CN105763564A - 一种dns劫持检测方法 - Google Patents

一种dns劫持检测方法 Download PDF

Info

Publication number
CN105763564A
CN105763564A CN201610243196.6A CN201610243196A CN105763564A CN 105763564 A CN105763564 A CN 105763564A CN 201610243196 A CN201610243196 A CN 201610243196A CN 105763564 A CN105763564 A CN 105763564A
Authority
CN
China
Prior art keywords
dns
result
domain name
detection method
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610243196.6A
Other languages
English (en)
Inventor
陈剑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Zhidaochuangyu Information Technology Co Ltd
Original Assignee
Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Zhidaochuangyu Information Technology Co Ltd filed Critical Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority to CN201610243196.6A priority Critical patent/CN105763564A/zh
Publication of CN105763564A publication Critical patent/CN105763564A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DNS劫持检测方法,包括以下步骤:步骤1:将域名在国外没有开启DNS服务查询支持的IP发起标准DNS查询,若没有返回的结果IP,则直接判定域名未被劫持,若有返回的结果IP,则进行步骤3;步骤2:将步骤1中的域名在本地DNS服务器上进行标准DNS查询,得到本地DNS返回的结果IP;步骤3:将在国外没有开启DNS服务查询支持的服务器返回的结果IP与本地返回的结果IP进行比对,若两个结果IP一致,则判定域名未被劫持,若两个结果IP不一致,则判定域名被劫持。本发明不需要维护被劫持的IP清单,通过两种域名解析,进而对结果IP进行比对来判断域名是否被劫持,更加效率、准确。

Description

一种DNS劫持检测方法
技术领域
本发明涉及域名解析领域,具体涉及一种DNS劫持检测方法。
背景技术
DNS(DomainNameSystem,域名系统)劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把劫持范围以外的请求放行,否则返回假的IP地址,其效果就是对特定的网络不能反应或访问的是假网址。
如图1所示,现有的DNS劫持检测方法,事先准备是劫持可能返回的IP清单(简称:被劫持IP清单),然后根据需要查询的域名信息,通过本地手动设置或DHCP获得的DNS服务器进行查询,获得对应域名的IP。检查获得的IP是否在劫持的IP清单中,来判断域名是否被劫持。现有方案存在的问题,一是需要维护被劫持的IP清单,而且非常滞后;二是被劫持IP清单中的IP可能需要洗白。
发明内容
本发明所要解决的技术问题是提供一种DNS劫持检测方法,不需要维护被劫持的IP清单,通过两种域名解析,进而对结果IP进行比对来判断域名是否被劫持,更加效率、准确。
为解决上述技术问题,本发明采用的技术方案是:
一种DNS劫持检测方法,包括以下步骤:
步骤1:将域名在国外没有开启DNS服务查询支持的IP发起标准DNS查询,若没有返回的结果IP,则直接判定域名未被劫持,若有返回的结果IP,则进行步骤3;
步骤2:将步骤1中的域名在本地DNS服务器上进行标准DNS查询,得到本地DNS返回的结果IP;
步骤3:将在国外没有开启DNS服务查询支持的服务器返回的结果IP与本地返回的结果IP进行比对,若两个结果IP一致,则判定域名未被劫持,若两个结果IP不一致,则判定域名被劫持。
进一步的,在所述国外没有开启DNS服务查询支持的服务器上和本地DNS服务器上进行标准DNS查询时,设置一个超时时间,查询时间超过超时时间视为没有返回结果。
与现有技术相比,本发明的有益效果是:通过查询国外任意非有效DNS服务器,获得虚假参考结果,对两次DNS查询进行结果参考对比,判断域名是否被劫持,更加效率、准确。
附图说明
图1是现有DNS劫持检测方法之检测过程示意图。
图2是本发明DNS劫持检测方法之检测过程示意图。
图3是采用本发明方法对twitter.com域名进行劫持检测的结果。
图4是采用本发明方法对baidu.com域名进行劫持检测的结果。
在图2中,所述的国外任意非DNS服务器即为在国外没有开启DNS服务查询支持的服务器。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。尽管本发明将结合一些具体实施方式进行阐述和说明,但需要注意的是本发明并不仅仅只局限于这些实施方式。相反,对本发明进行的修改或者等同替换,均应涵盖在本发明的权利要求范围当中。
事先准备一台国外的没有开启DNS服务查询支持的IP,然后发起两次相同域名不同目标的标准DNS请求。如图2所示,本发明提供的一种DNS劫持检测方法,包括以下步骤:
步骤1:将域名在国外没有开启DNS服务查询支持的IP发起标准DNS查询,若没有返回的结果IP,则直接判定域名未被劫持,若有返回的结果IP,则进行步骤3;
步骤2:将步骤1中的域名在本地DNS服务器上进行标准DNS查询,得到本地DNS返回的结果IP;
步骤3:将在国外没有开启DNS服务查询支持的服务器返回的结果IP与本地返回的结果IP进行比对,若两个结果IP一致,则判定域名未被劫持,若两个结果IP不一致,则判定域名被劫持。
另外,在所述国外没有开启DNS服务查询支持的服务器上和本地DNS服务器上进行标准DNS查询时,设置一个超时时间,查询时间超过超时时间视为没有返回结果。
下面通过实用例子对本发明的有益效果作出说明。
例子1:如图3所示,查询twitter.com,被劫持
查询本地DNS得到的IP37.61.54.158,查询国外没有开启DNS服务查询支持的IP得到的结果是:59.24.3.173,经过实际访问这个站点发现这两个IP都无法正常打开twitter界面。结论twitter.com域名存在DNS劫持。
例子2:如图4所示,查询baidu.com,没有被劫持
查询本地DNS得到的多个IP,查询国外没有开启DNS服务查询支持的IP没有返回任何结果,经过实际访问这个站点发现本地返回的IP可以正常访问,结论不存在DNS劫持。
以上具体实施方式和附图仅为本发明之常用实施例。显然,在不脱离权利要求书所界定的本发明精神和发明范围的前提下可以有各种增补、修改和替换。本领域技术人员应该理解,本发明在实际应用中可根据具体的环境和工作要求在不背离发明准则的前提下在形式、结构、布局、比例、材料、元素、组件及其它方面有所变化。因此,在此披露之实施例仅用于说明而非限制,本发明之范围由后附权利要求及其合法等同物界定,而不限于此前之描述。

Claims (2)

1.一种DNS劫持检测方法,其特征在于,包括以下步骤:
步骤1:将域名在国外没有开启DNS服务查询支持的IP发起标准DNS查询,若没有返回的结果IP,则直接判定域名未被劫持,若有返回的结果IP,则进行步骤3;
步骤2:将步骤1中的域名在本地DNS服务器上进行标准DNS查询,得到本地DNS返回的结果IP;
步骤3:将在国外没有开启DNS服务查询支持的服务器返回的结果IP与本地返回的结果IP进行比对,若两个结果IP一致,则判定域名未被劫持,若两个结果IP不一致,则判定域名被劫持。
2.如权利要求1所述的一种DNS劫持检测方法,其特征在于,在所述国外没有开启DNS服务查询支持的服务器上和本地DNS服务器上进行标准DNS查询时,设置一个超时时间,查询时间超过超时时间视为没有返回结果。
CN201610243196.6A 2016-04-19 2016-04-19 一种dns劫持检测方法 Pending CN105763564A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610243196.6A CN105763564A (zh) 2016-04-19 2016-04-19 一种dns劫持检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610243196.6A CN105763564A (zh) 2016-04-19 2016-04-19 一种dns劫持检测方法

Publications (1)

Publication Number Publication Date
CN105763564A true CN105763564A (zh) 2016-07-13

Family

ID=56335335

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610243196.6A Pending CN105763564A (zh) 2016-04-19 2016-04-19 一种dns劫持检测方法

Country Status (1)

Country Link
CN (1) CN105763564A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302384A (zh) * 2016-07-25 2017-01-04 中国联合网络通信集团有限公司 Dns报文处理方法及装置
CN106790071A (zh) * 2016-12-21 2017-05-31 北京奇虎科技有限公司 一种dns全流量劫持风险的检测方法和装置
CN110855636A (zh) * 2019-10-25 2020-02-28 武汉绿色网络信息服务有限责任公司 一种dns劫持的检测方法和装置
CN111314181A (zh) * 2020-03-20 2020-06-19 北京无限光场科技有限公司 网络联通性诊断方法、装置、终端和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640679A (zh) * 2009-04-13 2010-02-03 山石网科通信技术(北京)有限公司 域名解析代理方法和装置
CN103825895A (zh) * 2014-02-24 2014-05-28 联想(北京)有限公司 一种信息处理方法及电子设备
CN103905273A (zh) * 2014-03-25 2014-07-02 百度在线网络技术(北京)有限公司 Dns劫持的监测方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640679A (zh) * 2009-04-13 2010-02-03 山石网科通信技术(北京)有限公司 域名解析代理方法和装置
CN103825895A (zh) * 2014-02-24 2014-05-28 联想(北京)有限公司 一种信息处理方法及电子设备
CN103905273A (zh) * 2014-03-25 2014-07-02 百度在线网络技术(北京)有限公司 Dns劫持的监测方法和装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302384A (zh) * 2016-07-25 2017-01-04 中国联合网络通信集团有限公司 Dns报文处理方法及装置
CN106790071A (zh) * 2016-12-21 2017-05-31 北京奇虎科技有限公司 一种dns全流量劫持风险的检测方法和装置
CN106790071B (zh) * 2016-12-21 2020-04-03 北京奇虎测腾科技有限公司 一种dns全流量劫持风险的检测方法和装置
CN110855636A (zh) * 2019-10-25 2020-02-28 武汉绿色网络信息服务有限责任公司 一种dns劫持的检测方法和装置
CN111314181A (zh) * 2020-03-20 2020-06-19 北京无限光场科技有限公司 网络联通性诊断方法、装置、终端和存储介质

Similar Documents

Publication Publication Date Title
CN112016015B (zh) 基于分布式标识解析的数据处理方法及装置
CN105763564A (zh) 一种dns劫持检测方法
CN109067930B (zh) 域名接入方法、域名解析方法、服务器、终端及存储介质
US20090327487A1 (en) Method and system for discovering dns resolvers
US7680954B2 (en) Proxy DNS for web browser request redirection in public hotspot accesses
US8800011B2 (en) Validating pointer records in a domain name system (DNS) service
CN105681358A (zh) 检测域名劫持的方法、装置和系统
CN104468860B (zh) 域名解析服务器危险性的识别方法和装置
CN102196060A (zh) 一种Cache服务器选择源站的方法和系统
CN103957195A (zh) Dns系统以及dns攻击的防御方法和防御装置
CN101442436A (zh) 用于管理ip网络的方法和系统
US9448897B2 (en) Process for selecting an authoritative name server
US20160050178A1 (en) Methods circuits devices systems and associated computer executable code for providing conditional domain name resolution
CN103888358A (zh) 一种路由方法、装置、系统及网关设备
CN104113447A (zh) 监测域名解析污染的方法、装置及系统
CN107360270B (zh) 一种dns解析的方法及装置
US20140059071A1 (en) Methods, circuits, devices, systems and associated computer executable code for providing domain name resolution
CN104168339A (zh) 防止域名劫持的方法及设备
CN106161667A (zh) 一种域名解析方法及装置
CN105407186A (zh) 获取子域名的方法和装置
US11500755B1 (en) Database performance degradation detection and prevention
CN104935653A (zh) 一种访问热点资源的旁路缓存方法和装置
CN109120432B (zh) 一种故障服务器定位方法及装置
CN104092785A (zh) 域名注册和解析的方法和基于域名的资源访问方法及装置
CN101232421B (zh) 一种工业互联网组网方法及地址解析方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160713

RJ01 Rejection of invention patent application after publication