行股份有限公司 | 域名解析方法、装置及系统 |
CN111092878A (zh) * | 2019-12-13 | 2020-05-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
CN112954683A (zh) * | 2021-05-13 | 2021-06-11 | 中兴通讯股份有限公司 | 域名解析方法、装置、电子设备和存储介质 |
CN115883220A (zh) * | 2022-12-05 | 2023-03-31 | 深圳安巽科技有限公司 | 一种基于路由器的网站安全访问方法、系统及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277306A (zh) * | 2008-05-14 | 2008-10-01 | 华为技术有限公司 | 一种处理dns业务的方法、系统及设备 |
CN101640679A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 域名解析代理方法和装置 |
CN101834911A (zh) * | 2010-03-31 | 2010-09-15 | 联想网御科技(北京)有限公司 | 域名劫持的防御方法和网络出口设备 |
US8347100B1 (en) * | 2010-07-14 | 2013-01-01 | F5 Networks, Inc. | Methods for DNSSEC proxying and deployment amelioration and systems thereof |
US20130014253A1 (en) * | 2011-07-06 | 2013-01-10 | Vivian Neou | Network Protection Service |
US20130036468A1 (en) * | 2011-08-01 | 2013-02-07 | Visicom Media Inc. | Anti-phishing domain advisor and method thereof |
CN103685584A (zh) * | 2012-09-07 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种基于隧道技术的反域名劫持方法和系统 |
CN103825969A (zh) * | 2013-10-29 | 2014-05-28 | 电子科技大学 | 一种基于匿名网络的dns查询方法 |
-
2014
- 2014-07-14 CN CN201410332519.XA patent/CN104135471B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277306A (zh) * | 2008-05-14 | 2008-10-01 | 华为技术有限公司 | 一种处理dns业务的方法、系统及设备 |
CN101640679A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 域名解析代理方法和装置 |
CN101834911A (zh) * | 2010-03-31 | 2010-09-15 | 联想网御科技(北京)有限公司 | 域名劫持的防御方法和网络出口设备 |
US8347100B1 (en) * | 2010-07-14 | 2013-01-01 | F5 Networks, Inc. | Methods for DNSSEC proxying and deployment amelioration and systems thereof |
US20130014253A1 (en) * | 2011-07-06 | 2013-01-10 | Vivian Neou | Network Protection Service |
US20130036468A1 (en) * | 2011-08-01 | 2013-02-07 | Visicom Media Inc. | Anti-phishing domain advisor and method thereof |
CN103685584A (zh) * | 2012-09-07 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种基于隧道技术的反域名劫持方法和系统 |
CN103825969A (zh) * | 2013-10-29 | 2014-05-28 | 电子科技大学 | 一种基于匿名网络的dns查询方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468865A (zh) * | 2014-12-25 | 2015-03-25 | 北京奇虎科技有限公司 | 域名解析控制、响应方法及相应的装置 |
CN108270748A (zh) * | 2016-12-30 | 2018-07-10 | 北京酷我科技有限公司 | 一种数据传输方法及系统 |
CN109769043A (zh) * | 2019-03-14 | 2019-05-17 | 中国工商银行股份有限公司 | 域名解析方法、装置及系统 |
CN111092878A (zh) * | 2019-12-13 | 2020-05-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
CN111092878B (zh) * | 2019-12-13 | 2022-03-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
CN112954683A (zh) * | 2021-05-13 | 2021-06-11 | 中兴通讯股份有限公司 | 域名解析方法、装置、电子设备和存储介质 |
CN112954683B (zh) * | 2021-05-13 | 2021-08-17 | 中兴通讯股份有限公司 | 域名解析方法、装置、电子设备和存储介质 |
CN115883220A (zh) * | 2022-12-05 | 2023-03-31 | 深圳安巽科技有限公司 | 一种基于路由器的网站安全访问方法、系统及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN104135471B (zh) | 2018-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109983752B (zh) | 带有编码dns级信息的网络地址 | |
US9537861B2 (en) | Method of mutual verification between a client and a server | |
JP6168415B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
US8086847B2 (en) | Computer program product and computer system for peer-to-peer communications | |
US8601267B2 (en) | Establishing a secured communication session | |
CN104135471A (zh) | Dns防劫持通信方法 | |
KR20130031660A (ko) | 컨텐츠 이름 기반의 네트워크 장치 및 컨텐츠 이름 생성 방법, 그리고 인증 방법 | |
KR20190099066A (ko) | 디지털 인증서 관리 방법 및 장치 | |
SE538304C2 (sv) | Improved installation of a terminal in a secure system | |
JP6548172B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
US7243368B2 (en) | Access control system and method for a networked computer system | |
JP2019514314A (ja) | 暗号化メッセージを送受信するために動的公開鍵インフラストラクチャを用いる方法、システム、及び媒体 | |
US20190325146A1 (en) | Data encryption and decryption method and system and network connection apparatus and data encryption and decryption method thereof | |
WO2020237880A1 (zh) | 基于非对称加密技术的数据交换方法、发送终端和计算机可读存储介质 | |
CN113132087A (zh) | 物联网、身份认证及保密通信方法、芯片、设备及介质 | |
CN111245834B (zh) | 一种基于虚拟标识的物联网跨域访问控制方法 | |
CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
JP6056970B2 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
CN106972928B (zh) | 一种堡垒机私钥管理方法、装置及系统 | |
WO2018172776A1 (en) | Secure transfer of data between internet of things devices | |
CN111431846B (zh) | 数据传输的方法、装置和系统 | |
KR20110053578A (ko) | 유비쿼터스 컴퓨팅 네트워크 환경에서 커뮤니티 컴퓨팅을 위한 디바이스 멤버 인증방법 | |
CN116782210B (zh) | 一种高速加密算法的动态加密密钥生成方法 | |
CN111641539B (zh) | 一种家电设备的安全交互方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |